移動應用批量檢測系統(tǒng)技術方案

移動應用批量檢測系統(tǒng)技術方已經開始我國的國家安全。三中全會提出了國家安全的建立，使得在國家層面關注度得到的極大提升。今年2月27日，網絡安全和信息化小組成立，親自擔任組長，，沒有就沒有國家安全，沒有信息化就沒有現(xiàn)代化。這說明，我國對信息安全的認識已經上升到了層面。各種各樣的行為極大的損害了廣大用戶的利益據(jù)CNCERT報告統(tǒng)計，騙等程序量最高。2013年隱私類（可以將用戶的帳戶等發(fā)送到指定位置）的比例達到21%，中的資費消耗類的程序量最高，比例占46%，扣費類比例達到21%。圖：各類程序所占比 動應用進行批量檢測。同時，天翼空間自身成立了一個約10個人的團隊在進行人工檢測和復查。人工測試一款待上線應用，包括安全性（如：音、等系統(tǒng)檢測不太準確的內容和可用（如:功能可用性終端適配性等）20-50測，因而灰度的界定一直是難題。對與APP中包含的的、缺乏有效的管在檢測技術方面，如對、文字的合規(guī)檢測，主要依賴人工，缺乏技檢測提供的檢測依據(jù)；提供的安全策略，對所有的移動應用進行移動應用批量檢測架構設全性已經確定，用于檢測過程中的比對。包括：代碼特征庫、文件庫、黑白庫、開發(fā)者庫、庫、內容庫。查殺引擎：對現(xiàn)有已發(fā)現(xiàn)的特征進行掃描，為保障掃描的全面性靜態(tài)檢測系統(tǒng)APK包反編譯成源文件和對其進行開發(fā)者識別、配置文件分析、敏感行為分析、文件分析、URL文字分析等工作。態(tài)產生的行為，主要包括：網絡行為檢測、文件IO行為檢測、行為參數(shù)分析、數(shù)據(jù)加密、反射函數(shù)、虛擬環(huán)境破壞幾個部分。人工分析平臺：一方面是對匹配上的、靜態(tài)檢測、動態(tài)檢測產生其他系統(tǒng)將不良信息進行集中管理向移動應用提供、不良信息的檢測服務，從而衡量標準。針對目前移動應用中存在的篡改、二次加殼等現(xiàn)象，將正版文件計算HASH值，然后與待檢測的HASH值進行比對，從而判斷是否被修改。移動應用批量檢測架構流程過代碼查殺步驟，對市面上已知的代碼進行查殺；然后經過靜態(tài)檢測步驟，對待檢測應用的風險級別進行判定；之后經過動態(tài)檢測，讓在沙盒中運營，捕獲其的行為；最后進入人工檢測環(huán)節(jié)，對高風險、有待判定行查殺引擎方基于特征代碼的查殺原理：使用每一個代碼體含有的特征 發(fā)現(xiàn)了某一特征碼，就表明發(fā)現(xiàn)了該特征碼所代表的代碼。查殺引擎的邏輯結構圖：反引擎結APKAPK特征庫:用戶存放各類型特征值，包括：特征字串庫、.Smali庫、特征文件庫；特鎮(zhèn)庫模塊可以靈活設置，可以與云端平臺合并，在查殺引擎的實際部署方面可以與中國電信網運部建設的代碼平臺進行對接，作為的查殺引擎。此外，合作廠商查殺引擎的建設方面，建議與騰訊管家、等反廠商合作，廠商一般會提供反引擎程序在本地進行查殺，定時更新庫即可。反引擎已經內置了特征碼查殺和啟發(fā)式查殺。首先使用APKTool工具（或者其他類似工具）將APK文件分解得到AndroidManifesf.xml文件Classes.dexMETA-INF文件夾和resclasses.dexSmali將AndroidManifesf.xml文件、Classes.dex文件、.Smali文件進行特針對AndroidManifesf.xml文件、Classes.dex文件進行字符串特征值匹配；針對.Smali.Smali最后將獲取的代碼名稱、路徑、特征值返回管理平臺圖：代碼查殺流靜態(tài)檢測方靜態(tài)檢測原理：通過靜態(tài)檢測系統(tǒng)，可以區(qū)分出安全的應用程序和各種從多個角度進行風險分析和計算出風險系數(shù)。java的反射機制，無法解析出動態(tài)參數(shù)，以及動移動應用基本信息識別模塊MD5/SHA-3級（越高越負責識別應用程序的開發(fā)者信息，檢測應用程序的安全性。開發(fā)者識別是基于開發(fā)者行識別的，開發(fā)者庫按安全風險等級定義開發(fā)者。主要內容：包括開發(fā)者信息、識別、MD5/SHA-3級（越高越表：開發(fā)者信用上傳次數(shù)和檢測記錄綜合評定；利用識別開發(fā)者，每檢測1個安全的應用分數(shù)加1，每發(fā)現(xiàn)1個應用分數(shù)減5，根據(jù)分數(shù)確定的等級移動應用的開發(fā)者的相關信息在，META-INF下。該中包含，開發(fā)者、公鑰、頒發(fā)者、序列號等信息。文件識別處理模一些代碼經常被加密成資源文件，從而避免被查殺到，文件識別處理模塊負責檢測應用程序中是否包含文件，包括程序、加密的毒文件、系統(tǒng)提權文件、、配置文件等等實現(xiàn)原理：該模塊首先提取出應用程序的文件信息，然后在文件庫中檢測，然后在文件庫中檢測。圖：文件識別原理示敏感行為分析模被或可疑利用的行為點。在Android應用中，需要使用某種權限，需要在AndroidManifest.xml中申明的移動應用的安裝權限，如：行行為類在收件箱創(chuàng)建行行為類在收件箱創(chuàng)建在收件箱刪除使背景燈長程序IMEIIMSIGSMGPS通話狀態(tài)行位置行獲取打開打設置收藏夾主疑似行添加網頁到收藏疑似行疑似行配置文件分析模配置文件分析模塊負責分析manifest等配置文件，解析出應用程序是否分析AndroidManifest.xml配置文件，解析出應用包含的activityreceiver、service、contentprovider4receiver的事件作為判斷的一個評分點。應用的高如下： "ent.action.PACKAGE_ADDED":"處理app安裝","ent.action.PACKAGE_CHANGED":"處理app改變","ent.action.PACKAGE_REMOVED":"處理app刪除","ent.action.PACKAGE_RESTARTED":"處理app重啟","vider.ephony.SMS_RECEIVED":"處理接收 事件

