惡意軟件審核方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種惡意軟件審核方法和系統(tǒng)。所述方法包括以下步驟：將第一被審核軟件進行可識別格式轉(zhuǎn)化得到第二被審核軟件；根據(jù)惡意行為特征庫對所述第二被審核軟件進行惡意行為審核，得到審核結(jié)果；當所述審核結(jié)果為不包含惡意行為時，則根據(jù)敏感行為特征庫對所述第二被審核軟件進行敏感行為審核；當所述敏感行為審核的審核結(jié)果為包含敏感行為時，則根據(jù)軟件行為模型對所述第二被審核軟件進行行為模式分析；當所述行為模式分析的結(jié)果為行為不合理時，則判定所述第一被審核軟件為惡意軟件。本發(fā)明實現(xiàn)了軟件是否存在惡意或者潛在威脅的審核。
【專利說明】惡意軟件審核方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全領(lǐng)域，具體涉及一種惡意軟件審核方法和系統(tǒng)。
【背景技術(shù)】
[0002]隨著IT技術(shù)的高速發(fā)展，大量的IT產(chǎn)品快速蔓延、擴張到日常生活的各個方面。同時，IT產(chǎn)品的智能化也越來越高，并且顛覆了各種產(chǎn)品的傳統(tǒng)使用方式。例如，手機不再僅僅用于打電話，看電影、玩游戲等也成了手機的必備功能之一。新的產(chǎn)品，新的使用方式，新的功能，給大眾帶來了新的體驗，也帶來了新的問題。當前的惡意軟件不再像傳統(tǒng)的惡意軟件(例如，蠕蟲，熊貓燒香)那樣以破壞性為主，而是為了盜取用戶賬號，銀行卡號，密碼等重要信息。因此，當前用戶的重要信息面臨著嚴重的安全問題。而且，僅僅通過分析軟件的代碼或者文件已經(jīng)不能夠準確地檢測出所有惡意軟件。

【發(fā)明內(nèi)容】

[0003]本發(fā)明的目的是提供一種惡意軟件審核方法和系統(tǒng)，通過對軟件行為的分析判斷是否具有惡意或者潛在威脅，實現(xiàn)了對惡意軟件的審核工作，提高了惡意軟件審核的有效性和準確性，保護了用戶的信息安全。
[0004]為實現(xiàn)上述目的，本發(fā)明提供了一種惡意軟件審核方法，所述方法包括以下步驟:
[0005]將第一被審核軟件進行可識別格式轉(zhuǎn)化得到第二被審核軟件；
[0006]根據(jù)惡意行為特征庫對所述第二被審核軟件進行惡意行為審核，得到審核結(jié)果；
[0007]當所述審核結(jié)果為不包含惡意行為時，則根據(jù)敏感行為特征庫對所述第二被審核軟件進行敏感行為審核；
[0008]當所述敏感行為審核的審核結(jié)果為包含敏感行為時，則根據(jù)軟件行為模型對所述第二被審核軟件進行行為模式分析；
[0009]當所述行為模式分析的結(jié)果為行為不合理時，則判定所述第一被審核軟件為惡意軟件。
[0010]優(yōu)選地，所述方法還包括:當所述審核結(jié)果為包含惡意行為時，則判定所述第一被審核軟件為惡意軟件。
[0011]優(yōu)選地，所述方法還包括:當所述敏感行為審核的審核結(jié)果為不包含敏感行為時，則判定所述第一被審核軟件為非惡意軟件。
[0012]優(yōu)選地，所述方法還包括:當所述行為模式分析的結(jié)果為行為合理時，則判定所述第一被審核軟件為非惡意軟件。
[0013]優(yōu)選地，所述惡意行為特征庫具體為包含已知惡意軟件的惡意行為特征和/或自定義的惡意行為特征的樣本庫。
