一种基于动态行为分析的有害广告件检测方法及系统的制作方法

一种基于动态行为分析的有害广告件检测方法及系统的制作方法
【专利摘要】本发明公开了一种基于动态行为分析的有害广告件检测方法及系统，首先，识别移动终端应用程序中的广告件，获取广告件相关信息；利用现有动态行为分析环境，在预设时间内执行所述移动终端应用程序，并记录执行过程中的行为信息；利用所述广告件代码信息过滤所述行为信息，只获取与广告件相关的行为信息；分析和处理所述与广告件相关的行为信息，并形成广告件的行为规则，与正常广告件行为规则库和有害广告件行为规则库进行匹配，最终得到广告件检测结果。本发明可以更准确、更高效地辨识出具有恶意行为的广告件。
【专利说明】一种基于动态行为分析的有害广告件检测方法及系统
【技术领域】
[0001]本发明涉及移动终端恶意代码检测【技术领域】，尤其涉及一种基于动态行为分析的有害广告件检测方法及系统。
【背景技术】
[0002]随着移动互联网的发展和智能移动终端的大范围使用，恶意代码对智能移动终端的系统安全及信息安全的威胁也日益增加。移动终端恶意代码在形态上，技术利用上和恶意行为上都在不断的衍生和变化，并在移动互联网应用开发模式和技术的发展下衍生出了许多新式的形态。在移动互联网的快速发展中，随着开发者数量和规模的逐步的扩大，衍生出了许多用于向开发者提供各种服务的SDK工具和中间件，例如有提供广告推广服务的SDK中间件，有提供消息和数据推送的SDK中间件，也有提供应用推广和分发的SDK中间件等等。这些SDK中间件通过开发接口开放的形式，向开发者提供了各种常用的功能，极大的方便了开发者，可以用于快速的在应用中通过集成这些SDK来使得移动应用程序具备广告推广能力从而为开发者谋取开发收益。
[0003]在这种背景下，就形成了一种新型的有害移动互联网程序的形态，即基于公开的正当的广告件SDK开发的有害移动互联网恶意程序，通过对广告SDK的封装，恶意代码作者可以基于SDK提供的功能开发出有害用户的代码，例如通过对广告推广服务的SDK的封装，恶意代码作者可以在应用退出后继续在后台在用户不知情的情况下访问广告链接，在后台在用户不知情的情况下私自下载和安装推广应用等等来达到恶意非法牟利的目的。
[0004]目前安全厂商都在积极的进行这类新型恶意程序的检测方法和对抗方法的设计和研究，目前主要有以下几种方法和策略:
第一种方法是在移动终端上采取主动防御的技术和手段，通过对应用的网络行为，通信行为，应用安装等行为进行行为拦截和控制，在应用的相关行为触发时向用户进行提示和询问是否授权来进行行为控制，并进一步达到对广告件所产生的有害行为进行控制的目的。这种方法的缺点在于需要对用户移动终端进行提权，即获得ROOT权限，而提权行为本身极大的损害了移动终端自有的安全保护机制，并对用户移动终端造成了不可逆的影响，同时并不是所有移动终端系统都能有效稳定的完全提权过程，部分移动终端在提权后还会出现运行缓慢，死机甚至无法启动的情况。与此同时，这种方法要求用户对所有广告件和应用的正常行为都进行判断和授权，对于用户来说，难以对正常的广告件行为和恶意广告件行为进行有效区分，因此在实际中并没有妥善的解决有害广告件的问题。
[0005]第二种方法则是通过对移动终端应用程序进行静态检测来进行有害广告件的检测和判定，这种方法通常是采用了移动终端反病毒引擎的通用检测方法来进行对有害广告件进行检测和识别，其通过对应用中是否包含有广告件SDK的相关的代码符号信息和代码结构信息来进行广告件识别。这种方法的缺点主要在于，极其容易导致大量的误报和错报。对于移动终端应用程序和广告件SDK来说，其本身是一种正常的用于开发者的开发中间件工具，其代码和行为本身都并不具备危害性，而是由于开发者的不正当使用或故意作恶而导致形成了有害的广告应用，因此通过这种方法来对广告件进行检测，极其容易导致正常的广告件应用被误报为有害的，进而无法向用户提供有效的判定和检测信息。

【发明内容】

[0006]针对上述技术问题，本发明提供了一种基于动态行为分析的有害广告件检测方法及系统，该发明利用了已经成熟的动态行为分析技术，并筛选出广告件相关的行为信息，通过与正常广告件行为规则库和有害广告件行为规则库进行匹配，从而判定广告件是否恶意，从而准确、闻效地检测广告件恶意行为。
