摘要：隨著移動(dòng)互聯(lián)網(wǎng)的飛速發(fā)展，移動(dòng)智能終端及運(yùn)行于各類移動(dòng)智能終端上的移動(dòng)應(yīng)用程序（Mobile Internet Application，App）已全面滲透人們的工作和生活。移動(dòng)應(yīng)用爆發(fā)式增長(zhǎng)帶來(lái)了安全漏洞、個(gè)人隱私泄露、惡意行為等諸多問(wèn)題，App的安全監(jiān)測(cè)檢測(cè)問(wèn)題已經(jīng)引起了社會(huì)大眾的普遍關(guān)注。本文根據(jù)網(wǎng)信部門的監(jiān)管需求，建設(shè)移動(dòng)App監(jiān)測(cè)檢測(cè)平臺(tái)，評(píng)判是否符合App網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)要求。

關(guān)鍵詞：移動(dòng)應(yīng)用程序；App；惡意行為；監(jiān)測(cè)檢測(cè)

隨著移動(dòng)互聯(lián)網(wǎng)的飛速發(fā)展，移動(dòng)智能終端及運(yùn)行于各類移動(dòng)智能終端上的移動(dòng)應(yīng)用程序（Mobile Internet Application，App）已全面滲透人們的工作和生活[1]。移動(dòng)應(yīng)用爆發(fā)式增長(zhǎng)帶來(lái)了安全漏洞、個(gè)人隱私、惡意行為等諸多問(wèn)題，App的安全監(jiān)測(cè)檢測(cè)問(wèn)題已經(jīng)引起了社會(huì)大眾的普遍關(guān)注[2]。

本文根據(jù)網(wǎng)信部門的監(jiān)管需求，根據(jù)《移動(dòng)互聯(lián)網(wǎng)惡意程序描述格式》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》《移動(dòng)應(yīng)用軟件安全評(píng)估方法》《移動(dòng)應(yīng)用軟件安全評(píng)估方法》[3]，研究App應(yīng)用程序客戶端源代碼是否存在惡意行為、收集用戶信息行為是否合理、調(diào)用系統(tǒng)權(quán)限是否合理等方面進(jìn)行安全檢測(cè)和評(píng)估，建設(shè)移動(dòng)App監(jiān)測(cè)檢測(cè)平臺(tái)，評(píng)判是否符合App網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)要求[4]。

一、研究目標(biāo)

①滿足全省App治理工作要求：對(duì)全省App資產(chǎn)進(jìn)行測(cè)繪，全面掌握省內(nèi)App基礎(chǔ)信息。通過(guò)App數(shù)據(jù)上墻，掛圖作戰(zhàn)、網(wǎng)格化管理等方式，實(shí)現(xiàn)App治理執(zhí)法的快速落地。

②搭建能力平臺(tái)，場(chǎng)景驅(qū)動(dòng)App治理落地：打造新一代App能力平臺(tái)，面向App安全風(fēng)險(xiǎn)評(píng)估、App惡意軟件檢測(cè)、App違法違規(guī)檢測(cè)、App漏洞態(tài)勢(shì)等業(yè)務(wù)場(chǎng)景落地App治理工作，幫助監(jiān)管單位掌控當(dāng)前市場(chǎng)上某類、行業(yè)、地區(qū)的移動(dòng)應(yīng)用安全狀況。

③對(duì)外開(kāi)放賦能：App安全檢測(cè)、安全加固等平臺(tái)基礎(chǔ)能力對(duì)外開(kāi)放；借助平臺(tái)聚合第三方的數(shù)據(jù)，建設(shè)統(tǒng)一的App信息情報(bào)庫(kù)，對(duì)外提供情報(bào)共享服務(wù)，以業(yè)務(wù)和情報(bào)為驅(qū)動(dòng)，構(gòu)建快速、標(biāo)準(zhǔn)的App安全服務(wù)。以平臺(tái)建設(shè)為契機(jī)，引導(dǎo)支撐單位積極參與平臺(tái)運(yùn)營(yíng)，推進(jìn)、完善監(jiān)管單位技術(shù)支撐體系建設(shè)。

