基于安卓真机行为分析的大规模移动终端管理方法和系统与流程

本发明涉及移动互联网安全领域，更具体地说，涉及一种基于安卓真机行为分析的大规模移动终端管理方法和系统。
背景技术：
：随着移动互联网的发展和智能手机的普及，基于安卓(Android)系统的各类应用出现爆发式增长，截至2014年底GooglePlay上最新应用数量已经达到了143万，非官方应用电子商店提供的应用数量更为庞大。但在增长的同时，Android软件的安全性问题也不容忽视。2015年Android恶意软件继续保持高速增长。据阿里巴巴移动安全年度报告显示，2015年第一季度Android恶意软件感染设备量月均涨幅高达45％，感染安卓设备高达1833万台，阿里聚安全查杀病毒高达2528万个。大多数情况下，Android恶意软件具有恶意扣费、隐私窃取、短信劫持等恶意行为，其目标主要是获取用户的金融信息。例如源自俄罗斯的手机版Carberp木马可以窃取用户发送给银行服务器的登录数据。由此可见，Android软件安全性问题日益凸显，Android恶意软件越来越严重地威胁着终端用户的隐私和权益。安卓模拟器适应PC环境，又有安卓各系列操作系统版本的支持，安全人员很容易基于模拟器大批量的部署APP动态行为检测环境，使用动态行为沙箱、动态污点跟踪等技术，对APP的敏感行为进行检测。但随着越来越多的App采用了基于模拟器的反检测技术，在模拟器上进行动态分析的失败案例也越来越多。Android开发者日益重视软件的安全问题，恶意软件为了逃脱安全软件的检测，越来越多的采用了软件混淆、软件加固等手段，一方面应用与对抗静态分析，另一方面用于对抗模拟器分析环境。由于模拟器的一些环境变量和信息与真实手机存在不同之处，有可能导致攻击者发现了模拟器环境，从而不触 发敏感行为来隐藏自己。为了更逼真地模拟手机环境，现有技术较多的采用伪造手机信息和用户信息的方法。但由于检测模拟器的方法不统一、多样性，目前很难覆盖所有类型。而真机上不存在这个问题，恶意软件的激活和触发的成功率较高。另一方面受限于模拟器硬件支持、性能以及无法真实发送短信等功能缺失的问题，软件安全检测不充分，亟需加入真机动态行为分析。由于APP安全分析面对的是海量的Android应用，需要大规模的真机分析集群加入自动化分析系统中，如何高效的对大规模移动终端设备进行管理、如何快速部署动态分析环境、如何实时监控真机设备健康状态成为亟待解决的问题。技术实现要素：本发明要解决的技术问题在于，针对现有技术的上述缺陷，提供一种基于安卓真机行为分析的大规模移动终端管理方法和系统，以解决大规模真机自动化分析集群的高效管理、健康状态监控、和自动部署。本发明为解决其技术问题在第一方面提出一种基于安卓真机行为分析的大规模移动终端管理系统，包括主控真机管理WEB服务器和与其通信连接的至少一个真机控制机，每一真机控制机以USB方式通信连接多个移动终端真机，每一移动终端真机还通过网络远程通信连接主控真机管理WEB服务器，且每一移动终端真机具有一唯一标识的真机ID，其中：所述主控真机管理WEB服务器接收外部的真机动态分析请求，根据当前管理的移动终端真机的运行状态选择响应该真机动态分析请求的真机ID，并在所选择的目标真机处于USB在线状态时，向目标真机对应的真机控制机发送携带所述真机ID的动态分析请求，以及在所选择的目标真机处于USB离线状态时，通过网络远程向目标真机发送包含了动态分析请求的短消息；所述真机控制机响应主控真机管理WEB服务器发送的动态分析请求，使用USB方式驱动对应的目标真机进行动态行为分析；所述移动终端真机在处于USB在线状态时基于真机控制机的驱动完成目 标软件的动态行为分析，在处于USB离线状态时接收主控真机管理WEB服务器发送的短消息，解析该短消息中包含的动态分析请求，完成目标软件的动态行为分析。根据本发明第一方面的一个实施例中，所述主控真机管理WEB服务器在所选择的目标真机处于USB在线状态时向目标真机对应的真机控制机发送携带所述真机ID的动态分析请求进一步包括：根据所述真机ID向所述至少一个真机控制机发送查询请求以获取目标真机所在的真机控制机标识，然后根据该真机控制机标识向相应的真机控制机发送携带所述真机ID的动态分析请求。