CN103268449A - 一种手机恶意代码的高速检测方法和系统 - Google Patents
一种手机恶意代码的高速检测方法和系统 Download PDFInfo
- Publication number
- CN103268449A CN103268449A CN2012105811193A CN201210581119A CN103268449A CN 103268449 A CN103268449 A CN 103268449A CN 2012105811193 A CN2012105811193 A CN 2012105811193A CN 201210581119 A CN201210581119 A CN 201210581119A CN 103268449 A CN103268449 A CN 103268449A
- Authority
- CN
- China
- Prior art keywords
- mobile phone
- installation kit
- malicious code
- information
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Telephone Function (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种用于对手机恶意代码进行高速检测的方法及系统,所述方法是通过对手机恶意代码所属手机平台和恶意文件格式进行识别,然后将手机恶意代码中自有文件的校验信息值和恶意代码所属平台的结构特征形成一个查毒缓冲区,从而进行手机恶意代码的检测和识别。所述系统包括手机应用安装包格式和结构识别模块,手机恶意代码查毒缓冲区构成模块,手机恶意代码检测模块。该方法及系统具有支持多平台、高效、误报率低的特点。
Description
技术领域
本发明涉及一种用于手机恶意代码的高速检测方法及系统,特别是在网络设备,移动终端设备,计算机主机等场景下对手机恶意代码进行高速检测的方法及系统。
背景技术
随着移动互联网的发展,移动终端用户规模的迅速扩大和诸多人员对移动终端技术的了解,移动终端面临着更大的信息安全威胁。移动终端内部可能会存有用户的电话簿、通话记录、短信、银行账号、密码口令等个人隐私信息。如果这些信息通过恶意代码被非法获取,很可能给用户带来直接经济损失,更严重的是用户隐私数据的泄漏等。因此,提供一个能够针对手机恶意代码进行有效,高速检测的产品对于对抗恶意代码传播能力,为用户提供一个更加安全的移动网络环境显得尤为紧迫和重要。
与传统的计算机平台相比,手机操作系统的硬件配置相对较低,因此考虑到手机存储,计算性能等方面的问题,对手机应用程序的存储进行了特殊的设计。通常而言,用户下载的手机应用软件格式为压缩包格式。针对不同的手机平台的应用程序安装包的文件类型也不同。例如,Android平台的安装包格式是APK格式即标准的Zip压缩包格式,其程序可执行文件则为APK文件中的Classes.dex文件,Symbian平台的安装包格式是SIS或SISX格式,其程序可执行文件则为SIS或SISX文件中的EPOC文件,Windowsphone平台的安装包格式是CAB或XAP格式,程序可执行文件是其中的.Net PE文件,iOS平台的安装包格式是IPA格式,程序可执行文件是其中的Mach-o文件,J2ME平台的安装包格式是JAR格式,程序可执行文件是其中的class文件。在不同手机平台上,首先解压缩软件安装包,执行其中的可执行文件进行软件的安装,从而达到软件的传播与分发,手机恶意病毒也就可能隐藏在软件安装包中进行恶意传播。
由此可见,手机恶意代码的隐蔽性越来越强,普通用户往往很难察觉。这类恶意代码主要是通过嵌入正常手机应用软件的方式,来诱骗用户下载安装。因此,现在安全厂商都在积极探索研究手机恶意代码的检测方法。对于手机恶意代码的检测,目前主要有以下几种方法和策略。
方法一:对软件安装包完整文件数据计算特征值进行检测。
通过对软件安装包文件中的完整数据进行读取并计算出完整文件数据的特征值,然后将该特征值作为特征对手机恶意代码进行检测。
方法二:对软件安装包文件中的部分数据计算特征值进行检测。
通过对软件安装包中数据的特定偏移位置和特定长度的数据进行特征值计算,然后将该特征值作为特征对手机恶意代码进行检测。
方法三:对软件安装包文件进行解压缩,然后对提取的文件进行检测。
通过对软件安装包进行拆包解压缩,然后对提取出的文件进行检测。
方法一和方法二的缺点是抗变化、抗混淆能力差。
在方法一中,由于是对安装包的完整文件数据进行HASH校验计算,那么当安装包中的某一个文件发生任意字节的变化时,会导致整个文件的特征值发生变化,进而导致手机恶意代码无法被检出。
在方法二中,由于是对软件安装包的特定部分的数据来进行特征值计算,比如可以通过获取APK安装包中尾部的文件列表信息节、APK安装包中相关的文件名称或路径信息来计算特征值并进行检测。但是安装包中往往存在多个文件,文件在软件安装包中的存储顺序,结构信息和路径信息都是会产生变化的,因此本方法对文件名混淆和文件名变化不具备抵抗能力。
在方法三的缺点是性能和效率低。
在方法三中,由于要对文件进行解压缩处理,对文件进行提取后再进行检测,因此对于文件解压缩处理和计算将占用大量的计算资源和存储资源,进而对检测速度造成严重的影响。
现阶段,由于手机操作系统的硬件配置还相对较低等现实场景,手机对杀毒引擎的检测速度、计算资源占用和内存消耗都有严格的要求。本发明所描述的方法就是针对这些难点,结合手机恶意代码的文件形态特征而提供的一种方法及系统。此种方法及系统能够有效解决手机恶意代码在不同场景下的高速检测问题,同时具有较好的抗混淆和抗变化能力。
发明内容
针对以上计算问题,本发明公开一种对手机恶意代码进行高速检测的方法及系统,具体方法是通过对手机恶意代码所属手机平台和恶意文件格式进行识别,然后将手机恶意代码中自有文件的校验信息值和恶意代码所属平台的结构特征形成一个查毒缓冲区,从而进行手机恶意代码的检测和识别。
