本发明公开了一种基于组合事件行为触发的Android恶意行为检测系统及其检测方法.多层行为监控模块捕获应用程序运行时的行为日志;行为分析模块通过函数调用关系和函数参数特征识别应用程序中的恶意行为,同时,行为分析模块会生成应用行为分析报告;DroidRunner行为触发模型根据对界面调度方式和已知恶意行为触发条件的分析设计了多组合均衡遍历算法和特殊事件触发库,完成对应用程序中恶意行为的动态检测.本发明其可覆盖应用程序运行期间绝大部分的函数调用,对应用程序中的敏感行为触发效果显著.达到高效、稳定触发应用程序中可能存在的恶意行为的效果.
发明专利
CN201610130822.0
2016.03.09
CN105653946A
2016-06-08
张国印 曲家兴 王玲 何志昌 高伟
哈尔滨工程大学
G06F21/55(2013.01)I,G,G06,G06F,G06F21
G06F21/55(2013.01)I,G,G06,G06F,G06F21,G06F21/55
基于组合事件行为触发的Android恶意行为检测系统,其特征在于:包括多层行为监测模块、行为分析模块和DroidRunner行为触发模型;多层行为监控模块通过修改Android源码、植入网络监控工具实现对Java调用、本地调用和网络连接的监控,捕获应用程序运行时的行为日志;行为分析模块通过函数调用关系和函数参数特征识别应用程序中的恶意行为,同时,行为分析模块会生成应用行为分析报告,用户通过应用行为分析报告识别检测结果中误报或漏报的恶意行为,并修正或扩展恶意行为特征库;DroidRunner行为触发模型根据对界面调度方式和已知恶意行为触发条件的分析设计了多组合均衡遍历算法和特殊事件触发库,完成对应用程序中恶意行为的动态检测.