基于逆向解析机制的Android安全增强系统技术方案

本发明专利技术涉及一种基于逆向解析机制的Android安全增强系统，主要包括静态检测模块、逆向解析模块、权限管理模块、请求中转模块、网络保镖模块、数据库服务模块、通知模块以及日志记录模块等九个模块。本发明专利技术采用静态检测与动态监控相结合的方式，为用户提供一个Android应用显式风险控制的软件系统。本发明专利技术不需要系统Root权限，不依赖与Android操作系统版本，有较高的普适性，有较好的应用前景。

【技术实现步骤摘要】

本专利技术涉及信息安全技术，尤其涉及一种基于逆向解析机制的Android安全增强系统。
技术介绍
随着移动互联网业务的快速发展，Android系统已成为恶意软件攻击的重要目标之一。国际知名计算机及网络安全提供商F-Secure公司发布的2013年下半年安全威胁报告指出，针对Andriod平台滋生的恶意软件占所有手机恶意软件的97％；F-Secure在2014年发布的Android检测报告显示[2]：在已发现的149个恶意应用家族中，Android恶意应用家族数量为136，占总数的91.3％。360手机安全中心发布了《2014年一季度手机安全状况报告》数据显示，2014年一季度共监测到Android用户感染恶意程序3791万人次，同比增长48.8％；此外，360根据中国反网络病毒联盟ANVA的分类标准，对2014年第一季度监测的Android平台恶意程序进行分类统计，其中资费消耗类恶意程序感染量最高，占感染人次总数的62％；另外，在第一季度感染量最高的十大恶意程序中，有八款为吸费类恶意程序，它们主要通过私发短信、私自下载、后台定制扣费业务等恶意行为消耗手机用户的流量和资费。因此，恶意应用对Android系统产生的安全威胁不容小觑，特别是涉及用户切身利益的隐私信息和流量资费等安全问题已成为业界关注的热点之一。当前，Google公司已加强安全措施，在安装应用时提供Google Play的服务验证机制；其次，国内各高校和科研院所近年来也围绕Android恶意应用的检测和防范，展开了深入系统的研究。本作品针对Android用户隐私信息保护和防止恶意扣费这一涉及“民生”的安全问题，研究Android恶意应用的检测与防范技术，提供切实有效的Android安全和隐私保护机制，对风险应用进行安全增强与加固保护，提供用户动态权限管理的技术与方法，对促进Android应用市场的健康发展具有重要意义。
技术实现思路
本专利技术要解决的技术问题在于针对现有技术中的缺陷，提供一种基于逆向解析机制的Android安全增强系统。本专利技术解决其技术问题所采用的技术方案是：一种基于逆向解析机制的Android安全增强系统，其特征在于，包括：静态检测模块、逆向解析模块、权限管理模块、请求中转模块、网络保镖模块、数据库服务模块、通知模块以及日志记录模块；静态检测模块，用于检测已安装应用中是否存在潜在恶意应用；具体如下：通过恶意应用MD5特征库的匹配、基于恶意应用家族组合权限的匹配、基于危险权限的匹配和基于危险意图的匹配相结合的静态检测技术，进行多层过滤，获取已安装Android应用的潜在风险；静态检测的具体步骤如下：第一层：建立已知恶意应用的黑名单库，存储恶意应用的MD5值。检测过程中需要从待检测的APK包中提取MD5值，并与黑名单进行快速匹配和判定。从中过滤出已知的恶意应用。对于恶意应用的MD5样本，我们利用收集到的4006个恶意样本的MD5值，设计并构建了恶意应用的黑名单。黑名单主要包括两个部分：即MD5值和相应的恶意应用类别。实现方法：提取APK包的MD5值，与恶意应用的MD5黑名单进行比对，排除已知的恶意应用。其中，提取APK包的MD5值，利用了java.security.MessageDigest包提供的MessageDigest.getInstance(\MD5\)函数进行提取，得到APK的MD5字符串。