[0007]本发明采用如下方法来实现:一种基于动态行为分析的有害广告件检测方法，包括:
识别移动终端应用程序中的广告件，获取广告件相关信息，所述相关信息包括:广告件名称和广告件代码信息；
利用现有动态行为分析环境，在预设时间内执行所述移动终端应用程序，并记录执行过程中的行为信息；所述动态行为分析环境可以选用现有的任何动态行为分析技术；
利用所述广告件代码信息过滤所述行为信息，只获取与广告件相关的行为信息；
分析和处理所述与广告件相关的行为信息，并形成广告件的行为规则，与正常广告件行为规则库和有害广告件行为规则库进行匹配，最终得到广告件检测结果；其中，匹配方法可以选用相似性比对或者差异性比对等算法来完成；
所述正常广告件行为规则库用来记录广告件正常行为的行为规则；所述有害广告件行为规则库用来记录广告件有害行为的行为规则。
[0008]其中，所述正常广告件行为规则库可以通过人工分析或者是自动化分析方法来获取。
[0009]进一步地,所述行为信息包括:行为类型、行为内容或者行为触发的代码调用位置，所述行为类型包括:网络行为、系统行为或者通信行为。
[0010]进一步地，所述广告件的行为规则包括:广告件的单位时间上行流量、广告件的单位时间下行流量、单位时间网络连接次数、是否有IMEI泄露、是否有用户号码泄露，是否有用户手机型号信息泄露或者是否有用户隐私泄露。
[0011]本发明采用如下系统来实现:一种基于动态行为分析的有害广告件检测系统，包括:
广告件识别模块，用于识别移动终端应用程序中的广告件，获取广告件相关信息，所述相关信息包括:广告件名称和广告件代码信息；
动态行为分析模块，用于利用现有动态行为分析环境，在预设时间内执行所述移动终端应用程序，并记录执行过程中的行为信息；
过滤模块，用于利用所述广告件代码信息过滤所述行为信息，只获取与广告件相关的行为信息；
判定模块，用于分析和处理所述与广告件相关的行为信息，并形成广告件的行为规则，与正常广告件行为规则库和有害广告件行为规则库进行匹配，最终得到广告件检测结果；所述正常广告件行为规则库用来记录广告件正常行为的行为规则；所述有害广告件行为规则库用来记录广告件有害行为的行为规则。[0012]进一步地，所述行为信息包括:行为类型、行为内容或者行为触发的代码调用位置，所述行为类型包括:网络行为、系统行为或者通信行为。
[0013]进一步地，所述广告件的行为规则包括:广告件的单位时间上行流量、广告件的单位时间下行流量、单位时间网络连接次数、是否有IMEI泄露、是否有用户号码泄露，是否有用户手机型号信息泄露或者是否有用户隐私泄露。
[0014]综上所述，本发明提供了一种基于动态行为分析的有害广告件检测方法及系统，本发明所给出的技术方案基于动态行为分析技术，所述动态行为分析技术是一种非常普遍的行为分析技术。目前，已经出现了较多的移动终端应用的动态行为分析技术和成熟系统。通过对于应用程序中的广告件进行识别，获取广告件相关信息，利用广告件相关信息提取出动态分析中获得的与广告件相关的行为信息。将所述与广告件相关的行为信息标准化后与准备好的正常广告件行为规则库和有害广告件行为规则库进行匹配，从而给出检测结果。本发明可以有效检测和判定移动终端应用程序中的有害广告件。
【专利附图】

【附图说明】
[0015]为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0016]图1为本发明提供的一种基于动态行为分析的有害广告件检测方法流程图；
图2为本发明提供的一种基于动态行为分析的有害广告件检测系统结构图。
【具体实施方式】
[0017]本发明给出了一种基于动态行为分析的有害广告件检测方法及系统，为了使本【技术领域】的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种基于动态行为分析的有害广告件检测方法，如图1所示，包括: SlOl识别移动终端应用程序中的广告件，获取广告件相关信息，所述相关信息包括:广告件名称和广告件代码信息；
例如:广告件代码信息选用广告件代码的位置信息，获取结果为:
Struct Adffare
{ char氺 AdffareName;
char林 AdffareLocationList;
}
