一種惡意程序檢測方法及其裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本申請涉及網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域,尤其涉及一種惡意程序檢測方法及其裝置�����。
【背景技術(shù)】
[0002] 隨著科技的進(jìn)步����,智能終端成為人們工作和生活不可或缺的一部分,隨之而來的 是針對其的惡意攻擊�,因此,對于針對這些終端的惡意程序檢測成為人們關(guān)注的重要內(nèi)容���。
[0003] 現(xiàn)有的惡意程序檢測方法有兩大類�����,即基于特征碼和基于行為的檢測方法�。
[0004] 基于特征碼的檢測方法是較為傳統(tǒng)和成熟的檢測方法�。特征碼是被惡意程序檢 測工具確定的某惡意程序的一串二進(jìn)制字符串,惡意程序檢測工具使用該字符串與目標(biāo)文 件作對比判斷是否包含惡意功能���。不同惡意代碼檢測工具使用的特征碼不同��,例如���,有的 采用整個惡意程序文件的MD5或SHA-256作為特征碼��,有的采用惡意程序的dex文件中的 OpCode代碼段作為特征碼��。特征碼掃描是傳統(tǒng)的惡意程序檢測軟件的主要利器,優(yōu)點(diǎn)是誤 報(bào)率低��,缺點(diǎn)是只能檢測已知惡意應(yīng)用程序庫中已知類型的惡意應(yīng)用�,無法檢測新的未知 惡意應(yīng)用。當(dāng)攻擊者采用免殺技術(shù)變換特征碼或者惡意程序樣本難以被捕獲時���,該檢測方 法就會失效��。
[0005] 由于基于特征碼的方法無法檢測未知惡意應(yīng)用����,多年來工業(yè)界已開展基于行為的 惡意代碼檢測方法的研宄��?���;谛袨榈膼阂鈶?yīng)用檢測技術(shù)主要提取應(yīng)用程序的各種行為特 征來檢測未知惡意應(yīng)用。根據(jù)移動互聯(lián)網(wǎng)惡意代碼描述規(guī)范��,惡意應(yīng)用行為共分成8類:惡 意扣費(fèi)、隱私竊取�、遠(yuǎn)程控制、惡意傳播�����、資源消耗���、系統(tǒng)破壞�、誘騙詐取����、流氓行為。
[0006] 目前基于特征碼的檢測方法速度最快��,也最為成熟���,誤報(bào)率較低��,但是無法檢測未 知惡意程序�����,主要應(yīng)用在客戶端上的殺毒軟件領(lǐng)域��?���;谛袨榈臋z測方法能有效應(yīng)對未知 惡意程序,但是速度較慢�����,誤報(bào)率較高����,主要用于針對APT (Advanced Persistent Threat) 檢測的應(yīng)用環(huán)境和安全公司內(nèi)部對未知惡意代碼的分析���,并能指導(dǎo)對惡意代碼特征碼的提 取�。
[0007] 但是�,不論是基于特征碼的還是基于行為的惡意程序檢測方法,都需要在目標(biāo)系 統(tǒng)上獲取惡意程序的可執(zhí)行文件��。當(dāng)惡意程序處于傳播期�、潛伏期或者活躍期時,設(shè)置蜜罐 捕獲其本體后就可以應(yīng)用現(xiàn)有檢測手段�����。但是,如果惡意程序已處于消亡期�,即惡意程序已 經(jīng)成功感染目標(biāo)系統(tǒng)并執(zhí)行完所需的惡意功能卸載自身后,此時無法捕獲本體����,則現(xiàn)有檢 測手段均會失效。
[0008] 上述情況并不罕見�,在惡意程序編寫者水平不斷專業(yè)化的大背景下,惡意程序已 經(jīng)能做到遠(yuǎn)程受控性死亡和自主編程性死亡���,以便提高其隱秘性��。本申請正是針對該情況 而提出���,以期對消亡期惡意程序能實(shí)現(xiàn)較為有效的檢測和識別。
【發(fā)明內(nèi)容】