根据本发明第一方面的一个实施例中，所述移动终端真机还在完成目标软件的动态行为分析之后向主控真机管理WEB服务器推送分析日志信息，所述主控真机管理WEB服务器在收到移动终端真机推送的分析日志信息之后释放对应移动终端真机资源。根据本发明第一发明的一个实施例中，每一所述真机控制机还定期获取与其连接的多个移动终端真机的运行状态和连接状态并返回给主控真机管理WEB服务器。根据本发明第一方面的一个实施例中，所述系统还包括在主控真机管理WEB服务器宕机时接管主控真机管理WEB服务器的备份真机管理WEB服务器。本发明为解决其技术问题在第二方面提出一种基于安卓真机行为分析的大规模移动终端管理方法，包括如下步骤：S1、由主控真机管理WEB服务器接收外部的真机动态分析请求，根据当前管理的移动终端真机的运行状态选择响应该真机动态分析请求的真机ID；S2、在所选择的目标真机处于与对应的真机控制机USB连接在线状态时，由主控真机管理WEB服务器向目标真机对应的真机控制机发送携带所述真机ID的动态分析请求，以由真机控制机使用USB方式驱动目标真机完成目标软件的动态行为分析；S3、在所选择的目标真机处于与对应的真机控制机USB连接离线状态时， 由主控真机管理WEB服务器通过网络远程向目标真机发送包含了动态分析请求的短消息，以由目标真机接收并解析该短消息中包含的动态分析请求，完成目标软件的动态行为分析。根据本发明第二方面的一个实施例中，所述步骤S2中在所选择的目标真机处于USB在线状态时由主控真机管理WEB服务器向目标真机对应的真机控制机发送携带所述真机ID的动态分析请求进一步包括：根据所述真机ID向所述至少一个真机控制机发送查询请求，获取目标真机所在的真机控制机标识；根据该真机控制机标识向相应的真机控制机发送携带所述真机ID的动态分析请求。根据本发明第二方面的一个实施例中，所述方法还包括：S4、由移动终端真机在完成目标软件的动态行为分析之后向主控真机管理WEB服务器推送分析日志信息；S5、由主控真机管理WEB服务器在收到移动终端真机推送的分析日志信息之后释放对应移动终端真机资源。9、根据权利要求6所述的方法，其特征在于，所述方法还包括：由真机控制机定期获取与其连接的多个移动终端真机的运行状态和连接状态并返回给主控真机管理WEB服务器。根据本发明第二方面的一个实施例中，所述方法还包括：在主控真机管理WEB服务器宕机时由备份真机管理WEB服务器接管主控真机管理WEB服务器。根据本发明的基于安卓真机行为分析的大规模移动终端管理方法和系统，采用了USB控制和远程控制两种方式，通过WEB服务的手段来高效实现大规模真机自动化分析集群的高效管理、健康状态监控、自动部署。而且，移动终端真机可以无限扩展，通过部署多个主控WEB服务器和多台真机控制机，实现千台、万台移动终端真机的高效管理。附图说明下面将结合附图及实施例对本发明作进一步说明，附图中：图1是本发明一个实施例的基于安卓真机行为分析的大规模移动终端管理系统的逻辑结构图；图2是本发明一个实施例的基于安卓真机行为分析的大规模移动终端管理系统的实际应用的示意图；图3是根据本发明一个实施例的基于安卓真机行为分析的大规模移动终端管理方法的流程图。具体实施方式为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。图1示出了根据本发明给一个实施例的基于安卓真机行为分析的大规模移动终端管理系统100的逻辑结构图。如图1所示，该系统100主要由主控真机管理WEB服务器110、真机控制机120、移动终端真机130三个部分构成。主控真机管理WEB服务器110与至少一个真机控制机120(图中所示两个真机控制机仅为示例)通信连接，每一真机控制机120以USB方式与多个移动终端真机130(图中所示一个移动终端真机仅为示例)通信连接，且每一移动终端真机130还通过网络远程通信连接至主控真机管理WEB服务器110。主控真机管理WEB服务器110用于接收外部的真机动态分析请求，并支持移动终端真机130的申请、释放、健康状态监控。当收到外部发送的真机动态分析请求时，主控真机管理WEB服务器110首先根据当前管理的移动终端真机的运行状态选择响应该真机动态分析请求的真机ID。