一种基于软件签名和安装时间的Android系统应用检测方法技术方案

本发明专利技术属于信息安全领域，公开了一种基于软件签名和安装时间的Android系统应用检测方法，其具体步骤为：扫描Android系统应用，并提取全部系统应用的签名信息；若某一签名信息对应的系统应用个数在N以上，则标记该签名信息对应的全部系统应用为安全应用；检索所有安全应用的初始安装时间，利用所有安全应用的初始安装时间确定多个安全时间STIMEn和安全范围INTERVALn；检索未标记的系统应用的初始安装时间，若某一系统应用的初始安装时间与某个安全时间STIMEn的时间差在对应安全范围INTERVALn内，则该系统应用为安全应用，否则该系统应用为待检测应用。本发明专利技术通过软件签名与安装时间将Android系统应用做出分类，不需要将Android系统应用依次与病毒库作对比，从而提高手机木马检测效率。

Application detection method of Android system based on software signature and installation time

The invention belongs to the field of information security, and discloses a detection method of Android system application software and installation time signature based on the specific steps are: application of Android scanning system, the signature information and extract all applications; if the system corresponding to a signature information in a number of more than N, the whole system is marked application corresponding to the signature information security application for all security applications; retrieving the initial setup time, determined by the initial installation time for all security applications more security and safety STIMEn time range of INTERVALn; the initial retrieval is not standard system application in mind the installation time, if the initial application of a system installation time and a safe time STIMEn the time difference in the corresponding safety range of INTERVALn, the system used for security applications, or the application of the system for detecting application. The invention applies the software signature and installation time to classify the application of the Android system, and does not need to compare the application of the Android system with the virus library in sequence, thereby improving the detection efficiency of the mobile phone Trojan horse.