二、技術(shù)研究

通過(guò)采用移動(dòng)互聯(lián)網(wǎng)應(yīng)用特征檢測(cè)技術(shù)、靜態(tài)API檢測(cè)技術(shù)、動(dòng)態(tài)沙箱檢測(cè)技術(shù)等技術(shù)手段，構(gòu)建App安全分析研判引擎中臺(tái)，對(duì)搜集到的App進(jìn)行安全風(fēng)險(xiǎn)評(píng)估、惡意軟件檢測(cè)、違法違規(guī)檢測(cè)等綜合安全檢測(cè)，支撐網(wǎng)信辦和通管局持續(xù)開(kāi)展App侵害用戶權(quán)益的整治行動(dòng)，包括安全檢查、上架評(píng)估等。

（一）App靜態(tài)行為掃描引擎

通過(guò)不斷積累敏感API特征和函數(shù)，以逆向工程為基礎(chǔ)，將手機(jī)平臺(tái)文件未公開(kāi)結(jié)構(gòu)進(jìn)行代碼還原。所謂逆向分析技術(shù)指對(duì)移動(dòng)應(yīng)用進(jìn)行逆向分析，包括對(duì)語(yǔ)法、代碼進(jìn)行分析，破解應(yīng)用的源代碼，調(diào)整源代碼的邏輯，輸出相關(guān)日志數(shù)據(jù)，獲取App程序通信、行為特征，挖掘和發(fā)現(xiàn)App的漏洞、代碼風(fēng)險(xiǎn)等問(wèn)題。

（二）基于廣譜特征的掃描引擎

建立多維度的特征掃描機(jī)制，搭配一個(gè)強(qiáng)大的惡意軟件特征知識(shí)庫(kù)。通過(guò)對(duì)智能終端應(yīng)用軟件的全量解析，對(duì)惡意軟件多態(tài)特征進(jìn)行快速定位。引擎目前累計(jì)廣譜特征4700萬(wàn)，特征范圍包括了代碼執(zhí)行序列、簽名、類、字符串、自定義的特征，保證了傳統(tǒng)檢測(cè)方式的準(zhǔn)確性、覆蓋性，同時(shí)有專業(yè)的分析團(tuán)隊(duì)每天對(duì)檢測(cè)特征進(jìn)行維護(hù)，保證了特征更新的及時(shí)性。

（三）基于組合式特征啟發(fā)式檢測(cè)引擎

組合式特征啟發(fā)式檢測(cè)，主要是通過(guò)根據(jù)App API函數(shù)調(diào)用信息、API調(diào)用參數(shù)、API調(diào)用序列等為基礎(chǔ)，結(jié)合權(quán)限申請(qǐng)情況、常見(jiàn)惡意程序的行為特征，對(duì)待檢測(cè)樣本進(jìn)行惡意行為模式的檢測(cè)，可以有效檢測(cè)出未知樣本中的高風(fēng)險(xiǎn)樣本。

（四）基于AI的惡意程序檢測(cè)引擎

當(dāng)前的惡意App分析方式主要是依賴靜態(tài)、動(dòng)態(tài)沙箱提取已有樣本的代碼和行為特征，依據(jù)經(jīng)驗(yàn)確定識(shí)別規(guī)則，規(guī)則的有效性缺乏論證。先驗(yàn)規(guī)則只能檢測(cè)特征庫(kù)已收錄的惡意程序，無(wú)法識(shí)別未知的惡意樣本，因此使用機(jī)器學(xué)習(xí)和深度學(xué)習(xí)有助于海量Android應(yīng)用程序的自動(dòng)化識(shí)別，有助于發(fā)現(xiàn)現(xiàn)有App檢測(cè)引擎無(wú)法識(shí)別的未知惡意App。