其中，AdffareName为广告件名称，AdffareLocationList为广告件的代码位置信息列
表;
S102利用现有动态行为分析环境，在预设时间内执行所述移动终端应用程序，并记录执行过程中的行为信息；
目前，已经出现了较多的移动终端应用程序的动态行为分析的技术和成熟系统，例如:开源的Android动态行为分析系统DroidBox,开源的Android行为拦截框架Xposed等等，同时利于Android系统的开源的特性，也比较容易形成应用程序的自动化的动态行为的分析沙箱环境；
S103利用所述广告件代码信息过滤所述行为信息，只获取与广告件相关的行为信息；
S104分析和处理所述与广告件相关的行为信息，并形成广告件的行为规则，与正常广告件行为规则库和有害广告件行为规则库进行匹配，最终得到广告件检测结果；
所述正常广告件行为规则库用来记录广告件正常行为的行为规则；所述有害广告件行为规则库用来记录广告件有害行为的行为规则。
[0018]其中，所述正常广告件行为规则库，包括但不限于，广告件的每小时网络上行流量，每小时网络下行流量，每小时网络连接次数，是否有IMEI泄露，是否有用户号码泄露，是否有用户移动终端型号信息泄露，是否有用户隐私泄露等；
所述有害广告件行为规则库，包括但不限于，广告件的每小时网络上行流量危害阈值，每小时网络下行流量危害阈值，每小时网络连接次数危害阈值，是否有IMEI泄露危害阈值，是否有用户号码泄露危害阈值，是否有用户移动终端型号信息泄露危害阈值，是否有用户隐私泄露等危害阈值。
[0019]优选地，所述行为信息包括:行为类型、行为内容或者行为触发的代码调用位置，所述行为类型包括:网络行为、系统行为或者通信行为。
[0020]例如:对移动终端应用程序在一段时间内的执行过程中所触发的各种行为信息进行记录，其获取的结果为:
Struct AppBehavior
{int BehaviorType
Char氺 BehaviorContent;
Char* BehaviorLocation;
}
其中，BehaviorType为行为类型，包括但不限于网络行为，系统行为，通信行为等，BehaviorContent为行为内容，BehaviorLocation为行为触发的代码调用位置；
Struct AppBehaviorList
{
AppBehavior^ BehaviorList;
}
其中，BehaviorList为移动终端应用程序行为信息列表；
其次，通过广告件代码位置来对动态行为分析的结果进行过滤筛选，并获取与广告件相关的行为信息结果，获取到AdWareBehaviorList中。
[0021 ] Struct AdWareBehavior
{int BehaviorType
Char氺 BehaviorContent;
Char* BehaviorLocation;
}
其中，BehaviorType为行为类型，包括但不限于网络行为，系统行为，通信行为等，BehaviorContent为行为内容，BehaviorLocation为行为触发的代码调用位置。
[0022] Struct AdWareBehaviorList{
char氺 AdffareName;
AdffareBehavior* BehaviorList;
}
其中，AdffareName为广告件的名称，BehaviorList为与广告件相关的行为信息列表。
[0023]优选地，所述广告件的行为规则包括:广告件的单位时间上行流量、广告件的单位时间下行流量、单位时间网络连接次数、是否有MEI泄露、是否有用户号码泄露，是否有用户手机型号信息泄露或者是否有用户隐私泄露。
[0024]本发明还提供了一种基于动态行为分析的有害广告件检测系统，如图2所示，包括:
广告件识别模块201，用于识别移动终端应用程序中的广告件，获取广告件相关信息，所述相关信息包括:广告件名称和广告件代码信息；
动态行为分析模块202，用于利用现有动态行为分析环境，在预设时间内执行所述移动终端应用程序，并记录执行过程中的行为信息；
过滤模块203，用 于利用所述广告件代码信息过滤所述行为信息，只获取与广告件相关的行为信息；
判定模块204，用于分析和处理所述与广告件相关的行为信息，并形成广告件的行为规贝U，与正常广告件行为规则库205和有害广告件行为规则库206进行匹配，最终得到广告件检测结果；