本发明提供了一种对手机恶意代码进行高速检测的方法,首先根据手机安装包格式和结构特征库对手机应用安装包的格式和结构进行识别。然后提取安装包中可执行文件信息构成手机恶意代码查毒缓冲区。再对查毒缓冲区计算特征值,与手机恶意代码特征库进行匹配,匹配成功即恶意代码检出成功。
本发明还提供了一种对手机恶意代码进行高速检测的系统,包括:手机应用安装包格式和结构识别模块,手机恶意代码查毒缓冲区构成模块,手机恶意代码检测模块,手机恶意代码特征库,手机安装包格式和结构特征库。
本发明的有益效果是:
1、对获取的软件安装包无需做解压缩处理,降低计算资源和存储资源的占用,因而较大程度上提高了检测速度。
2、由于它是对软件安装包中的可执行文件的多个属性值(文件名、文件大小等)进行组合计算特征值,具有很强的可识别性,因此增强了恶意代码检测的准确性,大大降低误报率。
3、由于它是直接对软件安装包中的可执行文件进行特征值计算,因此其特征值不会因为某一个文件发生任意字节的变化而变化,具有较好的抗变化和抗混淆性。
4、本方法及系统具有较好的跨平台特性,适用于现在通行的多种手机平台,包括Android、Symbian、Windows Mobile、Windows Phone、iPhoneOS、J2ME。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明手机恶意代码的高速检测方法流程图;
图2为手机恶意代码的高速检测系统结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本 发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
如图1所示,本发明的方法流程图,包括:
S101、根据手机安装包格式和结构特征库对手机应用安装包的格式和结构进行识别。具体手机平台下的安装包格式分别是:Android、Symbian、WindowsMobile、Windows Phone、iPhoneOS、J2ME的安装包格式分别是APK、SIS/SISX、CAB、CAB/XAP、IPA、JAR。
根据安装包格式和结构特征库对这些安装包进行结构识别,识别SIS/SISX文件中的结构、可执行文件列表、可执行文件和模块列表,APK,XAP,JAR,IPA中的文件结构和可执行文件列表。
S102、然后提取安装包中可执行文件信息构成手机恶意代码查毒缓冲区。比如,Android平台的手机应用安装包是APK格式的,此时需要将其中的可执行文件Classes.dex的文件信息提取出来构成手机恶意代码查毒缓冲区。
构成手机恶意代码查毒缓冲区的文件信息可以包括:安装包的结构特征信息;还包括安装包中可执行文件的校验值信息和可执行文件的其他属性信息,比如时间属性、大小属性等;还可以包括安装包中其他文件的属性信息,比如时间、大小以及签名等信息。
S103、对查毒缓冲区计算特征值,与手机恶意代码特征库进行匹配,匹配成功即恶意代码检出成功。
特征值计算方法可以采用各种摘要计算方法,例如MD5,CRC32等完整性校验算法,或者Simhash等模糊Hash算法。然后两者进行匹配,匹配方法可以采用相似性、模糊Hash等。
如图2所示,为本发明系统结构示意图,包括:
手机应用安装包格式和结构识别模块101,用于根据手机安装包格式和结构特征库对手机应用程序的安装包进行格式和结构特征识别;所述手机安装包格式和结构特征库保存了不同手机平台下的安装包格式和文件结构特征;
手机恶意代码查毒缓冲区构成模块102,用于提取所述安装包中的可执行文件信息构成缓冲区;
手机恶意代码检测模块103,用于对所述缓冲区中的信息计算特征值;用所 述特征值与手机恶意代码特征库中的特征值进行匹配,输出匹配结果。
所示系统还包括:
手机安装包格式和结构特征库:用于保存安装包格式特征和结构识别特征,安装包格式和结构识别特征,可以是特定的文件名、特定的文件路径等。
手机恶意代码特征库:保存了与和检测方法相适配的特征,该特征库部署位置可以是在检测设备本地、网络端或者是在云中。
本说明书中方法的实施例采用并列的方式描述,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (6)
1.一种手机恶意代码的高速检测方法,其特征在于,包括:
根据手机安装包格式和结构特征库对手机应用程序的安装包进行格式和结构特征识别;所述手机安装包格式和结构特征库保存了不同手机平台下的安装包格式和文件结构特征;
提取所述安装包的结构特征信息以及所述安装包中的可执行文件信息和/或其他文件信息构成缓冲区;
对所述缓冲区中的信息计算特征值;
用所述特征值与手机恶意代码特征库中的特征值进行匹配,输出匹配结果。
2.如权利要求1所述的方法,其特征在于,所述手机平台包括:Android、Symbian、Windows Mobile、Windows Phone、iPhoneOS、J2ME。
3.如权利要求1所述的方法,其特征在于,所述可执行文件信息包括:可执行文件的校验值信息、时间属性信息、文件大小属性信息。
4.如权利要求1所述的方法,其特征在于,其他文件信息包括:时间属性信息、文件大小属性信息以及签名信息。
5.一种手机恶意代码的高速检测系统,其特征在于,包括:
手机应用安装包格式和结构识别模块,用于根据手机安装包格式和结构特征库对手机应用程序的安装包进行格式和结构特征识别;所述手机安装包格式和结构特征库保存了不同手机平台下的安装包格式和文件结构特征;
手机恶意代码查毒缓冲区构成模块,用于提取所述安装包中的可执行文件信息构成缓冲区;
手机恶意代码检测模块,用于对所述缓冲区中的信息计算特征值;用所述特征值与手机恶意代码特征库中的特征值进行匹配,输出匹配结果。