[0014]優(yōu)選地，所述敏感行為特征庫具體為包含已知惡意軟件的敏感行為特征和/或自定義的敏感行為特征的樣本庫。[0015]優(yōu)選地，所述軟件行為模型具體為通過現(xiàn)有軟件的類型、用途、編程語言、運行環(huán)境和運行權(quán)限的特征來分析軟件行為的模型。
[0016]本發(fā)明還提供了一種惡意軟件審核系統(tǒng)，所述系統(tǒng)包括:
[0017]格式轉(zhuǎn)換模塊，用于將第一被審核軟件進行可識別格式轉(zhuǎn)化得到第二被審核軟件；
[0018]惡意行為審核模塊，用于根據(jù)惡意行為特征庫對所述第二被審核軟件進行惡意行為審核，得到審核結(jié)果；
[0019]敏感行為審核模塊，用于當所述審核結(jié)果為不包含惡意行為時，則根據(jù)敏感行為特征庫對所述第二被審核軟件進行敏感行為審核；
[0020]行為模式分析模塊，用于當所述敏感行為審核的審核結(jié)果為包含敏感行為時，則根據(jù)軟件行為模型對所述第二被審核軟件進行行為模式分析；
[0021]當所述行為模式分析的結(jié)果為行為不合理時，則判定所述第一被審核軟件為惡意軟件。
[0022]本發(fā)明提供的惡意軟件審核方法和系統(tǒng)通過收集已知惡意軟件行為建立惡意行為特征庫，可以有效檢測出已知的具有惡意或者威脅的軟件。并且根據(jù)被審核軟件類型的自身特點以及參數(shù)，建立敏感行為特征庫，利用軟件行為模型，來分析判斷敏感行為是否合理或者具有潛在威脅。從而能夠檢測出未知的惡意軟件。提高了惡意軟件審核結(jié)果的有效性和準確性，提高了用戶信息的安全。
【專利附圖】

【附圖說明】
[0023]圖1為本發(fā)明實施例提供的一種惡意軟件審核方法的流程圖；
[0024]圖2為本發(fā)明實施例提供的一種惡意軟件審核系統(tǒng)的示意圖；
[0025]圖3為本發(fā)明實施例提供的一種惡意軟件審核系統(tǒng)的系統(tǒng)運行圖。
【具體實施方式】
[0026]下面通過附圖和實施例，對本發(fā)明的技術(shù)方案做進一步的詳細描述。
[0027]圖1為本發(fā)明實施例提供的惡意軟件審核方法流程圖，下面以圖1為例詳細說明本發(fā)明實施例提供的一種惡意軟件審核方法，該方法包括以下步驟:
[0028]步驟101，將第一被審核軟件進行可識別格式轉(zhuǎn)化得到第二被審核軟件。
[0029]具體的，需要將被審核軟件轉(zhuǎn)化成惡意軟件審核系統(tǒng)所需的文件格式，例如，將android系統(tǒng)的apk格式的應(yīng)用軟件進行反編譯從而得到惡意軟件審核系統(tǒng)所需的文件格式。
[0030]進一步地，在步驟101之前，該方法還包括建立惡意行為特征庫，惡意行為特征庫是包含已知惡意軟件的惡意行為特征和/或自定義惡意行為特征的樣本庫。例如通過后門或者系統(tǒng)漏洞非法獲得系統(tǒng)權(quán)限、竊取用戶資料、惡意扣費、無提示下載或者卸載軟件、監(jiān)視監(jiān)聽等所有侵犯用戶權(quán)利的行為都可作為惡意行為樣本，納入惡意行為特征庫。
[0031]進一步地，在步驟101之前，該方法還包括建立敏感行為特征庫，敏感行為特征庫是包含已知惡意軟件的敏感行為特征和/或自定義敏感行為特征的樣本庫。例如訪問用戶重要信息，如電話簿、通話記錄，瀏覽器歷史記錄等，要求更高權(quán)限，后臺運行等所有具有潛在可能會對用戶造成損害的行為都可作為敏感行為樣本，納入敏感行為特征庫。