（五）動(dòng)態(tài)沙箱檢測(cè)引擎

沙箱技術(shù)的本質(zhì)是利用軟件的環(huán)境模擬真實(shí)終端硬件環(huán)境來(lái)運(yùn)行目標(biāo)程序，關(guān)鍵技術(shù)在于如何更真實(shí)地模擬程序的運(yùn)行環(huán)境，讓其盡可能地展現(xiàn)自身行為，并能夠通過(guò)技術(shù)手段控制其目標(biāo)行為，達(dá)到一種在虛擬環(huán)境中動(dòng)態(tài)控制目標(biāo)行為的目的。當(dāng)前可引入最新的沙箱技術(shù)，目前在基于定制的rom中進(jìn)行動(dòng)態(tài)行為檢測(cè)：定制rom沙箱系統(tǒng)通過(guò)對(duì)Android核心源碼的修改，分別在Framework、Libraries、Runtime、Linux kernel 層加入檢測(cè)代碼，編譯成完整的系統(tǒng)固件，實(shí)現(xiàn)了具有行為檢測(cè)功能的原生系統(tǒng)。由于所有功能已編譯在系統(tǒng)固件中，不需要后期注入，所以在沙箱的穩(wěn)定性和效率方面有了很大的提高。同時(shí)通過(guò)對(duì)不同層級(jí)的代碼修改，實(shí)現(xiàn)了更加廣泛的檢測(cè)點(diǎn)覆蓋。

（六）加固App檢測(cè)引擎

加固App檢測(cè)主要流程為靜態(tài)引擎檢測(cè)App是否進(jìn)行加固，之后通過(guò)脫殼沙箱加固App進(jìn)行脫殼，并將提取的dex文件反饋給靜態(tài)引擎進(jìn)行惡意程序檢測(cè)、數(shù)據(jù)鉆取、漏洞檢測(cè)等。

三、研究成果

（一） App基礎(chǔ)信息管理系統(tǒng)

App資產(chǎn)測(cè)繪支持App樣本的手動(dòng)上傳，支持采用App爬蟲(chóng)技術(shù)自動(dòng)對(duì)全國(guó)400多個(gè)移動(dòng)應(yīng)用商店進(jìn)行App樣本爬取資產(chǎn)測(cè)繪，可實(shí)現(xiàn)采集任務(wù)的定時(shí)控制。App應(yīng)用爬取數(shù)量為每天8000個(gè)。通過(guò)資產(chǎn)測(cè)繪，全面掌握省內(nèi)App基礎(chǔ)信息，包括：App信息、應(yīng)用商店信息、開(kāi)發(fā)者信息、備案企業(yè)信息、備案App信息、通聯(lián)地址信息等。進(jìn)行App研判，發(fā)現(xiàn)App所屬區(qū)域、所在行業(yè)、App開(kāi)發(fā)商、是否違法違規(guī)、是否存在漏洞等信息。

（二）App備案管理系統(tǒng)

與App備案系統(tǒng)對(duì)接，接收App備案信息，對(duì)App樣本打上備案標(biāo)簽，以及備案信息統(tǒng)計(jì)分析、展示等功能。

（三）App基礎(chǔ)信息展示

對(duì)獲取到的App信息進(jìn)行集中管理，展示應(yīng)用基本信息包括：應(yīng)用名稱、應(yīng)用報(bào)名、開(kāi)發(fā)者、證書(shū)SHA1、MD5、應(yīng)用大小、版本、所屬應(yīng)用商店、入庫(kù)時(shí)間，并支持多維度的檢索。

（四） App外部研判信息同步

支持通過(guò)接口方式，從平臺(tái)的App安全全景態(tài)勢(shì)系統(tǒng)，每天自動(dòng)同步歸屬地的App樣本的分析結(jié)果。