【技术实现步骤摘要】
一种基于软件签名和安装时间的Android系统应用检测方法
本专利技术属于信息安全领域，尤其涉及一种基于软件签名和安装时间的Android系统应用检测方法。
技术介绍
Android系统是基于Linux的开放源码操作系统，主要应用于手机等移动终端。Android系统由操作系统、中间件、用户界面和应用程序组成，而应用程序又分为系统应用和用户应用，系统应用是在system/frameworks，system/app，vendor/app，system/priv-app目录下的应用，用户不能卸载，权限更高且数量庞大。一旦系统应用中被植入恶意应用，就可能对移动终端的用户造成不必要的损失。针对这些手机恶意系统应用，许多软件公司相继推出多种杀毒软件。现有的Android系统应用安全检查主要分成两类：特征值匹配和启发式扫描，其中特征值匹配依赖病毒库，存在病毒库滞后的问题；启发式扫描不依赖病毒库，但若安全系统应用中具有病毒能够实现的某功能，就会出现查毒程序误报现象，且现在的Android系统中系统应用数量比较庞大，绝大多数的应用通常是安全的，如果采取杀毒引擎依次查杀，查找病毒的速度会非常慢，所以研究一种更加安全快捷的Android系统应用检测方法是具有现实意义的。本专利技术通过软件签名与安装时间将Android系统应用做出安全分类，其假设依据为：Android系统中不会被大量植入具有相同签名并携带病毒的系统应用，以及在相差较短时间内Android系统中不会被大量植入带有病毒的系统应用，因为如果在短时间内大量植入病毒，病毒很容易被发现并清理，所以病毒的一般植入方式为，相隔较长时间的少量植入。本专利技术中所有阈值是通过对不同品牌的Android手机进行大量测试后计算得到，所有阈值的确定值根据具体手机品牌及Android系统版本取定。
技术实现思路
针对以上技术问题，本专利技术提供了一种基于软件签名和安装时间的Android系统应用检测方法，本专利技术是在检索软件签名和安装时间下完成查毒，系统应用无须逐一与病毒库进行对比，大大地提高了查毒速度。本专利技术采用的技术方案如下：一种基于软件签名和安装时间的Android系统应用检测方法，其具体步骤为：(1)扫描所有Android系统应用，并从Android系统应用中提取签名信息；(2)记录同一签名信息对应的系统应用个数，若某一签名信息对应的系统应用个数在第一阈值N以上，则标记该签名信息对应的系统应用为安全应用；(3)记录步骤(2)中所有安全应用的初始安装时间，再扫描步骤(2)中未被标记为安全应用的所有系统应用，提取并记录这些系统应用的初始安装时间，利用安全应用的初始安装时间确定未被标记的系统应用的安全性。具体的遍历所有Android系统应用，并提取这些系统应用中的签名信息，签名信息包括公钥、有效期和开发者信息，一个应用程序只能对应一个签名，且所有系统应用的签名信息可能不全相同，所以能够通过签名是否相同判断系统应用的开发者是否相同。具体的记录同一签名信息所对应的系统应用个数，如果某一签名信息对应的系统应用个数在第一阈值N以上，则将该签名信息对应的所有系统应用标记为安全应用。具体的检索并记录所有安全应用的初始安装时间，将所有初始安装时间按照先后顺序排序得到时间序列{Ti}，其中i＝1，2，…，k，k为常量，且T1≤T2≤…≤Tk，再利用时间序列{Ti}中的元素确定若干个安全时间STIMEn和安全范围INTERVALn，其中安全范围INTERVALn与安全时间STIMEn一一对应，具体确定方法为：(a)记录时间序列{Ti}中元素个数，若时间序列{Ti}中元素个数在第二阈值L以上，其中L为正整数，则转入步骤(b)，否则不再确定安全时间STIMEn和安全范围INTERVALn，结束；(b)以时间序列{Ti}中首元素Tf为基准时间，若时间序列{Ti}中存在时间点Tj，使Tj满足Tj-Tf≤M且Tj+1-Tf＞M，其中j＝f+1，f+2，…，k且第三阈值M≥0，单位为分钟，则将Tf、Tf+1、…、Tj归为同一簇，转入步骤(c)，否则转入步骤(e)；(c)若该簇中所有元素个数在第二阈值L以上，其中L为正整数，则转入步骤(d)，否则转入步骤(e)；(d)确定该簇的安全时间STIMEn和安全范围INTERVALn，STIMEn为该簇中最早时间FTIMEn和最晚时间LTIMEn的中间时刻，安全范围INTERVALn为：INTERVALn＝(LTIMEn-FTIMEn)*APLA，其中APLA表示时间参数，数值范围为0～0.75，安全范围INTERVALn与安全时间STIMEn一一对应，并将该簇中所有元素Tf，Tf+1，…，Tj从时间序列{Ti}中剔除，时间序列{Ti}中剩余元素编号保持不变，转入步骤(a)；(e)将元素Tf从时间序列{Ti}中剔除，时间序列{Ti}中剩余元素编号保持不变，转入步骤(a)。具体的扫描未被标记为安全应用的所有系统应用，提取并记录这些系统应用的初始安装时间，若某一系统应用的初始安装时间与某个安全时间STIMEn的时间差在该安全时间对应的安全范围INTERVALn内，也就是某一未标记的系统应用的初始安装时间与安全时间STIME1的时间差在安全范围INTERVAL1内，或者与安全时间STIME2的时间差在安全范围INTERVAL2内，以此类推，或者与安全时间STIMEn的时间差在安全范围INTERVALn内，则将该系统应用标记为安全应用，否则将该系统应用标记为待检测应用。综上所述，由于采用了上述技术方案，本专利技术的有益效果是：(1)本专利技术适用于没有病毒库和网络的情况下，与其他查毒软件相比应用范围更广。(2)Android系统中系统应用数量比较庞大，且大部分的系统应用是安全的，若采取杀毒引擎依次查杀，查找速度非常慢，本专利技术通过软件签名与安装时间将系统应用做出分类，所要检测的应用无须与病毒库做对比，有效提高查毒速度和准确率。附图说明图1是本专利技术的流程图；图2是计算安全时间的算法流程图；具体实施方式为使本专利技术之目的、技术方案和优点阐述更加清晰，下面将结合附图与实际用例，对本专利技术做进一步的详细描述。图1为本专利技术的具体流程图，主要包括以下步骤：(1)扫描所有Android系统应用，并从Android系统应用中提取签名信息；(2)记录同一签名信息对应的系统应用个数，若某一签名信息对应的系统应用个数在第一阈值N以上，则标记该签名信息对应的系统应用为安全应用；(3)检索并记录步骤(2)中所有安全应用的初始安装时间，得到时间序列{Ti}，其中i＝1，2，…，k，k为常量，且T1≤T2≤…≤Tk，再利用时间序列{Ti}中的元素确定若干个安全时间STIMEn和安全范围INTERVALn，其中安全范围INTERVALn与安全时间STIMEn一一对应，具体确定方法为：(a)记录时间序列{Ti}中元素个数，若时间序列{Ti}中元素个数在第二阈值L以上，其中L为正整数，则转入步骤(b)，否则不再确定安全时间STIMEn和安全范围INTERVALn，结束；(b)以时间序列{Ti}中首元素Tf为基准时间，若时间序列{Ti}中存在时间点Tj，使Tj满足Tj-Tf≤M且Tj+1-Tf＞M，其中j＝f+1，f+2，…，k且第三阈值M本文档来自技高网...

