如��,一個(gè)多媒體軟件申請(qǐng)發(fā)送短信權(quán)限�,所述權(quán)重賦值模塊1對(duì)其權(quán)重賦值為 0.2;若多媒體軟件申請(qǐng)擁有root權(quán)限�,則賦值為1;
[0032] 例如,在系統(tǒng)可執(zhí)行程序目錄/system/xbin下�����,惡意代碼調(diào)用該目錄下的系統(tǒng)程 序執(zhí)行命令時(shí)���,所述權(quán)重賦值模塊1對(duì)該可能是惡意代碼的行為進(jìn)行權(quán)重賦值�;
[0033] 例如��,所述動(dòng)態(tài)行為分析模塊4監(jiān)控短信應(yīng)用�����,當(dāng)惡意代碼向特殊號(hào)碼比如10086�、 10000或者10010發(fā)送短信或者屏蔽短信時(shí),所述權(quán)重賦值模塊1對(duì)當(dāng)前可能是惡意代碼的 行為進(jìn)行權(quán)重賦值��;
[0034] 所述權(quán)重賦值模塊1根據(jù)得到的El W及Ej的值計(jì)算待檢測(cè)代碼的權(quán)重賦值
[0035] 所述判定模塊5根據(jù)E的大小判定待檢測(cè)代碼�����;
[0036] 所述記錄模塊則尋判定結(jié)果寫入惡意代碼特征數(shù)據(jù)庫21W及惡意行為特征數(shù)據(jù)庫 23中進(jìn)行記錄預(yù)警���。
[0037] 如圖2所示:一種基于權(quán)重的安卓惡意代碼檢測(cè)方法����,包括W上所述的基于權(quán)重的 安卓惡意代碼檢測(cè)系統(tǒng)��,其包括W下依次進(jìn)行的步驟:
[0038] 步驟S1:所述權(quán)重賦值模塊1根據(jù)權(quán)重賦值計(jì)算法�����,對(duì)數(shù)據(jù)包名和數(shù)字簽名是否匹 配賦值����,當(dāng)完全匹配賦值為0,不匹配賦值為1;
[0039] 步驟S2:所述靜態(tài)分析模塊3基于已有的惡意代碼特征數(shù)據(jù)庫21的樣本XI��,從APK 結(jié)構(gòu)�、APK文件的權(quán)限W及API函數(shù)調(diào)用序列���、組件和資源構(gòu)建待檢測(cè)代碼的特征向量yi;所 述權(quán)重賦值模塊1根據(jù)變形、base64和代碼的相關(guān)性匹配程度匹配賦值El-一靜態(tài)代碼檢 測(cè)�,所娃
;
[0040] 步驟S3:所述動(dòng)態(tài)行為分析模塊4根據(jù)已有的權(quán)限數(shù)據(jù)庫22檢測(cè)當(dāng)前的待檢測(cè)代 碼的行為的權(quán)限設(shè)置是否合理W及當(dāng)前的待檢測(cè)代碼的行為對(duì)安卓平臺(tái)是否存在威脅;采 用模擬器的方式對(duì)文件的讀寫�����、網(wǎng)絡(luò)連接�����、短信發(fā)送W及電話撥打的行為進(jìn)行監(jiān)控�����,并由所 述權(quán)重賦值模塊1基于已有的惡意行為特征數(shù)據(jù)庫23的樣本Zi及當(dāng)前的待檢測(cè)代碼的行為 數(shù)m進(jìn)行權(quán)重賦值&一一動(dòng)態(tài)代碼檢測(cè)�,所3
[0041] 步驟S4:所述權(quán)重賦值模塊1根據(jù)得到的EiW及E北勺值計(jì)算待檢測(cè)代碼的權(quán)重賦值
[0042] 步驟S5:所述判定模塊5并根據(jù)下表判定待檢測(cè)代碼是否惡意代碼;
[0043]
[0044] 步驟S6:所述記錄模塊則尋判定結(jié)果寫入惡意代碼特征數(shù)據(jù)庫21W及惡意行為特 征數(shù)據(jù)庫23中進(jìn)行記錄預(yù)警�。
[0045] W上所述僅為本發(fā)明的實(shí)施例,并非因此限制本發(fā)明的專利范圍��,凡是利用本發(fā) 明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換�����,或直接或間接運(yùn)用在其他相關(guān)的技 術(shù)領(lǐng)域�,均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)。
【主權(quán)項(xiàng)】
1. 一種基于權(quán)重的安卓惡意代碼檢測(cè)系統(tǒng)�����,其特征在于:包括權(quán)重賦值模塊(1)���、數(shù)據(jù) 庫模塊(2)���、靜態(tài)代碼分析模塊(3)、動(dòng)態(tài)行為分析模塊(4)����、判定模塊(5)以及記錄模塊(6); 所述權(quán)重賦值模塊(1)根據(jù)權(quán)重賦值計(jì)算法,對(duì)待檢測(cè)代碼的數(shù)據(jù)包名和數(shù)字簽名的匹配 是否匹配賦值����,當(dāng)完全匹配賦值為0,不匹配賦值為1;所述數(shù)據(jù)庫模塊(2)包括惡意代碼特 征數(shù)據(jù)庫(21)、權(quán)限數(shù)據(jù)庫(22)以及惡意行為特征數(shù)據(jù)庫(23);所述靜態(tài)分析模塊(3)基于 已有的惡意代碼特征數(shù)據(jù)庫(21)的樣本Xl����,從APK結(jié)構(gòu)、APK文件的權(quán)限以及API函數(shù)調(diào)用序 