實(shí)現(xiàn)App基礎(chǔ)信息態(tài)勢(shì)統(tǒng)計(jì)展示，包括App行業(yè)分布Top5、各地市App分布、應(yīng)用商店異常App分布、App監(jiān)測(cè)情況、最新App展示、樣本元數(shù)據(jù)占比統(tǒng)計(jì)、App趨勢(shì)。

（五）App安全風(fēng)險(xiǎn)評(píng)估

針對(duì)省內(nèi)App，根據(jù)《移動(dòng)互聯(lián)網(wǎng)惡意程序描述格式》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》《移動(dòng)應(yīng)用軟件安全評(píng)估方法》和《移動(dòng)應(yīng)用軟件安全評(píng)估方法》，對(duì)App應(yīng)用程序客戶端源代碼是否存在惡意行為、收集用戶信息行為是否合理、調(diào)用系統(tǒng)權(quán)限是否合理等方面進(jìn)行安全檢測(cè)和評(píng)估，評(píng)判是否符合移動(dòng)應(yīng)用程序（App）網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)要求。移動(dòng)應(yīng)用程序通過(guò)從程序代碼安全、組件安全、通信安全、數(shù)據(jù)存儲(chǔ)安全、內(nèi)部數(shù)據(jù)交互安全、業(yè)務(wù)交互安全、安全策略和漏洞檢測(cè)八大方面，對(duì)待檢測(cè)的App進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，評(píng)估其抵御敏感信息泄露、抵御惡意程序入侵和抵御被黑客惡意利用的安全能力。

（六）App惡意軟件檢測(cè)

針對(duì)省內(nèi)App，依據(jù)YDT 2439-2012《移動(dòng)互聯(lián)網(wǎng)惡意代碼描述規(guī)范》，主要是通過(guò)傳統(tǒng)基于廣譜特征的靜態(tài)檢測(cè)結(jié)合AI的方式進(jìn)行全方位安全檢測(cè)。

首先，通過(guò)傳統(tǒng)基于廣譜特征的檢測(cè)引擎從代碼執(zhí)行序列、簽名、類、字符串、自定義的特征對(duì)惡意程序進(jìn)行基礎(chǔ)研判。 其次，通過(guò)組合特征的啟發(fā)式檢測(cè)引擎，對(duì)高疑似惡意程序樣本進(jìn)行篩選、研判；同時(shí)結(jié)合基于AI引擎的機(jī)器學(xué)習(xí)檢測(cè)，對(duì)未知App樣本進(jìn)行惡意行為檢測(cè)。實(shí)現(xiàn)對(duì)App惡意程序態(tài)勢(shì)統(tǒng)計(jì)，包括App危險(xiǎn)類型占比、惡意App行業(yè)分布Top5、惡意App應(yīng)用商店分布TopN、惡意App監(jiān)測(cè)情況、最新惡意App數(shù)據(jù)展示、惡意App類型家族Top10、惡意App趨勢(shì)。

（七）App違法違規(guī)檢測(cè)

針對(duì)省內(nèi)App，依據(jù)《原生安卓系統(tǒng)收集個(gè)人信息相關(guān)權(quán)限》《移動(dòng)互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》[5]，通過(guò)定制化rom動(dòng)態(tài)沙箱、靜態(tài)行為掃描引擎結(jié)合語(yǔ)義分析子引擎對(duì)App進(jìn)行全方位的檢測(cè)，主要檢測(cè)項(xiàng)包括，“未公開(kāi)收集使用規(guī)則”“未明示收集使用個(gè)人信息的目的、方式和范圍”“未經(jīng)用戶同意收集使用個(gè)人信息”“違反必要原則，收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息”“未經(jīng)同意向他人提供個(gè)人信息”“按法律規(guī)定提供刪除或更正個(gè)人信息功能”或“未公布投訴、舉報(bào)方式等信息”[6]。實(shí)現(xiàn)包括違法違規(guī)App行業(yè)分布、外聯(lián)服務(wù)器歸屬地Top10、違法違規(guī)App趨勢(shì)、違法違規(guī)App風(fēng)險(xiǎn)監(jiān)測(cè)、最新違法違規(guī)App數(shù)據(jù)、風(fēng)險(xiǎn)App數(shù)量、SDK類型Top5，收集用戶信息SDK統(tǒng)計(jì)[7]。