匹配的过程中，需要查询数据库中的恶意应用的MD5黑名单库。建立与数据库的连接，连接成功后，对恶意应用的MD5黑名单表进行查询。即通过建立SQL查询语句，查询表中是否有匹配项。第二层：基于恶意应用家族组合权限的匹配策略。Zhou等人[3]提出了十个恶意软件家族的组合权限特征，通过获取APK申请的权限，与恶意应用家族的组合权限进行匹配，如果某个应用同时匹配了该恶意软件家族的全部权限，则可以认定该应用申请的权限符合该恶意软件家族的危险权限特征，被判定为疑似的恶意应用。检测方法：提取应用申请的权限，将这些应用申请的权限与恶意应用家族的组合权限进行匹配，如果该应用申请的权限与某个恶意应用家族的组合权限匹配，则将该应用判定为疑似恶意应用。第三层：基于危险权限列表的匹配策略。对AndroidManifest.xml文件中的权限与危险权限进行匹配，列出应用申请的危险权限，形成检测报告对用户进行提醒。检测方法：将提取出的权限与危险权限列表进行比对，找出应用申请的危险权限，并写入检测报告。第四层：基于危险意图的匹配策略。大多数基于规则的静态检测方法中对恶意应用的Manifest.xml文件的分析仅局限于<user-permisssion>，本系统对应用的AndroidManifest.xml文件进行更全面解析，对危险Intent filter action进行了统计和分析，通过对危险的Intent filter action的定义和对4006个恶意应用样本的分析，我们总结出了15种危险的Intent filter action,并对它们进行了分类，主要类别包括恶意扣费类，恶意添加类，恶意植入类、窃取隐私信息类，恶意篡改类、拦截类、自启动耗电类。对Manifest.xml文件进行深度分析，取得Intent filter结点下的action子结点，将提取出的action与危险意图的action列表进行匹配，并将匹配的结果写入检测报告。逆向解析模块，用于向风险应用中植入包括用户态沙箱代码的安全策略，得到加固应用，并实时监控加固应用在安装后的行为；所述用户态沙箱代码用于保证应用在一个监控程序的监控环境中运行，从而完成对应用某些权限的禁止和允许；“用户态沙箱”是根据Android应用沙箱机制的一个比喻，是指应用在一个监控程序的监控环境中运行，从而完成对应用某些权限的禁止和允许，就像Android的沙箱机制，为各个应用的运行提供一个较独立的安全运行环境。本系统通过监控程序为应用提供沙箱模式，通过对需加固应用的代码进行修改，使应用的父类指针指向为应用定制的监控程序运行地址，对应用的执行进行重定向，使得应用后续所有行为都在监控端的监控下进行。监控程序，即监控端，实现的主要机制是基于Native C层的拦截技术，即API HOOK。根据恶意应用的恶意行为，恶意应用调用危险API的主要类别有：连接互联网、获取位置信息、读取通信录、获取短信内容等，需要对相应的Native C层的函数connect()、getaddrinfo()和ioctl()进行拦截。使得应用窃取用户隐私和恶意扣费等行为受到监控或禁止，并对应用的行为进行严格的审计。所述安全策略包括目标apk的解包、加入用户态沙箱代码和加固apk的重建；在对需要加固apk进行解包，使用apktool工具，将目标apk解包成一个文件目录，从中可以快速地定位到AndroidManifest文件，从而进行后续用户态沙箱代码的引入。对目标apk进行解包后，需要在其中加入用户态的沙箱代码。在加入控制策略之前，需要编写一个控制程序，并用apktool进行解包，找到主类对应的smali文件，并把这个smali文件复制到目标apk smali文件夹的相应位置，这个smali文件就包含了控制策略的内容。接下来，需要解析目标本文档来自技高网...

