360移动互联网恶意软件分析平台

　　【摘要】移动互联网恶意软件的爆发式增长，迫切需要安全厂商实现移动互联网恶恶意软件样本的自动化分析。本文阐述了奇虎360在手机恶意软件样本自动化分析检测领域的技术实践和主要关键技术。
　　【关键词】移动互联网；恶意软件；样本自动化分析
　　1引言
　　我国移动互联网正处在快速发展的历史机遇中，手机应用软件（APP）层出不穷、繁荣发展。但由于安卓系统的开源和开放性，手机木马、手机病毒等各类恶意APP也开始出现并迅速增粘，安卓平台的安全形势越来越不容乐观。
　　根据360安全中心发布的《2012年中国手机安全状况报告》显示，2012年360互联网安全中心新增手机恶意软件样本174977款，同比2011年增长1907%，感染人次71664334人次，同比2011年增长160%；其中，Android平台以新增样本123681款，占全部新增样本数量的71%，感染量达51746864人次，占恶意软件感染总次数的78%，成为手机恶意软件的主要感染平台。2012年12月，其更以单月新增30809款达到历史新高。
　　恶意软件导致的移动终端个人信息泄露问题日益严峻，相关负面报道的不断出现，例如2011年12月，一款名为CarrierIQ（简称CIQ）的内核级间谍软件被曝光，该软件会暗中收集用户隐私信息，甚至每按下一次键盘都会被秘密地记录在案，并将手机内容上传至网络，让手机用户对隐私泄露产生恐慌。
　　随着个人信息泄露问题日益严峻，智能手机终端个人信息保护日益受到人们关注，迫切需求制定移动互联网软件安全标准，研发移动互联网智能手机恶意软件监测、分析和查杀的相关技术和产品，保护用户个人信息安全，为用户提供安全可控的移动互联网安全产品和服务。
　　2手机恶意软件自动分析检测技术发展
　　对手机恶意软件的样本进行分析和鉴定，需要有一套自动化的分析和检测系统。目前，对手机恶意软件样本的自动化分析技术主要包括两类。
　　（1）静态扫描技术：包括两种，一种是传统的特征码扫描匹配技术，另一种是基于数据挖掘的样本识别与分析技术，例如项目承担单位实现了基于机器学习的样本人工智能分析技术，亦即：在建立大量已知黑白样本的训练集基础之上，采用人工智能机器学习算法，对程序文件的静态、行为等特征进行抽取，建立一定的机器学习模型，经过对新样本的不断训练，训练模型将在检出率和误报率之间达到一个较好的平衡，从而实现对未知恶意软件的智能启发式识别能力。
　　（2）动态行为分析技术：即在一个特定的模拟环境中，监控应用软件的行为，建立恶意软件行为的动态模型，形成一系列恶意软件行为的规则库，通过实时监控识别未知的可疑恶意软件。
　　3360移动互联网恶意软件检测分析平台
　　3.1系统总体架构
　　360移动互联网恶意软件自动化分析系统的总体设计方案如图1所示。
　　3.1.1终端恶意软件查杀
　　恶意软件查杀的技术路线主要从客户端和云端实现恶意软件的监控与防御--在手机客户端实现主动防御功能，在云端实现联网云查杀的接口服务。其中，主动防御是对系统事件进行实时监控，即当发现手机客户端有异常行为，如未经用户同意即发送付费短信，或者私自联网时，可以在第一时间进行拦截，并且明确提示用户（由用户决定是否继续此行为以及对该软件的后续处理）。
　　对于普通用户来说，由于软件信息不够透明，用户可能仍无法定性软件是否真的为恶意，因此仅有主动防御对于根除恶意软件是不够的。采用云安全系统设计，用户可以通过与服务器的交互进行"云查杀"--由手机客户端提取该软件的特征码信息，上传至服务端进行即时校验，然后返回该软件的具体信息向用户展现，帮助用户做出准确判断。
　　3.1.2服务器端手机恶意软件样本自动化分析检测
　　通过对手机应用软件的使用特点及其面临的安全风险进行分析，选取和使用相应的自动化分析技术和软件权限检测技术。从安装与卸载、程序访问权限、数据安全性、通讯安全性以及人机接口安全性等方面的技术对手机应用软件的安全性进行检测，防止非授权访问、异常执行等。