[0032]進一步地，在步驟101之前，該方法還包括建立軟件行為模型，軟件行為模型具體為通過現(xiàn)有軟件的類型、用途、編程語言、運行環(huán)境和運行權(quán)限的特征來分析軟件行為的模型。軟件行為模型用于判斷被審核軟件的敏感行為是否合理。
[0033]步驟102，根據(jù)惡意行為特征庫對第二被審核軟件進行惡意行為審核。
[0034]步驟103，當審核結(jié)果為不包含惡意行為時，則根據(jù)敏感行為特征庫對第二被審核軟件進行敏感行為審核。
[0035]進一步地，當審核結(jié)果為包含惡意行為時，審核結(jié)果為拒絕，則判定第一被審核軟件為惡意軟件。
[0036]步驟104，當敏感行為審核的審核結(jié)果為包含敏感行為時，則根據(jù)軟件行為模型對第二被審核軟件進行行為模式分析。
[0037]進一步地，當敏感行為審核的審核結(jié)果為不包含敏感行為時，審核結(jié)果為通過，則判定第一被審核軟件為非惡意軟件。
[0038]步驟105，當行為模式分析的結(jié)果為行為不合理時，則判定第一被審核軟件為惡意軟件。
[0039]進一步地，當行為模式分析的結(jié)果為行為合理時，則判定第一被審核軟件為非惡意軟件。
[0040]例如，步驟104中被審核軟件做出了訪問用戶電話簿的敏感行為，惡意軟件審核系統(tǒng)審核到該敏感行為，繼續(xù)進行步驟105，如果被審核軟件是社交類軟件或者個人信息管理助手類軟件，社交類軟件訪問電話簿是一個正常的行為，則根據(jù)軟件行為模型分析出該敏感行為可以認定為合理。如果被審核軟件是游戲類軟件或者視頻類軟件，訪問電話簿可以判定為一個非正常行為。因為視頻類和游戲類軟件沒有足夠的理由去訪問電話簿，則根據(jù)軟件行為模型分析出該敏感行為可以認定為不合理，從而確定被審核軟件為惡意軟件。
[0041]圖2為本發(fā)明實施例提供的一種惡意軟件審核系統(tǒng)示意圖，如圖2所示，該系統(tǒng)包括以下功能模塊:
[0042]格式轉(zhuǎn)化模塊201，用于將第一被審核軟件進行可識別格式轉(zhuǎn)化得到第二被審核軟件。
[0043]具體的，將被審核軟件轉(zhuǎn)化成惡意軟件審核系統(tǒng)所需的文件格式。
[0044]惡意行為審核模塊202，用于根據(jù)惡意行為特征庫對第二被審核軟件進行惡意行為審核，得到審核結(jié)果。
[0045]具體的，根據(jù)惡意行為特征庫審核軟件是否含有惡意行為特征。惡意行為審核結(jié)果為拒絕的被審核軟件判定為惡意軟件。
[0046]敏感行為審核模塊203，用于當審核結(jié)果為不包含惡意行為時，則根據(jù)敏感行為特征庫對第二被審核軟件進行敏感行為審核。
[0047]具體的，根據(jù)敏感行為特征庫審核軟件是否含有敏感行為特征。
[0048]行為模式分析模塊204，用于當敏感行為審核的審核結(jié)果為包含敏感行為時，則根據(jù)軟件行為模型對第二被審核軟件進行行為模式分析；
[0049]當行為模式分析的結(jié)果為行為不合理時，則判定第一被審核軟件為惡意軟件。
[0050]具體的，根據(jù)行為模式模型對被審核軟件的敏感行為進行分析，判斷得出該敏感行為是否合理或者是否具有潛在威脅，從而進一步判定被審核軟件是否是惡意軟件。
[0051]圖3為本發(fā)明實施例提供的一種惡意軟件審核系統(tǒng)的系統(tǒng)運行圖，本發(fā)明實施例中，執(zhí)行以下步驟的執(zhí)行主體為惡意軟件審核系統(tǒng)。如圖3所示，系統(tǒng)運行包括以下步驟:
[0052]步驟301，軟件格式轉(zhuǎn)化。
[0053]具體的，首先將被審核軟件轉(zhuǎn)換成惡意軟件審核系統(tǒng)所需的文件格式。
[0054]步驟302，惡意行為審核。
[0055]具體的，根據(jù)惡意行為特征庫里的惡意行為特征，對被審核軟件進行惡意行為審核。
[0056]步驟303，判斷是否包含惡意行為。
[0057]具體的，經(jīng)過上一步驟302，當被審核軟件包含有惡意行為特征時，則被審核軟件的審核結(jié)果為拒絕；當被審核軟件沒有包含惡意行為特征時，則繼續(xù)進行步驟304。
[0058]步驟304，敏感行為審核。
[0059]具體的，根據(jù)敏感行為特征庫里的敏感行為特征，對被審核軟件進行敏感行為審核。
[0060]步驟305，判斷是否包含敏感行為。
[0061]具體的，經(jīng)過上一步驟304，當被審核軟件包含有敏感行為特征，則繼續(xù)進行步驟306 ;當被審核軟件沒有包含敏感行為特征，則被審核軟件的審核結(jié)果為通過。
[0062]例如，軟件訪問了用戶照片、聯(lián)絡(luò)人名單等容易造成信息泄露的地方，但是沒有發(fā)送此類信息的行為。如果軟件具有類似的敏感行為特征，就需要對這些敏感行為進行行為模式分析。
[0063]步驟306,行為模式分析。
[0064]具體的，根據(jù)軟件行為模型對被審核軟件的敏感行為進行行為模式分析。其中，軟件行為模型用于判斷被審核軟件的敏感行為是否屬于正常、合理范圍內(nèi)。
[0065]步驟307，判斷是否具有潛在威脅。
[0066]具體的，經(jīng)過上一步驟306，根據(jù)軟件行為模型，對被審核軟件的敏感行為進行行為模式分析。當行為模式分析的結(jié)果為行為不合理時，分析得出被審核軟件的敏感行為對用戶具有潛在威脅，則審核結(jié)果為拒絕，該被審核軟件確定為惡意軟件；當行為模式分析的結(jié)果為行為合理時，分析得出被審核軟件的敏感行為對用戶不具有潛在威脅，則審核結(jié)果為通過。
[0067]本發(fā)明實施例提供的惡意軟件審核方法和系統(tǒng)利用建立的惡意行為特征庫、敏感行為特征庫和軟件行為模型，對被審核軟件的一些行為或者動作進行分析判斷是否合理或者是否具有潛在威脅，從而能夠檢測出未知的惡意軟件。實現(xiàn)了對惡意軟件的全面審核，提高了惡意軟件審核結(jié)果的有效性和準確性，保證了用戶信息的安全。
[0068]專業(yè)人員應(yīng)該還可以進一步意識到，結(jié)合本文中所公開的實施例描述的各示例的單元及算法步驟，能夠以電子硬件、計算機軟件或者二者的結(jié)合來實現(xiàn)，為了清楚地說明硬件和軟件的可互換性，在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來執(zhí)行，取決于技術(shù)方案的特定應(yīng)用和設(shè)計約束條件。專業(yè)技術(shù)人員可以對每個特定的應(yīng)用來使用不同方法來實現(xiàn)所描述的功能，但是這種實現(xiàn)不應(yīng)認為超出本發(fā)明的范圍。[0069]結(jié)合本文中所公開的實施例描述的方法或算法的步驟可以用硬件、處理器執(zhí)行的軟件模塊，或者二者的結(jié)合來實施。軟件模塊可以置于隨機存儲器(RAM)、內(nèi)存、只讀存儲器(ROM)、電可編程ROM、電可擦除可編程ROM、寄存器、硬盤、可移動磁盤、CD-ROM、或【技術(shù)領(lǐng)域】內(nèi)所公知的任意其它形式的存儲介質(zhì)中。