"ent.action.DATA_SMS_RECEIVED":"處理接收數(shù)據(jù)"vider.ephony.WAP_PUSH_RECEIVED":"處理接收PUSH"ent.action.NEW_OUTGOING_CALL":"處理呼出的","ent.action.PHONE_STATE":"處理狀態(tài)改變事件，"ent.action.PACKAGE_INSTALL":app權限分析模將權限分析模塊引入系對已知按照的必限進行檢驗過濾同各類權限分析（基于具體代碼）的分類，見附件字符串分析模符串，包括特征字符串、、特定配置信息、特定方法名字符串等開頭的字符串，并與URL庫中的文件進行比較字符串提取方法從apk文件的classes.dex文件中提取字符串然后從res下提取strings.xml文件中的字符串，與庫列表中的詞進行比較。和音提取方法：將apk文件反編譯，提取res和 下jpg/png/ico/mp3/avi等常見格式后綴的文件然后人工分析確認是否有不合適內容的音文件。靜態(tài)檢測的流程首先使用APKTool工具（或者其他類似工具）將APK文件分解得到AndroidManifesf.xml文件、Classes.dex文件、META-INF文件夾和res、Assetclasses.dex.Smali分別對AndroidManifesf.xml文件進行組件和權限分析、對Res、Asset文件夾進行內容分析，對.Smali文件進行調用函數(shù)分析，對META-INF進行aia,動態(tài)檢測方動態(tài)檢測系統(tǒng)原Javadexjar，native動態(tài)檢測主要分為兩塊：1.事件模擬2.是應用常見的觸發(fā)判斷條件。系統(tǒng)控制：主要包括安裝并啟動apk、動態(tài)污染數(shù)據(jù)分析、行為日志記錄。動態(tài)污染數(shù)據(jù)分析用來進行隱私的檢測，包括、聯(lián)系人、IMSI、IMEI、等。行為日志記錄用來進一步分析應用進行的操作。動態(tài)檢測系統(tǒng)監(jiān)測范圍包括網絡文件IO 安裝包的安裝以及發(fā)起進 文件讀寫事件及發(fā)起進行聯(lián)網的地址、內容以及發(fā)起進實時流量，支其記錄一段時間內文件IO使用strace記錄系統(tǒng)調用的方式實現(xiàn)網絡使用tcpdump抓包的方式進行并用程序分析抓取的網絡數(shù)行為通過分析運行日志記錄的方法提取出來。具體記錄的行為如下：["sendData_fuc","["action:vider. ["dial_fuc","撥打["call_fuc","撥打"],["answerRingingCall_fuc","接聽"],["acceptCall_fuc","接聽"],["rejectCall_fuc","拒接["installPackage_fuc","apk"],["deletePackage_fuc","刪除apk"],["act=ent.action.CALL","撥打"], :su","提權"], :remount","掛載文件系統(tǒng)"], :/system/xbin/su","提權"], :/system/bin/su","提權"], ephony/carriers","APN相關操作"],["getDeviceId_fuc","獲取IMEI"],["getSimSerialNumber_fuc","獲取序列號"],["getSubscriberId_fuc","獲取IMSI"],["getLine1Number_fuc","獲取號碼"],["startWifi_fuc","開啟WIFI"],["startScan_fuc","WIFI"],["setWifiEnabled_fuc","WIFI可用狀態(tài)"],["startDownloadByUri_fuc","網絡資源"], .android.browser/.BrowserActivity","網絡"]其他輔助系統(tǒng)原理設檢測系檢測系統(tǒng)檢測應用程序所包含的。系統(tǒng)基于特征對應用程序進行檢測，返回所包含的名稱、廠家、類型等信息檢測方法，人工分析收集市面上常用的第平臺，提取特征Activity，制作平臺庫，然后根據(jù)組件分析中的Activity名字與平臺行匹配來檢測使用的平臺。不良信息過濾系包括將音文字提取提取模塊通過配置文件的方式實時地對擎進行控制，按照用戶的不同需求，使用，F(xiàn)TPSFTPFT（SFTPFTP程序正版鑒定系程序正版鑒定系統(tǒng)檢測應用程序是否為正版。首先提取出應用程序的并賦一個權值作為該模塊的返回值。如果信息不一致，逐步比對里面逐個文件，找出篡改點。通過檢測確定被檢測程序包是否為正版，或是被第惡系統(tǒng)的服務流程及對接接天翼空間安檢服務現(xiàn)場服務2014app20201317萬。每天檢測的應用數(shù)量大約100個應用；按照平均15M的文件大小，預計安全檢測系統(tǒng)的待檢測應用每天在特定時間（大約是凌晨1點） ，安檢系統(tǒng)獲取程序APK應用的提交方式有3種一種是方式安檢服務器指定的文件 有新APK立即發(fā)起檢測；另一種是動態(tài)提交方式，安檢平臺提供URL接口，調，用方提供APK地址安檢