程序的行為特征提取方法、惡意程序的檢測(cè)方法及其裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及終端安全領(lǐng)域，尤其涉及一種程序的行為特征提取方法、裝置和客戶(hù)端以及惡意程序的檢測(cè)方法、裝置和客戶(hù)端。
【背景技術(shù)】
[0002]隨著智能移動(dòng)終端的不斷發(fā)展，針對(duì)智能移動(dòng)終端的惡意程序也大幅增長(zhǎng)。惡意程序可被添加至各種移動(dòng)應(yīng)用中，當(dāng)移動(dòng)終端安裝了具有惡意程序的移動(dòng)應(yīng)用后，惡意程序會(huì)在后臺(tái)運(yùn)行，并根據(jù)接收到的短信指令進(jìn)行相應(yīng)的操作，如收集并上傳用戶(hù)位置信息或通訊錄等數(shù)據(jù)、向固定號(hào)碼撥打電話(huà)或更改用戶(hù)設(shè)置等，給用戶(hù)帶來(lái)極大安全隱患。目前，可通過(guò)靜態(tài)分析技術(shù)對(duì)程序包名以及其他靜態(tài)特征進(jìn)行分析，判斷程序類(lèi)型。還可通過(guò)動(dòng)態(tài)分析技術(shù)獲取程序在虛擬機(jī)中運(yùn)行時(shí)產(chǎn)生的行為特征，并據(jù)此對(duì)惡意程序進(jìn)行識(shí)別。
[0003]在實(shí)現(xiàn)本發(fā)明的過(guò)程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問(wèn)題:當(dāng)惡意程序被加密或者進(jìn)行變種后，無(wú)法通過(guò)靜態(tài)分析技術(shù)準(zhǔn)確識(shí)別出該惡意程序。同時(shí)，對(duì)于遠(yuǎn)程控制的惡意程序，如通過(guò)短信指令控制的惡意程序，其行為特征會(huì)根據(jù)不同的遠(yuǎn)程控制指令而不同，現(xiàn)有的動(dòng)態(tài)分析技術(shù)則無(wú)法對(duì)此種惡意程序的行為特征進(jìn)行有效分析，用戶(hù)的數(shù)據(jù)安全仍然存在安全隱患。

【發(fā)明內(nèi)容】

[0004]本發(fā)明旨在至少解決上述技術(shù)問(wèn)題之一。
[0005]為此，本發(fā)明的第一個(gè)目的在于提出一種程序的行為特征提取方法。該方法能夠?qū)崿F(xiàn)對(duì)惡意程序的行為特征進(jìn)行快速有效的識(shí)別，同時(shí)對(duì)包含危害行為的惡意程序的阻斷和清除提供了有利依據(jù)。
[0006]本發(fā)明的第二個(gè)目的在于提出一種程序的行為特征提取裝置。
[0007]本發(fā)明的第三個(gè)目的在于提出一種客戶(hù)端。
[0008]本發(fā)明的第四個(gè)目的在于提出一種惡意程序的檢測(cè)方法。
[0009]本發(fā)明的第五個(gè)目的在于提出一種惡意程序的檢測(cè)裝置。
[0010]本發(fā)明的第六個(gè)目的在于提出另一種客戶(hù)端。
[0011]為了實(shí)現(xiàn)上述目的，本發(fā)明第一方面實(shí)施例的程序的行為特征提取方法包括以下步驟:運(yùn)行待測(cè)程序；接收第一測(cè)試短信，并獲取所述待測(cè)程序在匹配所述第一測(cè)試短信時(shí)調(diào)用的預(yù)置關(guān)鍵字；以及根據(jù)所述預(yù)置關(guān)鍵字生成第二測(cè)試短信，并提取所述程序根據(jù)所述第二測(cè)試短信產(chǎn)生的行為特征，并將所述行為特征添加至所述程序?qū)?yīng)的行為特征集口 ο
[0012]根據(jù)本發(fā)明實(shí)施例的程序的行為特征提取方法，可獲取待測(cè)程序在匹配第一測(cè)試短信是調(diào)用的預(yù)置關(guān)鍵字，進(jìn)而根據(jù)預(yù)置關(guān)鍵字生成第二測(cè)試短信，并獲取該待測(cè)程序根據(jù)第二測(cè)試短信產(chǎn)生的行為特征，因此，該方法能夠獲取惡意程序的行為特征以建立惡意行為特征庫(kù)，從而實(shí)現(xiàn)對(duì)惡意程序的行為特征進(jìn)行快速有效的識(shí)別，同時(shí)對(duì)包含危害行為的惡意程序的阻斷和清除提供了有利依據(jù)。