[0070]以上所述的【具體實施方式】，對本發(fā)明的目的、技術(shù)方案和有益效果進行了進一步詳細說明，所應(yīng)理解的是，以上所述僅為本發(fā)明的【具體實施方式】而已，并不用于限定本發(fā)明的保護范圍，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
【權(quán)利要求】
1.一種惡意軟件審核方法，其特征在于，所述方法包括以下步驟: 將第一被審核軟件進行可識別格式轉(zhuǎn)化得到第二被審核軟件； 根據(jù)惡意行為特征庫對所述第二被審核軟件進行惡意行為審核，得到審核結(jié)果； 當所述審核結(jié)果為不包含惡意行為時，則根據(jù)敏感行為特征庫對所述第二被審核軟件進行敏感行為審核； 當所述敏感行為審核的審核結(jié)果為包含敏感行為時，則根據(jù)軟件行為模型對所述第二被審核軟件進行行為模式分析； 當所述行為模式分析的結(jié)果為行為不合理時，則判定所述第一被審核軟件為惡意軟件。
2.根據(jù)權(quán)利要求1所述的惡意軟件審核方法，其特征在于，所述方法還包括:當所述審核結(jié)果為包含惡意行為時，則判定所述第一被審核軟件為惡意軟件。
3.根據(jù)權(quán)利要求1所述的惡意軟件審核方法，其特征在于，所述方法還包括:當所述敏感行為審核的審核結(jié)果為不包含敏感行為時，則判定所述第一被審核軟件為非惡意軟件。
4.根據(jù)權(quán)利要求1所述的惡意軟件審核方法，其特征在于，所述方法還包括:當所述行為模式分析的結(jié)果為行為合理時，則判定所述第一被審核軟件為非惡意軟件。
5.根據(jù)權(quán)利要求1所述的惡意軟件審核方法，其特征在于，所述惡意行為特征庫具體為包含已知惡意軟件的惡意行為特征和/或自定義的惡意行為特征的樣本庫。
6.根據(jù)權(quán)利要求1所述的惡意軟件審核方法，其特征在于，所述敏感行為特征庫具體為包含已知惡意軟件的敏感行為特征和/或自定義的敏感行為特征的樣本庫。
7.根據(jù)權(quán)利要求1所述的惡意軟件審核方法，其特征在于，所述軟件行為模型具體為通過現(xiàn)有軟件的類型、用途、編程語言、運行環(huán)境和運行權(quán)限的特征來分析軟件行為的模型。
8.—種惡意軟件審核系統(tǒng)，其特征在于，所述系統(tǒng)包括: 格式轉(zhuǎn)換模塊，用于將第一被審核軟件進行可識別格式轉(zhuǎn)化得到第二被審核軟件；惡意行為審核模塊，用于根據(jù)惡意行為特征庫對所述第二被審核軟件進行惡意行為審核，得到審核結(jié)果； 敏感行為審核模塊，用于當所述審核結(jié)果為不包含惡意行為時，則根據(jù)敏感行為特征庫對所述第二被審核軟件進行敏感行為審核； 行為模式分析模塊，用于當所述敏感行為審核的審核結(jié)果為包含敏感行為時，則所述根據(jù)軟件行為模型對第二被審核軟件進行行為模式分析； 當所述行為模式分析的結(jié)果為行為不合理時，則判定所述第一被審核軟件為惡意軟件。
【文檔編號】G06F21/56GK103942494SQ201410129211
【公開日】2014年7月23日 申請日期:2014年4月1日 優(yōu)先權(quán)日:2014年4月1日
【發(fā)明者】田野, 周學志 申請人:中國科學院聲學研究所