然后，根据所选择的目标真机130与对应的真机控制机120USB连接的状态，主控真机管理WEB服务器110具有两种类型的真机管理方式。在所选择的目标真机130处于USB在线状态时，主控真机管理WEB服务器110优先选择USB通信的方式，向目标真机130对应的真机控制机120发送携带所述真机ID的动态分析请求，以由真机控制机120通过USB方式驱动目标真机130进行动态行为分析。具 体一个示例中，主控真机管理WEB服务器110可根据所选择的真机ID向与其通信连接的所有真机控制机120发送查询请求，以获取目标真机所在的真机控制机标识，然后根据该真机控制机标识向相应的真机控制机120发送携带所述真机ID的动态分析请求。在所选择的目标真机130处于USB离线状态时，主控真机管理WEB服务器110通过远程控制的方式对真机进行管理，即通过网络远程向目标真机130发送包含了动态分析请求的短消息，以由目标真机130解析该短消息中的动态分析请求完成动态行为分析。真机控制机120主要负责通过USB方式连接移动终端真机130，以及用于与主控真机管理WEB服务器110进行信息交互。每台真机控制机120连接若干台移动终端真机130，通过移动终端设备的IMEI号作为唯一标识的真机ID进行区分。每台真机控制机120具有WEB服务模块121，用来和主控真机管理WEB服务器110进行通信，对主控真机管理WEB服务器110的动态分析请求进行响应，使用USB方式驱动对应的目标真机130进行动态行为分析。例如，真机控制机120可通过从主控真机管理WEB服务器110下载动态分析程序，来启动指定移动终端真机130进行动态分析。另外，真机控制机120还负责移动终端真机130的自动刷机部署、自动用户配置等功能。而且，真机控制机120还定期获取与其连接的多个移动终端真机130的运行状态和连接状态并返回给主控真机管理WEB服务器110。移动终端真机130负责基于动态分析请求对目标软件进行动态分析，包含软件的安装、下载、运行、日志输出等功能。每台移动终端真机130具有USB管理模块131、短信管理模块132和终端服务模块133。USB管理模块131用于实现与真机控制机120之间USB方式的信息交互。当移动终端真机130处于与真机控制机120的USB连接在线状态时，移动终端真机130基于真机控制机120的驱动完成目标软件的动态行为分析。终端服务模块133是对USB控制方式的补充。一旦移动终端真机130处于与真机控制机120的USB连接离线状态时，主控真机管理WEB服务器110通过网络远程向移动终端真机130发送包含了动态分析请求的短消息。移动终端真机130通过短信管理模块132接收主控真机管理WEB服务器110发送的短消息，然后由终端服务模块133 解析该短消息中包含的动态分析请求，获得命令类型及对应的参数，完成目标软件的动态行为分析，包括目标软件的下载、动态分析日志的发送、自动用户配置等等。移动终端真机130在完成目标软件的动态行为分析之后，还可向主控真机管理WEB服务器110推送分析日志信息，通知主控真机管理WEB服务器110释放资源。主控真机管理WEB服务器110在收到移动终端真机130推送的分析日志信息之后，释放对应移动终端真机资源，将其运行状态改为未使用状态。图1所示的系统100还设有备份真机管理WEB服务器140，用于在主控真机管理WEB服务器110宕机时自动接管主控真机管理WEB服务器的工作，以保证整个系统的稳定。上述基于安卓真机行为分析的大规模移动终端管理系统100的优势是移动终端真机130可以无限扩展，通过部署多个主控真机管理WEB服务器和多个真机控制机，可以实现千台、万台移动终端真机的高效管理。图2示出了本发明一个实施例中基于安卓真机行为分析的大规模移动终端管理系统的实际应用的示意图。如图2所示，整个系统主要由1台主控真机管理WEB服务器、3台真机控制机、48台Android手机组成。主控真机管理WEB服务器、真机控制机都运行了ApacheWebService服务，使用REST接口进行真机管理信息的通信。每台真机控制机使用USB接口连接了16台AndroidNexus4终端设备，以手机IMEI号作为识别。