[0013]為了實(shí)現(xiàn)上述目的，本發(fā)明第二方面實(shí)施例的程序的行為特征提取裝置，包括:程序運(yùn)行模塊，用于運(yùn)行待測(cè)程序；接收模塊，用于接收第一測(cè)試短信；獲取模塊，用于獲取所述待測(cè)程序在匹配所述第一測(cè)試短信時(shí)調(diào)用的預(yù)置關(guān)鍵字；生成模塊，用于根據(jù)所述預(yù)置關(guān)鍵字生成第二測(cè)試短信；以及提取模塊，用于提取所述程序根據(jù)所述第二測(cè)試短信產(chǎn)生的行為特征，并將所述行為特征添加至所述程序?qū)?yīng)的行為特征集合。
[0014]根據(jù)本發(fā)明實(shí)施例的程序的行為特征提取裝置，可獲取待測(cè)程序在匹配第一測(cè)試短信是調(diào)用的預(yù)置關(guān)鍵字，進(jìn)而根據(jù)預(yù)置關(guān)鍵字生成第二測(cè)試短信，并獲取該待測(cè)程序根據(jù)第二測(cè)試短信產(chǎn)生的行為特征，因此，該方法能夠獲取惡意程序的行為特征以建立惡意行為特征庫(kù)，從而實(shí)現(xiàn)對(duì)惡意程序的行為特征進(jìn)行快速有效的識(shí)別，同時(shí)對(duì)包含危害行為的惡意程序的阻斷和清除提供了有利依據(jù)。
[0015]為了實(shí)現(xiàn)上述目的，本發(fā)明第三方面實(shí)施例的客戶(hù)端，包括:外殼，屏幕，處理器和電路板；所述屏幕安置在所述外殼上，所述電路板安置在所述外殼圍成的空間內(nèi)部，所述處理器設(shè)置在所述電路板上；所述處理器用于處理數(shù)據(jù)，并具體用于:運(yùn)行待測(cè)程序；接收第一測(cè)試短信，并獲取所述待測(cè)程序在匹配所述第一測(cè)試短信時(shí)調(diào)用的預(yù)置關(guān)鍵字；以及根據(jù)所述預(yù)置關(guān)鍵字生成第二測(cè)試短信，并提取所述程序根據(jù)所述第二測(cè)試短信產(chǎn)生的行為特征，并將所述行為特征添加至所述程序?qū)?yīng)的行為特征集合。
[0016]根據(jù)本發(fā)明實(shí)施例的客戶(hù)端，可獲取待測(cè)程序在匹配第一測(cè)試短信是調(diào)用的預(yù)置關(guān)鍵字，進(jìn)而根據(jù)預(yù)置關(guān)鍵字生成第二測(cè)試短信，并獲取該待測(cè)程序根據(jù)第二測(cè)試短信產(chǎn)生的行為特征，因此，該方法能夠獲取惡意程序的行為特征以建立惡意行為特征庫(kù)，從而實(shí)現(xiàn)對(duì)惡意程序的行為特征進(jìn)行快速有效的識(shí)別，同時(shí)對(duì)包含危害行為的惡意程序的阻斷和清除提供了有利依據(jù)。
[0017]為了實(shí)現(xiàn)上述目的，本發(fā)明第四方面實(shí)施例的惡意程序的檢測(cè)方法，包括一下步驟:運(yùn)行待測(cè)程序；接收第一測(cè)試短信，其中，所述第一測(cè)試短信是由所述移動(dòng)終端以外的設(shè)備發(fā)送的；獲取所述待測(cè)程序在匹配所述第一測(cè)試短信時(shí)調(diào)用的預(yù)置關(guān)鍵字；根據(jù)所述預(yù)置關(guān)鍵字生成第二測(cè)試短信，并提取所述待測(cè)程序根據(jù)所述第二測(cè)試短信產(chǎn)生的行為特征，并將所述行為特征添加至所述待測(cè)程序?qū)?yīng)的行為特征集合；以及將所述行為特征集合與惡意行為特征庫(kù)進(jìn)行匹配以檢測(cè)所述待測(cè)程序是否為惡意程序。
[0018]根據(jù)本發(fā)明實(shí)施例的惡意程序的檢測(cè)方法，可獲取待測(cè)程序在匹配第一測(cè)試短信是調(diào)用的預(yù)置關(guān)鍵字，并進(jìn)一步獲取待測(cè)程序的行為特征，從而根據(jù)待測(cè)程序的行為特征動(dòng)態(tài)分析待測(cè)程序是否惡意程序，實(shí)現(xiàn)了對(duì)惡意程序的行為特征的快速有效識(shí)別，同時(shí)為阻斷和清除包含危害行為的惡意程序的提供了有利依據(jù)。