【技术保护点】
一种基于软件签名和安装时间的Android系统应用检测方法，其特征在于：(1)扫描所有Android系统应用，并从Android系统应用中提取签名信息；(2)记录同一签名信息对应的系统应用个数，若某一签名信息对应的系统应用个数在第一阈值N以上，则标记该签名信息对应的系统应用为安全应用；(3)记录步骤(2)中所有安全应用的初始安装时间，再扫描步骤(2)中未被标记为安全应用的所有系统应用，提取并记录这些系统应用的初始安装时间，利用安全应用的初始安装时间确定未被标记的系统应用的安全性。

【技术特征摘要】
1.一种基于软件签名和安装时间的Android系统应用检测方法，其特征在于：(1)扫描所有Android系统应用，并从Android系统应用中提取签名信息；(2)记录同一签名信息对应的系统应用个数，若某一签名信息对应的系统应用个数在第一阈值N以上，则标记该签名信息对应的系统应用为安全应用；(3)记录步骤(2)中所有安全应用的初始安装时间，再扫描步骤(2)中未被标记为安全应用的所有系统应用，提取并记录这些系统应用的初始安装时间，利用安全应用的初始安装时间确定未被标记的系统应用的安全性。2.如权利要求1所述的一种基于软件签名和安装时间的Android系统应用检测方法，其特征在于扫描Android系统应用，并从Android系统应用中提取签名信息，具体为：遍历所有Android系统应用，并提取这些系统应用中的签名信息，签名信息包括公钥、有效期和开发者信息，一个应用程序只能对应一个签名，且所有系统应用的签名信息可能不全相同，所以能够通过签名是否相同判断系统应用的开发者是否相同。3.如权利要求1所述的一种基于软件签名和安装时间的Android系统应用检测方法，其特征在于记录同一签名信息对应的系统应用个数，若某一签名信息对应的系统应用个数在第一阈值N以上，则标记该签名信息对应的系统应用为安全应用，具体为：记录同一签名信息所对应的系统应用个数，如果某一签名信息对应的系统应用个数在第一阈值N以上，则将该签名信息对应的所有系统应用标记为安全应用。4.如权利要求1所述的一种基于软件签名和安装时间的Android系统应用检测方法，其特征在于记录步骤(2)中所有安全应用的初始安装时间，再扫描步骤(2)中未被标记为安全应用的所有系统应用，提取并记录这些系统应用的初始安装时间，利用安全应用的初始安装时间确定未被标记的系统应用的安全性，具体为：检索并记录步骤(2)中所有安全应用的初始安装时间，得到时间序列{Ti}，其中i＝1，2，…，k，k为常量，且T1≤T2≤…≤Tk，再利用时间序列{Ti}中的元素确定若干个安全时间STIMEn和安全范围INTERVALn，其中安全范围INTERVALn与安全时间STIMEn一一对应；扫描步骤(2)中未被标记为安全应用的所有系统应用，提取并记录这些系统应用的初始安装时间，若某个系统应用的初始安装时间与某个安全时间STIMEn的时间差在该安全时间对应的安全范围INTERVALn内，则将该系统应用标记为安全应用，否则将该系统应用标记为待检测应用。5.如权利要求4所述的记录步骤(2)中所有安全应用的初始安装时间，再扫描步骤(2)中未被标记为安全应用的所有系统应用，提取并记录这些系统应用的初始安装时间，利用安全应用的初始安装时间确定未被标记的系统应用的安全性，其特征在于检索并记录步骤(2)中所有安全应用的初始安装时间，得到时间序列{Ti}，其中i＝1，2，…，k，k为常量，且T1≤T2≤…≤Tk，再利用时间序列{Ti}中的元素确定若干个安全时间STIMEn和安全范围...

【专利技术属性】
技术研发人员：黄晓强，罗郑楠，朱永强，张彤彤，
申请(专利权)人：成都网安科技发展有限公司，
类型：发明
国别省市：四川,51