针对日益严重的移动互联网终端应用安全问题,支撑公司手机恶意软件治理工作,积极开展了移动终端应用的安全检测技术,研发了终端应用及恶意软件安全检测平台(MAST);针对移动智能终端的安全防护,研发了移动手机卫士产品,形成了针对移动终端应用层的端到端整体防范体系。
终端应用及恶意软件安全检测平台
终端应用及恶意软件安全检测平台采用可扩展的分布式分析技术、半自动化的恶意软件分析处理技术、基于衍生物精确识别的预处理技术、基于行为模糊识别的静态分析技术、基于沙箱的动态分析技术、基于统计规则的综合判定技术等6大关键技术,实现了对未知恶意软件的自动化分析和判定。该平台将极大提高终端应用安全检测效率,降低人工负荷,并可扩展应用于终端应用软件的安全性检测,从源头保障用户不受恶意软件的侵害,后续将重点推广其应用落地。
该平台的主要功能特点如下:
1) 样本采集
通过用户上报、主动采集、现网监测、样本交换等多个渠道采集移动软件样本,并通过专用接口输入移动应用及恶意软件安全检测系统进行自动化的分析和判定。
2) 移动应用安全检测
采用样本预处理、静态分析、动态分析、综合关联分析等多种自动化的技术手段,并辅助人工对输入样本进行安全性分析和判定。
- 预处理
支持对主流移动应用软件(如apk、sis、sisx等)文件格式的拆解和识别,识别应用软件的签名信息、安装信息、权限信息,并支持对应用软件衍生关系的深度识别。
- 静态分析
用于对移动终端应用软件进行自动化的反汇编和反编译分析,支持对API函数调用关系和序列进行解析,对API函数调用参数和字符串进行解析,进而进一步发现恶意性的关键字符串和函数。
- 动态分析
基于沙箱技术的动态行为养殖分析环境,通过自动化装载目标移动终端应用软件,对常规的系统事件消息,系统操作进行模拟触发,对目标移动终端应用在运行过程中的相关行为进行记录和分析,从而进一步判定其恶意性。
- 人工辅助研判
基于静态分析和动态分析所得到的分析结果,进行综合关联分析,对恶意代码进行自动化的检测和识别,完成初步判定,并结合人工辅助进一步确认其判定结果,从而提高样本分析效率,降低样本分析的单位成本。另外,对于有较高危险性的样本进行深度的人工辅助判定。
3) 服务
- 恶意软件判定服务
作为现网手机恶意监测的后台支撑服务,提供恶意软件判定服务,接收现网传送的疑似样本,进行恶意性分析和判定,进而支撑现网恶意软件监测。
- 为手机用户提供应用安全检测服务
为公众用户开放应用安全检测服务,用户可将下载的应用软件提交到该平台进行安全性测评,从而保证用户安装应用时的安全。
- 为应用软件发布机构提供批量的应用软件安全检测服务
(责任编辑:)