列��、組件和資源構(gòu)建待檢測(cè)代碼的特征向量y1;所述權(quán)重賦值模塊(1)根據(jù)變形、base64和 代碼的相關(guān)性匹配程度匹配賦值Ei�����,所述���;所述動(dòng)態(tài)行為分析模塊(4)根據(jù)已 有的權(quán)限數(shù)據(jù)庫(22)檢測(cè)當(dāng)前的待檢測(cè)代碼的行為的權(quán)限設(shè)置是否合理以及當(dāng)前的待檢 測(cè)代碼的行為對(duì)安卓平臺(tái)是否存在威脅;采用模擬器的方式對(duì)文件的讀寫��、網(wǎng)絡(luò)連接�、短信 發(fā)送以及電話撥打的行為進(jìn)行監(jiān)控�,并由所述權(quán)重賦值模塊(1)基于已有的惡意行為特征 數(shù)據(jù)庫(23)的樣本當(dāng)前的待檢測(cè)代碼的行為數(shù)m進(jìn)行權(quán)重賦值Ej,所述所述權(quán)重 賦值模塊(1)根據(jù)得到的Ei以及&的值計(jì)算待檢測(cè)代碼的權(quán)重賦值所述判定模 塊(5)根據(jù)E的大小判定待檢測(cè)代碼;所述記錄模塊(6)將判定結(jié)果寫入惡意代碼特征數(shù)據(jù) 庫(21)以及惡意行為特征數(shù)據(jù)庫(23)中進(jìn)行記錄預(yù)警�����。2. -種基于權(quán)重的安卓惡意代碼檢測(cè)方法���,其特征在于:包括權(quán)利要求(1)所述的基于 權(quán)重的安卓惡意代碼檢測(cè)系統(tǒng)�,其包括以下依次進(jìn)行的步驟: 步驟S1:所述權(quán)重賦值模塊(1)根據(jù)權(quán)重賦值計(jì)算法���,對(duì)數(shù)據(jù)包名和數(shù)字簽名是否匹配 賦值����,當(dāng)完全匹配賦值為〇,不匹配賦值為1; 步驟S2:所述靜態(tài)分析模塊(3)基于已有的惡意代碼特征數(shù)據(jù)庫(21)的樣本Xl��,從APK結(jié) 構(gòu)�、APK文件的權(quán)限以及API函數(shù)調(diào)用序列���、組件和資源構(gòu)建待檢測(cè)代碼的特征向量y1;所述 權(quán)重賦值模塊(1)根據(jù)變形����、base64和代碼的相關(guān)性匹配程度匹配賦值Ei����,所述步驟S3:所述動(dòng)態(tài)行為分析模塊(4)根據(jù)已有的權(quán)限數(shù)據(jù)庫(22)檢測(cè)當(dāng)前的待檢測(cè)代 碼的行為的權(quán)限設(shè)置是否合理以及當(dāng)前的待檢測(cè)代碼的行為對(duì)安卓平臺(tái)是否存在威脅;采 用模擬器的方式對(duì)文件的讀寫、網(wǎng)絡(luò)連接����、短信發(fā)送以及電話撥打的行為進(jìn)行監(jiān)控,并由所 述權(quán)重賦值模塊(1)基于已有的惡意行為特征數(shù)據(jù)庫及當(dāng)前的待檢測(cè)代碼的行為 數(shù)m進(jìn)行權(quán)重賦值&��,所述 步驟S4:所述權(quán)重賦值模塊(1)根據(jù)得到的Ei以及&的值計(jì)算待檢測(cè)代碼的權(quán)重賦值步驟S5:所述判定模塊(5)判定待檢測(cè)代碼是否惡意代碼�; 當(dāng)0<E<2時(shí),一般認(rèn)為不是惡意代碼���,威脅可以忽略���; 當(dāng)2 < E<5時(shí)���,疑似惡意代碼,威脅低���; 當(dāng)5 <E<10時(shí)���,極有可能是惡意代碼,威脅中���; 當(dāng)E 2 10時(shí)�,認(rèn)為是惡意代碼��,威脅高����; 步驟S6:所述記錄模塊(6)將判定結(jié)果寫入惡意代碼特征數(shù)據(jù)庫(21)以及惡意行為特 征數(shù)據(jù)庫(23)中進(jìn)行記錄預(yù)警。
【專利摘要】本發(fā)明涉及檢測(cè)系統(tǒng)及方法���,具體涉及一種基于權(quán)重的安卓惡意代碼檢測(cè)系統(tǒng)及方法�,主要應(yīng)用于移動(dòng)通信領(lǐng)域的數(shù)據(jù)安全,屬于無線通信網(wǎng)絡(luò)領(lǐng)域���。一種基于權(quán)重的安卓惡意代碼檢測(cè)系統(tǒng)�,包括權(quán)重賦值模塊����、數(shù)據(jù)庫模塊�、靜態(tài)代碼分析模塊、動(dòng)態(tài)行為分析模塊���、判定模塊以及記錄模塊���;該系統(tǒng)利用權(quán)重賦值計(jì)算法解決靜態(tài)代碼特征匹配無法對(duì)代碼混淆,加密��,已有惡意代碼變種的問題�����;此外����,還能避免靜態(tài)代碼特征匹配��,動(dòng)態(tài)分析行為特征匹配存在誤報(bào)����,最大限度檢測(cè)代碼的安全性��。本發(fā)明的另一個(gè)目的在于提供一種基于權(quán)重的安卓惡意代碼檢測(cè)方法�。
【IPC分類】G06F21/56
【公開號(hào)】CN105447388
【申請(qǐng)?zhí)枴緾N201510953731
【發(fā)明人】王 琦, 張冬青, 黃可臻
【申請(qǐng)人】福建六壬網(wǎng)安股份有限公司
【公開日】2016年3月30日
【申請(qǐng)日】2015年12月17日