一種基于權重的安卓惡意代碼檢測系統(tǒng)及方法
【技術領域】
[0001] 本發(fā)明設及檢測系統(tǒng)及方法�����,具體設及一種基于權重的安卓惡意代碼檢測系統(tǒng)及 方法�,主要應用于移動通信領域的數(shù)據(jù)安全,屬于無線通信網(wǎng)絡領域。
【背景技術】
[0002] 傳統(tǒng)的惡意代碼檢測是一種基于簽名的靜態(tài)檢測方法����,靜態(tài)簽名的檢測方法的實 現(xiàn)原理是提取已知病毒樣本的特征,通過捜索的惡意代碼特征庫查找相匹配的惡意代碼特 征�����。匹配出是否是惡意代碼���,運種方法有較高的檢測率����,但同樣的運樣的檢測方法有一很明 顯的缺點就是無法檢測新出現(xiàn)的病毒����,W及根據(jù)已有的病毒變異的種類。同時根據(jù)已經(jīng)提 取的病毒特征無法避免的會出現(xiàn)比較高的誤報率��。
【發(fā)明內容】
[0003] 為了解決上述技術問題�����,針對現(xiàn)有產(chǎn)品的不足�����,提供一種基于權重的安卓惡意代 碼檢測系統(tǒng)����,該系統(tǒng)根據(jù)權重賦值計算法解決靜態(tài)代碼特征匹配無法對代碼混淆,加密���,已 有惡意代碼變種的問題;此外���,還能避免靜態(tài)代碼特征匹配,動態(tài)分析行為特征匹配存在誤 報���,最大限度檢測代碼的安全性���。
[0004] 本發(fā)明的另一個目的在于提供一種基于權重的安卓惡意代碼檢測方法。
[0005] 本發(fā)明的技術方案如下:
[0006] -種基于權重的安卓惡意代碼檢測系統(tǒng)����,包括權重賦值模塊、數(shù)據(jù)庫模塊��、靜態(tài)代 碼分析模塊�����、動態(tài)行為分析模塊、判定模塊W及記錄模塊;所述權重賦值模塊根據(jù)權重賦值 計算法�����,對待檢測代碼的數(shù)據(jù)包名和數(shù)字簽名的匹配是否匹配賦值�����,當完全匹配賦值為0���, 不匹配賦值為1;所述數(shù)據(jù)庫模塊包括惡意代碼特征數(shù)據(jù)庫�����、權限數(shù)據(jù)庫W及惡意行為特征 數(shù)據(jù)庫;所述靜態(tài)分析模炔基于已有的惡意代碼特征數(shù)據(jù)庫的樣本XI��,從APK結構����、APK文件 的權限W及API函數(shù)調用序列�����、組件和資源構建待檢測代碼的特征向量yi;所述權重賦值模 塊根據(jù)變形、base64和代碼的相關性匹配程度匹配賦值Ei��,所述
所述動態(tài)行 為分析模塊根據(jù)已有的權限數(shù)據(jù)庫檢測當前的待檢測代碼的行為的權限設置是否合理W 及當前的待檢測代碼的行為對安卓平臺是否存在威脅;采用模擬器的方式對文件的讀寫���、 網(wǎng)絡連接、短信發(fā)送W及電話撥打的行為進行監(jiān)控���,并由所述權重賦值模炔基于已有的惡 意行為特征數(shù)據(jù)庫的樣本Zi及當前的待檢測代碼的行為數(shù)m進行權重賦值&���,所娃
所 述權重賦值模塊根據(jù)得到的61^及&的值計算待檢測代碼的權重賦值
所述判定 模塊根據(jù)E的大小判定待檢測代碼;所述記錄模塊將判定結果寫入惡意代碼特征數(shù)據(jù)庫W 及惡意行為特征數(shù)據(jù)庫中進行記錄預警。
[0007] -種基于權重的安卓惡意代碼檢測方法���,包括W上所述的基于權重的安卓惡意代 碼檢測系統(tǒng)�,其包括W下依次進行的步驟:
[0008] 步驟SI:所述權重賦值模塊根據(jù)權重賦值計算法����,對數(shù)據(jù)包名和數(shù)字簽名是否匹 配賦值,當完全匹配賦值為0���,不匹配賦值為1;
[0009] 步驟S2:所述靜態(tài)分析模炔基于已有的惡意代碼特征數(shù)據(jù)庫的樣本XI���,從APK結 構�、APK文件的權限W及API函數(shù)調用序列�、組件和資源構建待檢測代碼的特征向量yi;所述 權重賦值模塊根據(jù)變形、base64和代碼的相關性匹配程度匹配賦值Ei��,所述