每台手机在物理上均有坐标编号，以在机架上的安装位置为标识，例如：第一个机柜的第一行的第三个手机的坐标编号为1-1-3。添加手机资源至真机集群是通过访问主控真机管理WEB服务器的接口/add_phone？device_id＝xxx&coordinate＝1-1-6&host_ip＝172.18.30.241来完成。其中device_id为设备的IMEI号，coordinate为真机坐标号，host_ip为该手机连接的真机控制机IP地址。运维人员将手机安装到物理机柜上，通过使用上述添加手机资源接口，即可完成手机资源的部署。其部分结果可见下表1：表1：真机信息表手机型号设备标识设备坐标控制机IP手机状态手机在线Nexus4003fb7c6d808b41d1-1-6172.18.30.241未使用在线Nexus401cf923f0f3f2b431-1-5172.18.30.241未使用在线Nexus404e0b3dce1d7d0a31-1-4172.18.30.241未使用在线Nexus4021188bd599046241-1-3172.18.30.241未使用在线Nexus4048321c3c9cb96f91-1-2172.18.30.241未使用在线手机资源完成部署后，即可通过主控真机管理WEB服务器的接口/need_phone？num＝xxx&type＝xxx&to＝xxx来进行手机资源的申请。其中num表示申请手机的数量，type表示申请手机的型号，to表示申请手机的用途。主控真机管理WEB服务器会根据手机的状态、健康信息选择合适的真机控制机，转发手机资源申请请求，由真机控制机完成手机的申请。真机控制机负责定期维护所控手机的健康状态信息，并通过主控真机管理WEB服务器的接口将健康信息更新至表1中。基于本发明以上所介绍的基于安卓真机行为分析的大规模移动终端管理系统，本发明还提出一种基于安卓真机行为分析的大规模移动终端管理方法。图3示出了根据本发明一个实施例的基于安卓真机行为分析的大规模移动终端管理方法300的流程图。如图3所示，该方法300包括如下步骤：步骤S310中，由主控真机管理WEB服务器接收外部的真机动态分析请求，根据当前管理的移动终端真机的运行状态选择响应该真机动态分析请求的真机ID。具体实施例中，该真机ID可以是移动终端真机的IMEI号。随后步骤S320中，主控真机管理WEB服务器检查所选择的目标真机是处于与对应的真机控制机USB连接的在线状态还是离线状态，以选择不同的真机管理方式。若处于在线状态，则执行步骤S330，若处于离线状态，则执行步骤S340。步骤S330中，由主控真机管理WEB服务器向目标真机对应的真机控制机发送携带所述真机ID的动态分析请求，以由真机控制机使用USB方式驱动目标真机完成目标软件的动态行为分析。具体来说，主控真机管理WEB服务器可根据所述真机ID向与其通信连接的所有真机控制机发送查询请求，获取 目标真机所在的真机控制机标识，然后根据该真机控制机标识向相应的真机控制机发送携带所述真机ID的动态分析请求。目标真机完成目标软件的动态行为分析之后，执行步骤S350。步骤S340中，在所选择的目标真机处于与对应的真机控制机USB连接离线状态时，由主控真机管理WEB服务器通过网络远程向目标真机发送包含了动态分析请求的短消息，以由目标真机接收并解析该短消息中包含的动态分析请求，完成目标软件的动态行为分析。目标真机完成目标软件的动态行为分析之后，执行步骤S350。步骤S350中，由移动终端真机在完成目标软件的动态行为分析之后，向主控真机管理WEB服务器推送分析日志信息。随后步骤S360中，由主控真机管理WEB服务器在收到移动终端真机推送的分析日志信息之后释放对应移动终端真机资源。根据本发明的优选实施例中，真机控制机还定期获取与其连接的多个移动终端真机的运行状态和连接状态并返回给主控真机管理WEB服务器。根据本发明的优选实施例中，在主控真机管理WEB服务器宕机时，由备份真机管理WEB服务器接管主控真机管理WEB服务器的工作。以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。当前第1页1 2 3