（八）App漏洞態(tài)勢(shì)

實(shí)現(xiàn)省內(nèi)App漏洞態(tài)勢(shì)統(tǒng)計(jì)展現(xiàn)，包括App漏洞行業(yè)分布Top5、各地市App漏洞分布、App漏洞趨勢(shì)、App漏洞監(jiān)測(cè)情況、最新App漏洞展示、漏洞AppTop5、安全風(fēng)險(xiǎn)類型統(tǒng)計(jì)、漏洞App趨勢(shì)。對(duì)于存在重大安全漏洞的App，相關(guān)主管部門會(huì)責(zé)令廠家進(jìn)行整改或關(guān)停，整改完成，版本更新、檢測(cè)通過(guò)之后，才能在應(yīng)用商店恢復(fù)上架[8]。

四、平臺(tái)性能參數(shù)

靜態(tài)引擎：?jiǎn)闻_(tái)App研判-靜態(tài)引擎服務(wù)器，每天20000個(gè)App樣本靜態(tài)研判能力，即每分鐘平均13.9個(gè)App樣本靜態(tài)研判的能力。

動(dòng)態(tài)引擎：?jiǎn)闻_(tái)App研判-動(dòng)態(tài)引擎服務(wù)器，每天4000個(gè)App樣本動(dòng)態(tài)研判能力，即每分鐘平均2.8個(gè)App樣本動(dòng)態(tài)研判的能力。

五、結(jié)束語(yǔ)

國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心及其各省分中心，是中央網(wǎng)信辦下屬事業(yè)單位，承擔(dān)了服務(wù)和支撐網(wǎng)信部門做好監(jiān)管工作的職能。本文從網(wǎng)信部門監(jiān)管需求出發(fā)，研究了相關(guān)標(biāo)準(zhǔn)和關(guān)鍵技術(shù)，建設(shè)了移動(dòng)App監(jiān)測(cè)檢測(cè)平臺(tái)，評(píng)判是否符合App網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)要求。支持第三方數(shù)據(jù)共享、第三方引擎協(xié)同，通過(guò)與平臺(tái)自身App資產(chǎn)測(cè)繪、App備案管理、App樣本獲取、App研判分析、App態(tài)勢(shì)感知平臺(tái)模塊打通，充分發(fā)揮平臺(tái)對(duì)于移動(dòng)App監(jiān)測(cè)檢測(cè)管理功能。

作者單位：季瑩瑩 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心浙江分中心

王月領(lǐng) 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心安徽分中心

虞成磊 杭州電子科技大學(xué)

左苗 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心安徽分中心

參" 考" 文" 獻(xiàn)

[1]魏昂，李東格，呂堯.基于APP的個(gè)人隱私安全保護(hù)研究[J].網(wǎng)絡(luò)空間安全，2019（08）：31-35.

[2]劉彥，陳建民.2019年10月違法有害惡意APP情況報(bào)告[J].網(wǎng)絡(luò)空間安全，2019（12）：94.

[3]王智勇，劉楊鉞.從“隔屏有耳”看APP越界與信息安全[J].信息安全，2020（01）：57-58.

[4]于世梁.APP收集使用個(gè)人信息亂象及其治理[J].湖北行政學(xué)院學(xué)報(bào)，2019（05）：33-37.

[5]全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).《信息安全技術(shù) 移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）收集個(gè)人信息基本要求》（GB/T 41391-2022）

[6]全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273-2020）

[7]全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).《信息安全技術(shù)移動(dòng)智能終端個(gè)人信息保護(hù)技術(shù)要求》（GB/T34978-2017）

[8]中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì).《移動(dòng)智能終端上的個(gè)人信息保護(hù)技術(shù)要求》（YDA3082-2016）