[0010] 步驟S3:所述動態(tài)行為分析模塊根據(jù)已有的權限數(shù)據(jù)庫檢測當前的待檢測代碼的 行為的權限設置是否合理W及當前的待檢測代碼的行為對安卓平臺是否存在威脅;采用模 擬器的方式對文件的讀寫����、網(wǎng)絡連接、短信發(fā)送W及電話撥打的行為進行監(jiān)控����,并由所述權 重賦值模炔基于已有的惡意行為特征數(shù)據(jù)庫23的樣本Zi及當前的待檢測代碼的行為數(shù)m進 行權重賦值Ej,所述
[0011] 步驟S4:所述權重賦值模塊根據(jù)得到的EiW及Ej的值計算待檢測代碼的權重賦值
[0012] 步驟S5:所述判定模塊判定待檢測代碼是否惡意代碼�;
[001引當0如<2時,一般認為不是惡意代碼����,威脅可W忽略;
[0014]當2 ^<5時���,疑似惡意代碼����,威脅低����;
[001引當5如<10時���,極有可能是惡意代碼,威脅中���;
[0016] 當E> 10時�,認為是惡意代碼����,威脅高��;
[0017] 步驟S6:所述記錄模塊將判定結果寫入惡意代碼特征數(shù)據(jù)庫W及惡意行為特征數(shù) 據(jù)庫中進行記錄預警�����。
[0018] 本發(fā)明具有如下有益效果:
[0019] (1)根據(jù)權重賦值計算法解決靜態(tài)代碼特征匹配無法對代碼混淆��,加密����,已有惡意 代碼變種的問題。
[0020] (2)根據(jù)權重賦值計算法解決靜態(tài)代碼特征匹配�,動態(tài)分析行為特征匹配存在誤 報����,最大限度檢測代碼的安全性���,發(fā)現(xiàn)未知的惡意代碼��。
【附圖說明】
[0021] 圖1為本發(fā)明的一種基于權重的安卓惡意代碼檢測系統(tǒng)的結構示意圖����;
[0022] 圖2為本發(fā)明的一種基于權重的安卓惡意代碼檢測方法的流程示意圖��;
[0023] 圖中附圖標記表示為:
[0024] 1-權重賦值模塊��、2-數(shù)據(jù)庫模塊�����、21-惡意代碼特征數(shù)據(jù)庫���、22-權限數(shù)據(jù)庫����、23-惡 意行為特征數(shù)據(jù)庫����、3-靜態(tài)代碼分析模塊�、4-動態(tài)行為分析模塊���、5-判定模塊����、6-記錄模塊���。
【具體實施方式】
[0025] 下面結合附圖和具體實施例來對本發(fā)明進行詳細的說明����。
[0026] 如圖1所示:一種基于權重的安卓惡意代碼檢測系統(tǒng)�,包括權重賦值模塊1��、數(shù)據(jù)庫 模塊2�、靜態(tài)代碼分析模塊3、動態(tài)行為分析模塊4����、判定模塊5W及記錄模塊6;
[0027] 所述權重賦值模塊1根據(jù)權重賦值計算法,對待檢測代碼的數(shù)據(jù)包名和數(shù)字簽名 的匹配是否匹配賦值��,當完全匹配賦值為0,不匹配賦值為1;
[0028] 所述數(shù)據(jù)庫模塊2包括惡意代碼特征數(shù)據(jù)庫21、權限數(shù)據(jù)庫22W及惡意行為特征 數(shù)據(jù)庫23;
[0029] 所述靜態(tài)分析模塊3基于已有的惡意代碼特征數(shù)據(jù)庫21的樣本XI����,從APK結構、APK 文件的權限W及API函數(shù)調用序列���、組件和資源構建待檢測代碼的特征向量yi;所述靜態(tài)分 析模塊討良據(jù)已有惡意代碼特征數(shù)據(jù)庫21匹配����,提取待檢測代碼的特征匹配��,所述權重賦值 模塊1根據(jù)變形����、base64和代碼的相關性匹配程度匹配賦值El-一靜態(tài)代碼檢測,所述
[0030] 安卓有嚴格的權限管理機制����,與很多用戶相關的應用的權限都采取最小權限原 貝1J,所述動態(tài)行為分析模塊4根據(jù)已有的權限數(shù)據(jù)庫22檢測當前的待檢測代碼的行為的權 限設置是否合理W及當前的待檢測代碼的行為對安卓平臺是否存在威脅;采用模擬器的方 式對文件的讀寫����、網(wǎng)絡連接、短信發(fā)送W及電話撥打的行為進行監(jiān)控,并由所述權重賦值模 塊1基于已有的惡意行為特征數(shù)據(jù)庫23的樣本Zi及當前的待檢測代碼的行為數(shù)m進行權重 賦值&一一動態(tài)代碼檢測����,所述
[0031] 例