[0019]為了實(shí)現(xiàn)上述目的，本發(fā)明第五方面實(shí)施例的惡意程序的檢測(cè)裝置，包括:程序運(yùn)行模塊，用于運(yùn)行待測(cè)程序；接收模塊，用于接收第一測(cè)試短信，其中，所述第一測(cè)試短信是由所述移動(dòng)終端以外的設(shè)備發(fā)送的；獲取模塊，用于獲取所述待測(cè)程序在匹配所述第一測(cè)試短信時(shí)調(diào)用的預(yù)置關(guān)鍵字；生成模塊，用于根據(jù)所述預(yù)置關(guān)鍵字生成所述第二測(cè)試短信；提取模塊，用于提取所述待測(cè)程序根據(jù)所述第二測(cè)試短信產(chǎn)生的行為特征，并將所述行為特征添加至所述待測(cè)程序?qū)?yīng)的行為特征集合；以及檢測(cè)模塊，用于將所述行為特征集合與惡意行為特征庫(kù)進(jìn)行匹配以檢測(cè)所述待測(cè)程序是否為惡意程序。
[0020]根據(jù)本發(fā)明實(shí)施例的惡意程序的檢測(cè)裝置，可獲取待測(cè)程序在匹配第一測(cè)試短信是調(diào)用的預(yù)置關(guān)鍵字，并進(jìn)一步獲取待測(cè)程序的行為特征，從而根據(jù)待測(cè)程序的行為特征動(dòng)態(tài)分析待測(cè)程序是否惡意程序，實(shí)現(xiàn)了對(duì)惡意程序的行為特征的快速有效識(shí)別，同時(shí)為阻斷和清除包含危害行為的惡意程序的提供了有利依據(jù)。
[0021]為了實(shí)現(xiàn)上述目的，本發(fā)明第六方面實(shí)施例的客戶(hù)端，包括:外殼，屏幕，處理器和電路板；所述屏幕安置在所述外殼上，所述電路板安置在所述外殼圍成的空間內(nèi)部，所述處理器設(shè)置在所述電路板上；所述處理器用于處理數(shù)據(jù)，并具體用于:運(yùn)行待測(cè)程序；接收第一測(cè)試短信，其中，所述第一測(cè)試短信是由所述移動(dòng)終端以外的設(shè)備發(fā)送的；獲取所述待測(cè)程序在匹配所述第一測(cè)試短信時(shí)調(diào)用的預(yù)置關(guān)鍵字；根據(jù)所述預(yù)置關(guān)鍵字生成第二測(cè)試短信，并提取所述待測(cè)程序根據(jù)所述第二測(cè)試短信產(chǎn)生的行為特征，并將所述行為特征添加至所述待測(cè)程序?qū)?yīng)的行為特征集合；以及將所述行為特征集合與惡意行為特征庫(kù)進(jìn)行匹配以檢測(cè)所述待測(cè)程序是否為惡意程序。
[0022]根據(jù)本發(fā)明實(shí)施例的客戶(hù)端，可獲取待測(cè)程序在匹配第一測(cè)試短信是調(diào)用的預(yù)置關(guān)鍵字，并進(jìn)一步獲取待測(cè)程序的行為特征，從而根據(jù)待測(cè)程序的行為特征動(dòng)態(tài)分析待測(cè)程序是否惡意程序，實(shí)現(xiàn)了對(duì)惡意程序的行為特征的快速有效識(shí)別，同時(shí)為阻斷和清除包含危害行為的惡意程序的提供了有利依據(jù)。
[0023]本發(fā)明附加的方面和優(yōu)點(diǎn)將在下面的描述中部分給出，部分將從下面的描述中變得明顯，或通過(guò)本發(fā)明的實(shí)踐了解到。
【附圖說(shuō)明】
[0024]本發(fā)明上述的和/或附加的方面和優(yōu)點(diǎn)從下面結(jié)合附圖對(duì)實(shí)施例的描述中將變得明顯和容易理解，其中，
[0025]圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的程序的行為特征提取方法；
[0026]圖2是根據(jù)本發(fā)明一個(gè)具體實(shí)施例的獲取待測(cè)程序中的預(yù)置關(guān)鍵字的流程圖；
[0027]圖3是根據(jù)本發(fā)明另一個(gè)實(shí)施例的程序的行為特征提取方法；
[0028]圖4是根據(jù)本發(fā)明一個(gè)實(shí)施例的程序的行為特征提取裝置的結(jié)構(gòu)示意圖；
[0029]圖5是根據(jù)本發(fā)明另一個(gè)實(shí)施例的程序的行為特征提取裝置的結(jié)構(gòu)示意圖；
[0030]圖6是根據(jù)本發(fā)明一個(gè)實(shí)施例的惡意程序的檢測(cè)方法；
[0031]圖7是根據(jù)本發(fā)明另一個(gè)實(shí)施例的惡意程序的檢測(cè)方法；
[0032]圖8是根據(jù)本發(fā)明一個(gè)實(shí)施例的惡意程序的檢測(cè)裝置的結(jié)構(gòu)示意圖；
