Achievements
1 成果簡介
移動互聯(lián)網(wǎng)將移動通信和互聯(lián)網(wǎng)二者結(jié)合起來,成為當(dāng)今世界發(fā)展最快、市場潛力最大、前景最誘人產(chǎn)業(yè)發(fā)展方向。最新數(shù)據(jù)統(tǒng)計,中國移動互聯(lián)網(wǎng)用戶已達(dá)到 4.64 億。各大應(yīng)用市場如 Google Play 有百萬種應(yīng)用,國內(nèi)機(jī)鋒市場、天翼等平臺也具有大量的安卓應(yīng)用。這些應(yīng)用在給人們帶來巨大便利的同時,也帶來巨大的信息安全隱患和風(fēng)險,據(jù)統(tǒng)計超過九成的應(yīng)用軟件涉嫌竊取用戶隱私、惡意扣費、惡意推廣、惡意捆綁植入病毒/木馬等惡意行為。這些惡意行為不僅給用戶帶來經(jīng)濟(jì)損失,甚至涉及人身安全問題。因此迫切需要快速、準(zhǔn)確地自動化檢測如此龐大的應(yīng)用程序的惡意行為。
傳統(tǒng)手機(jī)殺毒軟件基于 PC 時代檢測特征序列的方式識別惡意軟件/惡意行為,雖然這種方式高效、易于同步檢測,但是存在只能查殺已知威脅、反饋周期長、易于繞過等諸多問題。為了解決上述問題,我們設(shè)計并實現(xiàn)一個 Android 應(yīng)用惡意行為自動化檢測系統(tǒng)。本系統(tǒng)提供一個基于行為查殺的完整解決方案,可服務(wù)于第三方管控部門、高級大型企業(yè)(如電信運營商)、Android 工程師與普通用戶等三大類用戶。本系統(tǒng)結(jié)合靜態(tài)分析、動態(tài)追蹤、網(wǎng)絡(luò)流量定位三種方法實現(xiàn)“數(shù)據(jù)流、控制流、網(wǎng)絡(luò)流”三流融合分析技術(shù),可提供自動化應(yīng)用軟件爬取、自動化檢測分析、自動化特征庫更新、自動化惡意行為挖掘、惡意攻擊訓(xùn)練、證據(jù)留存等多項服務(wù),達(dá)到爬取自動化、處理高效化、分析智能化、信息安全化的設(shè)計目標(biāo)。
本系統(tǒng)主要的特點如下:
全平臺部署更實用:跨平臺語言設(shè)計,多重角度防護(hù),可部署于 Windows XP /WIN7/WIN8 以及 Linux 主流版本。
自學(xué)習(xí)、更新更方便:應(yīng)用圖論分析技術(shù)、自動化行為特征挖掘等技術(shù),挖掘具有通用性的惡意行為鏈,無需頻繁升級模型庫。
智能網(wǎng)絡(luò)爬蟲更高效:針對第三方監(jiān)控需求,本系統(tǒng)提供自動化網(wǎng)絡(luò)爬取功能,可實現(xiàn)最優(yōu)監(jiān)控部署、最優(yōu)更新策略。
“3x3”立體更高維:“靜態(tài)分析、動態(tài)追蹤、網(wǎng)絡(luò)流量三維度”,“數(shù)據(jù)流、控制流、網(wǎng)流”三層面,智能立體分析模式,無懈可擊的安全檢測。
11 類 41 種惡意行為檢測更全面:可有效對隱私竊取、系統(tǒng)破壞、信息破壞等 41 種惡意行為檢測。
層級分析更迅速:系統(tǒng)依據(jù)層級分析結(jié)構(gòu),快速定位,快速甄別,快速分析。
“三流融合”更細(xì)致:本系統(tǒng)結(jié)合底層 API HOOK、動態(tài)污染分析、靜態(tài)行為鏈識別、網(wǎng)絡(luò)流量檢測等方式,可分析惡意軟件的函數(shù)調(diào)用關(guān)系、數(shù)據(jù)傳播定位、惡意行為網(wǎng)絡(luò)數(shù)據(jù)包。
惡意特征自動統(tǒng)計挖掘更可靠:特征自動挖掘更節(jié)省人力與計算資源,標(biāo)準(zhǔn)處理流程無死角分析。
惡意攻擊模擬更實戰(zhàn):對官方發(fā)布系統(tǒng)與軟件攻擊模擬,自動化挖掘存在漏洞和風(fēng)險。
分析數(shù)據(jù)更可觀:行為統(tǒng)計、時間軸建模、應(yīng)用權(quán)限分析、敏感函數(shù)展示、敏感數(shù)據(jù)分析、行為記錄、運行截圖等多項數(shù)據(jù)展示,并支持?jǐn)?shù)據(jù)導(dǎo)出功能。
測試項目更全面:課題組具有大量軟件自動化測試經(jīng)驗,可支持適配測試、功能測試、可靠性測試、安全性測試、環(huán)境測試、安全測試需求。
性能參數(shù):準(zhǔn)確性高,超過 97%的正確識別率;完成一次普通測試任務(wù)不足 30 分鐘,測量時間短,重現(xiàn)性好。
2 應(yīng)用說明
本系統(tǒng)針對 Android 工程師與普通用戶提供自動化惡意行為檢測服務(wù),在此基礎(chǔ)上,針對高級大型企業(yè)本系統(tǒng)提供 STAX 分布式測試服務(wù),以滿足適配性測試、功能性驗證測試、可靠測試、安全性測試、環(huán)境測試、安全測試、交互測試、認(rèn)證測試需求,可極大減少測試周期,針對第三方管控部門特殊需求將額外提供自動化應(yīng)用軟件爬取服務(wù)與證據(jù)留存服務(wù)。課題組 2013 年 1 月至今,與成都信息安全產(chǎn)業(yè)基地合作,為中國聯(lián)通研發(fā)移動互聯(lián)網(wǎng)應(yīng)用程序自動化檢測系統(tǒng)。除此之外對 Google Play、機(jī)鋒市場等平臺爬取數(shù)十萬 Android應(yīng)用軟件,并實施自動化檢測分析,結(jié)果表明本系統(tǒng)的識別率超過 97%。
3 效益分析
目前,國內(nèi)外針對 Android 平臺應(yīng)用檢測大部分需要人工參與,一方面需要耗費大量人力資源,另一方面人工易疲勞出錯,因此迫切需要快速、準(zhǔn)確自動化檢測系統(tǒng),本系統(tǒng)具有較大的推廣空間。對于需要人工參與的測試方案,業(yè)界標(biāo)準(zhǔn)價格為 6000-8000 元/款,且測試周期較長。本系統(tǒng)商用版價格每套軟件約 150 萬元/年,并可以免費享受技術(shù)支持一年。相對比傳統(tǒng)測試方案,按照中低型電信運營商市場應(yīng)用檢測需求為 50 款/天,一年按300天計算,一年可節(jié)約分析成本超過 900 萬元,極大提高企業(yè)收益。
4 合作方式
轉(zhuǎn)讓或者聯(lián)合推廣。
5 項目所屬行業(yè)領(lǐng)域
電子信息。