[0009] 有鑒于此�,本申請?zhí)峁┮环N惡意程序檢測方法及其裝置,其對在終端中運(yùn)行的應(yīng) 用程序在運(yùn)行過程中產(chǎn)生的痕跡進(jìn)行檢測���,在無需獲得惡意程序的可執(zhí)行文件的前提下�����, 判斷終端是否感染過惡意程序�����。
[0010] 本申請?zhí)峁┮环N惡意程序檢測方法��,該方法包括:提取待檢測終端的惡意行為痕 跡特征�;將提取的惡意行為痕跡特征與痕跡庫中的痕跡特征進(jìn)行比較;根據(jù)比較結(jié)果判斷 待檢測終端是否感染過惡意程序��。
[0011] 其中使用的痕跡庫使用如下步驟生成:搜集惡意代碼樣本��;對搜集的惡意代碼樣 本執(zhí)行靜態(tài)特征提取獲取敏感高危權(quán)限�����、應(yīng)用程序調(diào)用圖指紋以及應(yīng)用程序安裝包痕跡信 息作為痕跡特征��;在對搜集的惡意代碼樣本執(zhí)行靜態(tài)特征提取的同時�����,對搜集的惡意代碼 樣本執(zhí)行動態(tài)特征提取��,獲取應(yīng)用程序調(diào)用序列和隱私數(shù)據(jù)流向作為痕跡特征�;使用獲得 的痕跡特征構(gòu)建痕跡庫���。
[0012] 提取待檢測終端的惡意行為痕跡特征包括:獲取應(yīng)用程序運(yùn)行數(shù)據(jù)以及應(yīng)用程序 對系統(tǒng)數(shù)據(jù)的修改痕跡�����;提取終端的系統(tǒng)日志痕跡信息�����。
[0013] 將提取的惡意行為痕跡特征與痕跡庫中的痕跡特征進(jìn)行比較包括:采用Jaccard 相似系數(shù)計(jì)算方法將惡意行為痕跡特征與痕跡庫中的痕跡特征進(jìn)行比較�����,該計(jì)算方法使用 如下公式:
【主權(quán)項(xiàng)】
1. 一種惡意程序檢測方法��,其特征在于��,所述方法包括: 提取待檢測終端的惡意行為痕跡特征���; 將提取的惡意行為痕跡特征與痕跡庫中的痕跡特征進(jìn)行比較�����; 根據(jù)比較結(jié)果判斷待檢測終端是否感染過惡意程序���。
2. 根據(jù)權(quán)利要求1所述的方法��,其特征在于����,其中痕跡庫使用如下步驟生成: 捜集惡意代碼樣本�; 對捜集的惡意代碼樣本執(zhí)行靜態(tài)特征提取獲取敏感高危權(quán)限、應(yīng)用程序調(diào)用圖指紋W 及應(yīng)用程序安裝包痕跡信息作為痕跡特征��; 在對捜集的惡意代碼樣本執(zhí)行靜態(tài)特征提取的同時���,對捜集的惡意代碼樣本執(zhí)行動態(tài) 特征提取���,獲取應(yīng)用程序調(diào)用序列和隱私數(shù)據(jù)流向作為痕跡特征; 使用獲得的痕跡特征構(gòu)建痕跡庫����。
3. 根據(jù)權(quán)利要求1所述的方法�,其特征在于,提取待檢測終端的惡意行為痕跡特征包 括: 獲取應(yīng)用程序運(yùn)行數(shù)據(jù)W及應(yīng)用程序?qū)ο到y(tǒng)數(shù)據(jù)的修改痕跡信息�; 提取終端的系統(tǒng)日志痕跡信息。
4. 根據(jù)權(quán)利要求1所述的方法�,其特征在于,將提取的惡意行為痕跡特征與痕跡庫中 的痕跡特征進(jìn)行比較包括: 采用化ccard相似系數(shù)計(jì)算方法將惡意行為痕跡特征與痕跡庫中的痕跡特征進(jìn)行比 較,該計(jì)算方法使用如下公式: Jaccanl{X, Y) = 乂 ^ X\jY 其中X分表代表待檢測終端的痕跡特征集合�,Y代表痕跡庫中的痕跡特征集合,X和Y 都包含了 n個維的特征�,n為可W獲取的痕跡特征樣本量,即X = (Xi��,X2, X3, . . . X���。)��,Y = (yi��,72, 73, . . . y����。)����;其中每一維Xi和y i代表一個痕跡特征。
5. -種創(chuàng)建惡意程序痕跡庫的方法����,其特征在于,所述方法包括: 收集惡意代碼樣本���; 對惡意代碼樣本執(zhí)行靜態(tài)特征提取和動態(tài)特征提取W獲得痕跡特征����; 使用獲得的痕跡特征構(gòu)建痕跡庫。