【技术保护点】
一种基于逆向解析机制的Android安全增强系统，其特征在于，包括：静态检测模块、逆向解析模块、权限管理模块、请求中转模块、网络保镖模块、数据库服务模块、通知模块以及日志记录模块；静态检测模块，用于检测已安装应用中是否存在潜在恶意应用；具体如下：通过恶意应用MD5特征库的匹配、基于恶意应用家族组合权限的匹配、基于危险权限的匹配和基于危险意图的匹配相结合的静态检测技术，进行多层过滤，获取已安装Android应用的潜在风险；逆向解析模块，用于向风险应用中植入包括用户态沙箱代码的安全策略，得到加固应用，并实时监控加固应用在安装后的行为；所述用户态沙箱代码用于保证应用在一个监控程序的监控环境中运行，从而完成对应用某些权限的禁止和允许；所述安全策略包括目标apk的解包、加入用户态沙箱代码和加固apk的重建；权限管理模块，用于对逆向解析后的应用进行权限管理与行为审计；所述权限管理为根据用户需求设置的权限禁止或许可；所述行为审计为将用户的行为信息记录到数据库中；请求中转模块，用于对加固应用的不同权限请求进行中转和响应，将应用对Android系统资源的请求转发至监控端的监控程序监控，根据监控端的返回值进行响应；所述网络保镖模块包含广告插件检测子模块和流量监控子模块；其中，广告插件检测子模块，用于根据数据库中恶意广告黑名单检测出含有广告插件的应用，并提供对含广告应用的卸载功能；流量监控子模块，用于对应用的流量监控；数据库服务模块，用于存储和维护以下数据：加固应用的权限设置信息、静态检测结果、应用行为信息、广告黑名单、恶意应用黑名单、证书库；所述通知模块，用于将静态检测的危险结果、监控程序拦截到的应用的危险行为、含广告插件应用名称和插件数量信息通知给用户，并引导用户正确配置应用的权限，对应用进行安全加固；所述日志记录模块，用于协同系统静态检测模块、权限管理模块、广告检测模块，将静态检测结果、权限设置信息、广告拦截的信息记录下来，形成日志记录。...

【技术特征摘要】
1.一种基于逆向解析机制的Android安全增强系统，其特征在于，包括：静态检测模块、逆向解析模块、权限管理模块、请求中转模块、网络保镖模块、数据库服务模块、通知模块以及日志记录模块；静态检测模块，用于检测已安装应用中是否存在潜在恶意应用；具体如下：通过恶意应用MD5特征库的匹配、基于恶意应用家族组合权限的匹配、基于危险权限的匹配和基于危险意图的匹配相结合的静态检测技术，进行多层过滤，获取已安装Android应用的潜在风险；逆向解析模块，用于向风险应用中植入包括用户态沙箱代码的安全策略，得到加固应用，并实时监控加固应用在安装后的行为；所述用户态沙箱代码用于保证应用在一个监控程序的监控环境中运行，从而完成对应用某些权限的禁止和允许；所述安全策略包括目标apk的解包、加入用户态沙箱代码和加固apk的重建；权限管理模块，用于对逆向解析后的应用进行权限管理与行为审计；所述权限管理为根据用户需求设置的权限禁止或许可；所述行为审计为将用户的行为信息记录到数据库中；请求中转模块，用于对加固应用的不同权限请求进行中转和响应，将应用对Android系统资源的请求转发至监控端的监控程序监控，根据监控端的返回值进行响应；所述网络保镖模块包含广告插件检测子模块和流量监控子模块；其中，广告插件检测子模块，用于根据数据库中恶意广告黑名单检测出含有广告插件的应用，并提供对含广告应用的卸载功能；流量监控子模块，用于对应用的流量监控...

【专利技术属性】
技术研发人员：宋军，王力哲，赵健，王开心，杨帆，顿明，
申请(专利权)人：中国地质大学武汉，
类型：发明
国别省市：湖北;42