清華大學科技成果——移動互聯網Android應用惡意行為自動化檢測系統成果簡介移動互聯網將移動通信和互聯網二者結合起來，成為當今世界發展最快、市場潛力最大、前景最誘人產業發展方向。最新數據統計，中國移動互聯網用戶已達到4.64億。各大應用市場如GooglePlay有百萬種應用，國內機鋒市場、天翼等平臺也具有大量的安卓應用。這些應用在給人們帶來巨大便利的同時，也帶來巨大的信息安全隱患和風險，據統計超過九成的應用軟件涉嫌竊取用戶隱私、惡意扣費、惡意推廣、惡意捆綁植入病毒/木馬等惡意行為。這些惡意行為不僅給用戶帶來經濟損失，甚至涉及人身安全問題。因此迫切需要快速、準確地自動化檢測如此龐大的應用程序的惡意行為。傳統手機殺毒軟件基于PC時代檢測特征序列的方式識別惡意軟件/惡意行為，雖然這種方式高效、易于同步檢測，但是存在只能查殺已知威脅、反饋周期長、易于繞過等諸多問題。為了解決上述問題，我們設計并實現一個Android應用惡意行為自動化檢測系統。本系統提供一個基于行為查殺的完整解決方案，可服務于第三方管控部門、高級大型企業（如電信運營商）、Android工程師與普通用戶等三大類用戶。本系統結合靜態分析、動態追蹤、網絡流量定位三種方法實現“數據流、控制流、網絡流”三流融合分析技術，可提供自動化應用軟件爬取、自動化檢測分析、自動化特征庫更新、自動化惡意行為挖掘、惡意攻擊訓練、證據留存等多項服務，達到爬取自動化、處理高效化、分析智能化、信息安全化的設計目標。系統特點全平臺部署更實用：跨平臺語言設計，多重角度防護，可部署于WindowsXP/WIN7/WIN8以及Linux主流版本。自學習、更新更方便：應用圖論分析技術、自動化行為特征挖掘等技術，挖掘具有通用性的惡意行為鏈，無需頻繁升級模型庫。智能網絡爬蟲更高效：針對第三方監控需求，本系統提供自動化網絡爬取功能，可實現最優監控部署、最優更新策略。“3x3”立體更高維：“靜態分析、動態追蹤、網絡流量三維度”，“數據流、控制流、網流”三層面，智能立體分析模式，無懈可擊的安全檢測。11類41種惡意行為檢測更全面：可有效對隱私竊取、系統破壞、信息破壞等41種惡意行為檢測。層級分析更迅速：系統依據層級分析結構，快速定位，快速甄別，快速分析。“三流融合”更細致：本系統結合底層APIHOOK、動態污染分析、靜態行為鏈識別、網絡流量檢測等方式，可分析惡意軟件的函數調用關系、數據傳播定位、惡意行為網絡數據包。惡意特征自動統計挖掘更可靠：特征自動挖掘更節省人力與計算資源，標準處理流程無死角分析。惡意攻擊模擬更實戰：對官方發布系統與軟件攻擊模擬，自動化挖掘存在漏洞和風險。分析數據更可觀：行為統計、時間軸建模、應用權限分析、敏感函數展示、敏感數據分析、行為記錄、運行截圖等多項數據展示，并支持數據導出功能。測試項目更全面：課題組具有大量軟件自動化測試經驗，可支持適配測試、功能測試、可靠性測試、安全性測試、環境測試、安全測試需求。性能參數準確性高，超過97%的正確識別率；完成一次普通測試任務不足30分鐘，測量時間短，重現性好。應用說明本系統針對Android工程師與普通用戶提供自動化惡意行為檢測服務，在此基礎上，針對高級大型企業本系統提供STAX分布式測試服務，以滿足適配性測試、功能性驗證測試、可靠測試、安全性測試、環境測試、安全測試、交互測試、認證測試需求，可極大減少測試周期，針對第三方管控部門特殊需求將額外提供自動化應用軟件爬取服務與證據留存服務。課題組2013年1月至今，與成都信息安全產業基地合作，為中國聯通研發移動互聯網應用程序自動化檢測系統。除此之外對GooglePlay、機鋒市場等平臺爬取數十萬Android應用軟件，并實施自動化檢測分析，結果表明本系統的識別率超過97%。效益分析目前國內外針對Android平臺應用檢測大部分需要人工參與，一方面需要耗費大量人力資源，另一方面人工易疲勞出錯，因此迫切需要快速、準確自動化檢測系統，本系統具有較大的推廣空間。對于需要人工參與的測試方案，業界標準價格為6000-8000元/款，且測試周期較長。本系統商用版價格每套軟件約150萬元/年，并可以免費享受技術支持一年。相對比傳統測