移动互联网将移动通信和互联网二者结合起来，成为当今世界发展最快、市场潜力最大、 前景最诱人的产业发展方向。最新数据统计，中国移动互联网用户已达到 4.64 亿。各大应 用市场如 Google Play 有百万种应用，国内机锋市场、天翼等平台也具有大量的安卓应用。 这些应用在给人们带来巨大便利的同时，也带来巨大的信息安全隐患和风险。据统计，超过 九成的应用软件涉嫌窃取用户隐私、恶意扣费、恶意推广、恶意捆绑植入病毒/木马等恶意 行为。这些恶意行为不仅给用户带来经济损失，甚至涉及人身安全问题。因此迫切需要快速、 准确地自动化检测如此庞大的应用程序的恶意行为。

传统手机杀毒软件基于 PC 时代检测特征序列的方式识别恶意软件/恶意行为，虽然这种 方式高效、易于同步检测，但是存在只能查杀已知威胁、反馈周期长、易于绕过等诸多问题。 为了解决上述问题，我们设计并实现一个 Android 应用恶意行为自动化检测系统。本系统提 供一个基于行为查杀的完整解决方案，可服务于第三方管控部门、高级大型企业（如电信运 营商）、Android  工程师与普通用户等三大类用户。本系统结合静态分析、动态追踪、网络 流量定位三种方法实现“数据流、控制流、网络流”三流融合分析技术，可提供自动化应用软 件爬取、自动化检测分析、自动化特征库更新、自动化恶意行为挖掘、恶意攻击训练、证据 留存等多项服务，达到爬取自动化、处理高效化、分析智能化、信息安全化的设计目标。本 系统主要的特点如下：

l 全平台部署更实用：

跨平台语言设计，多重角度防护，可部署于 Windows XP /WIN7/WIN8 以及 Linux 主流 版本。

l 自学习、更新更方便： 应用图论分析技术、自动化行为特征挖掘等技术，挖掘具有通用性的恶意行为链，无需

频繁升级模型库。

l 智能网络爬虫更高效： 针对第三方监控需求，本系统提供自动化网络爬取功能，可实现最优监控部署、最优更

新策略。

l “3x3”立体更高维： “静态分析、动态追踪、网络流量三维度”，“数据流、控制流、网流”三层面，智能立体

分析模式，无懈可击的安全检测。

l 11 类 41 种恶意行为检测更全面：

可有效对隐私窃取、系统破坏、信息破坏等 41 种恶意行为进行检测，分类图如下图所示。

l 层级分析更迅速： 系统依据层级分析结构，快速定位，快速甄别，快速分析。

l “三流融合”更细致：

本系统结合底层 API HOOK、动态污染分析、静态行为链识别、网络流量检测等方式， 可分析恶意软件的函数调用关系、数据传播定位、恶意行为网络数据包。

l 恶意特征自动统计挖掘更可靠： 特征自动挖掘更节省人力与计算资源，标准处理流程无死角分析。

l 恶意攻击模拟更实战： 对官方发布系统与软件攻击模拟，自动化挖掘存在漏洞和风险。

l 分析数据更可观： 行为统计、时间轴建模、应用权限分析、敏感函数展示、敏感数据分析、行为记录、运

行截图等多项数据展示，并支持数据导出功能。

l 测试项目更全面： 课题组具有大量软件自动化测试经验，可支持适配测试、功能测试、可靠性测试、安全

性测试、环境测试、安全测试需求。 性能参数：

l 准确性高，超过 97%的正确识别率；

l 完成一次普通测试任务不足 30 分钟，测量时间短，重现性好。