正常广告件行为规则库205，用来记录广告件正常行为的行为规则；
有害广告件行为规则库206，用来记录广告件有害行为的行为规则。
[0025]进一步地,所述行为信息包括:行为类型、行为内容或者行为触发的代码调用位置，所述行为类型包括:网络行为、系统行为或者通信行为。
[0026]进一步地，所述广告件的行为规则包括:广告件的单位时间上行流量、广告件的单位时间下行流量、单位时间网络连接次数、是否有IMEI泄露、是否有用户号码泄露，是否有用户手机型号信息泄露或者是否有用户隐私泄露。
[0027]如上所述，本发明给出了一种基于动态行为分析的有害广告件检测方法及系统的具体实施例，其与传统方法的区别在于，传统方法需要提权，从而获得ROOT权限，但是提权本身损害了移动终端自有的安全保护机制；如果通过对移动终端应用程序进行静态检测的方法来检测有害广告件，可能会导致大量的误报和错报。本发明给出的技术方案通过对移动终端应用程序进行动态行为分析，并提取出与广告件相关的行为信息，处理所述与广告件相关的行为信息形成广告件的行为规则，再与准备好的正常广告件行为规则库和有害广告件行为规则库进行匹配，从而完成广告件的检测过程，从而本发明所给出的方法和系统可以对一些广告件的有害行为进行辨识，并可以提供更多与广告件相关的行为信息。
[0028]以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换，均应涵盖在本发明的权利要求范围当中。
【权利要求】
1.一种基于动态行为分析的有害广告件检测方法，其特征在于，包括: 识别移动终端应用程序中的广告件，获取广告件相关信息，所述相关信息包括:广告件名称和广告件代码信息； 利用现有动态行为分析环境，在预设时间内执行所述移动终端应用程序，并记录执行过程中的行为信息； 利用所述广告件代码信息过滤所述行为信息，只获取与广告件相关的行为信息； 分析和处理所述与广告件相关的行为信息，并形成广告件的行为规则，与正常广告件行为规则库和有害广告件行为规则库进行匹配，最终得到广告件检测结果； 所述正常广告件行为规则库用来记录广告件正常行为的行为规则；所述有害广告件行为规则库用来记录广告件有害行为的行为规则。
2.如权利要求1所述的方法，其特征在于，所述行为信息包括:行为类型、行为内容或者行为触发的代码调用位置，所述行为类型包括:网络行为、系统行为或者通信行为。
3.如权利要求1所述的方法，其特征在于，所述广告件的行为规则包括:广告件的单位时间上行流量、广告件的单位时间下行流量、单位时间网络连接次数、是否有頂EI泄露、是否有用户号码泄露，是否有用户手机型号信息泄露或者是否有用户隐私泄露。
4.一种基于动态行为分析的有害广告件检测系统，其特征在于，包括: 广告件识别模块，用于识别移动终端应用程序中的广告件，获取广告件相关信息，所述相关信息包括:广告件名称和广告件代码信息； 动态行为分析模块，用于利用现有动态行为分析环境，在预设时间内执行所述移动终端应用程序，并记录执行过程中的行为信息； 过滤模块，用于利用所述广告件代码信息过滤所述行为信息，只获取与广告件相关的行为信息； 判定模块，用于分析和处理所述与广告件相关的行为信息，并形成广告件的行为规则，与正常广告件行为规则库和有害广告件行为规则库进行匹配，最终得到广告件检测结果； 所述正常广告件行为规则库用来记录广告件正常行为的行为规则；所述有害广告件行为规则库用来记录广告件有害行为的行为规则。
5.如权利要求4所述的系统,其特征在于,所述行为信息包括:行为类型、行为内容或者行为触发的代码调用位置，所述行为类型包括:网络行为、系统行为或者通信行为。
6.如权利要求4所述的系统，其特征在于，所述广告件的行为规则包括:广告件的单位时间上行流量、广告件的单位时间下行流量、单位时间网络连接次数、是否有頂EI泄露、是否有用户号码泄露，是否有用户手机型号信息泄露或者是否有用户隐私泄露。
【文档编号】H04L29/06GK103905423SQ201310725005
【公开日】2014年7月2日 申请日期:2013年12月25日 优先权日:2013年12月25日
【发明者】潘宣辰, 肖新光 申请人:武汉安天信息技术有限责任公司