[0033]圖9是根據(jù)本發(fā)明另一個(gè)實(shí)施例的惡意程序的檢測(cè)裝置的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0034]下面詳細(xì)描述本發(fā)明的實(shí)施例，所述實(shí)施例的示例在附圖中示出，其中自始至終相同或類(lèi)似的標(biāo)號(hào)表示相同或類(lèi)似的元件或具有相同或類(lèi)似功能的元件。下面通過(guò)參考附圖描述的實(shí)施例是示例性的，僅用于解釋本發(fā)明，而不能理解為對(duì)本發(fā)明的限制。相反，本發(fā)明的實(shí)施例包括落入所附加權(quán)利要求書(shū)的精神和內(nèi)涵范圍內(nèi)的所有變化、修改和等同物。
[0035]在本發(fā)明的描述中，需要理解的是，術(shù)語(yǔ)“第一”、“第二”等僅用于描述目的，而不能理解為指示或暗示相對(duì)重要性。在本發(fā)明的描述中，需要說(shuō)明的是，除非另有明確的規(guī)定和限定，術(shù)語(yǔ)“相連”、“連接”應(yīng)做廣義理解，例如，可以是固定連接，也可以是可拆卸連接，或一體地連接；可以是機(jī)械連接，也可以是電連接；可以是直接相連，也可以通過(guò)中間媒介間接相連。對(duì)于本領(lǐng)域的普通技術(shù)人員而言，可以具體情況理解上述術(shù)語(yǔ)在本發(fā)明中的具體含義。此外，在本發(fā)明的描述中，除非另有說(shuō)明，“多個(gè)”的含義是兩個(gè)或兩個(gè)以上。
[0036]流程圖中或在此以其他方式描述的任何過(guò)程或方法描述可以被理解為，表示包括一個(gè)或更多個(gè)用于實(shí)現(xiàn)特定邏輯功能或過(guò)程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分，并且本發(fā)明的優(yōu)選實(shí)施方式的范圍包括另外的實(shí)現(xiàn)，其中可以不按所示出或討論的順序，包括根據(jù)所涉及的功能按基本同時(shí)的方式或按相反的順序，來(lái)執(zhí)行功能，這應(yīng)被本發(fā)明的實(shí)施例所屬技術(shù)領(lǐng)域的技術(shù)人員所理解。
[0037]需要說(shuō)明的是，本發(fā)明的實(shí)施例優(yōu)選適用于移動(dòng)設(shè)備，例如，1S操作系統(tǒng)(10S是由蘋(píng)果公司開(kāi)發(fā)的手持設(shè)備操作系統(tǒng))、安卓操作系統(tǒng)(Android系統(tǒng)是一種基于Linux的自由及開(kāi)放源代碼的操作系統(tǒng))、Windows Phone操作系統(tǒng)(Windows Phone是微軟公司發(fā)布的一款手機(jī)操作系統(tǒng))的移動(dòng)設(shè)備，當(dāng)然也適用于個(gè)人計(jì)算機(jī)以及其他智能移動(dòng)設(shè)備，本發(fā)明對(duì)此不作限定。其中，，移動(dòng)設(shè)備可以是手機(jī)、平板電腦、個(gè)人數(shù)字助理、電子書(shū)等具有各種操作系統(tǒng)的硬件設(shè)備。
[0038]下面參考附圖描述根據(jù)本發(fā)明實(shí)施例的程序的行為特征提取方法、裝置和客戶(hù)端以及惡意程序的測(cè)試方法、裝置和客戶(hù)端。
[0039]目前，對(duì)于遠(yuǎn)程控制的惡意程序，現(xiàn)有的靜態(tài)分析技術(shù)和動(dòng)態(tài)分析技術(shù)無(wú)法有效識(shí)別，從而不能對(duì)其進(jìn)行攔截，使得移動(dòng)終端用戶(hù)的數(shù)據(jù)安全受到威脅，為了對(duì)此類(lèi)惡意程序的行為特征進(jìn)行有效分析和攔截，以保障用戶(hù)數(shù)據(jù)安全，本發(fā)明提出一種程序的行為特征提取方法。
[0040]圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的程序的行為特征提取方法的流程圖。
[0041]在本發(fā)明的實(shí)施例中，可通過(guò)測(cè)試設(shè)備對(duì)待測(cè)程序的行為特征進(jìn)行提取，其中該測(cè)試設(shè)備包括第一終端模擬器和第二模擬器。其中，第一終端模擬器可為虛擬機(jī)，用于運(yùn)行待測(cè)程序；第二模擬器可為短信生成模擬器，可存在于終端設(shè)備或者服務(wù)器端，用于生成提取待測(cè)程序的行為特征時(shí)所需的測(cè)試短信，本發(fā)明對(duì)此不做