6. -種惡意程序檢測裝置����,其特征在于,所述裝置包括: 提取設(shè)備�����,提取待檢測終端的惡意行為痕跡特征�����; 比對設(shè)備����,將提取的惡意行為痕跡特征與痕跡庫中的痕跡特征進(jìn)行比較; 判斷設(shè)備����,根據(jù)比較結(jié)果判斷待檢測終端是否感染過惡意程序��。
7. 根據(jù)權(quán)利要求6所述的裝置,其特征在于�����,其中痕跡庫由痕跡庫生成裝置生成�,該痕 跡庫生成裝置包括: 捜集設(shè)備,捜集惡意代碼樣本���; 靜態(tài)特征提取設(shè)備����,對捜集的惡意代碼樣本執(zhí)行靜態(tài)特征提取獲取敏感高危權(quán)限�����、應(yīng) 用程序調(diào)用圖指紋W及應(yīng)用程序安裝包痕跡信息作為痕跡特征�; 動態(tài)特征提取設(shè)備,在對捜集的惡意代碼樣本執(zhí)行靜態(tài)特征提取的同時���,對捜集的惡 意代碼樣本執(zhí)行動態(tài)特征提取����,獲取應(yīng)用程序調(diào)用序列和隱私數(shù)據(jù)流向作為痕跡特征��; 構(gòu)建設(shè)備,使用獲得的痕跡特征構(gòu)建痕跡庫��。
8. 根據(jù)權(quán)利要求6所述的裝置���,其特征在于�����,其中的提取設(shè)備包括: 運(yùn)行數(shù)據(jù)W及系統(tǒng)數(shù)據(jù)痕跡信息獲取模塊��,獲取應(yīng)用程序運(yùn)行數(shù)據(jù)W及應(yīng)用程序?qū)ο?統(tǒng)數(shù)據(jù)的修改痕跡��; 系統(tǒng)日志痕跡信息提取模塊�,提取終端的系統(tǒng)日志痕跡信息�。
9. 根據(jù)權(quán)利要求6所述的裝置,其特征在于�,所述比對設(shè)備采用化ccard相似系數(shù)計(jì)算 方法將惡意行為痕跡特征與痕跡庫中的痕跡特征進(jìn)行比較,該計(jì)算方法使用如下公式: Jaccanl{XJ) = ^^^ 其中X分表代表待檢測終端的痕跡特征集合�,Y代表痕跡庫中的痕跡特征集合,X和Y 都包含了 n個維的特征����,n為可W獲取的痕跡特征樣本量,即X = (Xi�,X2, X3, . . . X���。)���,Y = (yi���,72, 73, . . . y。)�;其中每一維Xi和y i代表一個痕跡特征。
10. -種創(chuàng)建惡意程序痕跡庫的裝置�,其特征在于,所述裝置包括: 捜集設(shè)備���,收集惡意代碼樣本�����; 痕跡特征提取設(shè)備�����,對惡意代碼樣本執(zhí)行靜態(tài)特征提取和動態(tài)特征提取W獲得痕跡特 征��; 構(gòu)建設(shè)備��,使用獲得的痕跡特征構(gòu)建痕跡庫���。
【專利摘要】本申請涉及一種惡意程序檢測方法及其裝置��,該方法包括:提取待檢測終端的惡意行為痕跡特征���,將提取的惡意行為痕跡特征與痕跡庫中的痕跡特征進(jìn)行比較,最終根據(jù)比較結(jié)果判斷待檢測終端是否感染過惡意程序�����。通過本申請�����,可在不獲得惡意程序的可執(zhí)行文件的前提下���,判斷終端是否感染過惡意程序�,從而實(shí)現(xiàn)對已經(jīng)消亡的惡意程序的較為有效的檢測和識別�����。
【IPC分類】G06F21-56
【公開號】CN104598824
【申請?zhí)枴緾N201510044023
【發(fā)明人】李挺, 韓晟, 李世漴, 徐原, 高勝, 胡俊, 何世平, 饒毓, 黨向磊, 徐曉燕, 趙宸, 劉婧, 陳陽, 王盈
【申請人】國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心, 安世盾信息技術(shù)(北京)有限公司
【公開日】2015年5月6日
【申請日】2015年1月28日