6.如权利要求5所述的系统,其特征在于,所述手机恶意代码查毒缓冲区构成模块还用于提取所述安装包中的可执行文件信息以及其他文件信息构成缓冲区。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210581119.3A CN103268449B (zh) | 2012-12-28 | 2012-12-28 | 一种手机恶意代码的高速检测方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210581119.3A CN103268449B (zh) | 2012-12-28 | 2012-12-28 | 一种手机恶意代码的高速检测方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103268449A true CN103268449A (zh) | 2013-08-28 |
| CN103268449B CN103268449B (zh) | 2016-08-10 |
Family
ID=49012077
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210581119.3A Active CN103268449B (zh) | 2012-12-28 | 2012-12-28 | 一种手机恶意代码的高速检测方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103268449B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103559441A (zh) * | 2013-10-28 | 2014-02-05 | 中国科学院信息工程研究所 | 一种恶意文件云环境下跨平台检测方法及系统 |
| CN104657661A (zh) * | 2015-01-26 | 2015-05-27 | 武汉安天信息技术有限责任公司 | 移动终端中恶意代码的检测方法和装置 |
| CN105488390A (zh) * | 2014-12-13 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种Linux下的可疑文件发现方法及系统 |
| CN105488394A (zh) * | 2014-12-27 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种面向蜜罐系统进行入侵行为识别和分类的方法及系统 |
| CN106874760A (zh) * | 2016-12-23 | 2017-06-20 | 浙江工业大学 | 一种基于层次式SimHash的Android恶意代码分类方法 |
| CN107480068A (zh) * | 2017-08-22 | 2017-12-15 | 武汉斗鱼网络科技有限公司 | 代码完整性检测方法、装置、电子终端及可读存储介质 |
| CN109558731A (zh) * | 2017-09-26 | 2019-04-02 | 腾讯科技(深圳)有限公司 | 特征码处理方法、装置及存储介质 |
| CN110737894A (zh) * | 2018-12-04 | 2020-01-31 | 哈尔滨安天科技集团股份有限公司 | 复合文档安全检测方法、装置、电子设备及存储介质 |
| CN112434293A (zh) * | 2020-11-13 | 2021-03-02 | 北京鸿腾智能科技有限公司 | 文件特征提取方法、设备、存储介质及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030236104A1 (en) * | 2002-06-21 | 2003-12-25 | Gvc Corporation | Method and device for quickly storing a telephone book in a mobile device |
| US20040046745A1 (en) * | 2002-08-19 | 2004-03-11 | Yuka Hayashi | Portable telephone set |
| CN102663285A (zh) * | 2012-03-21 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种apk病毒特征码的提取方法及装置 |
-
2012
- 2012-12-28 CN CN201210581119.3A patent/CN103268449B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030236104A1 (en) * | 2002-06-21 | 2003-12-25 | Gvc Corporation | Method and device for quickly storing a telephone book in a mobile device |
| US20040046745A1 (en) * | 2002-08-19 | 2004-03-11 | Yuka Hayashi | Portable telephone set |
| CN102663285A (zh) * | 2012-03-21 | 2012-09-12 | 奇智软件(北京)有限公司 | 一种apk病毒特征码的提取方法及装置 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103559441B (zh) * | 2013-10-28 | 2016-04-27 | 中国科学院信息工程研究所 | 一种恶意文件云环境下跨平台检测方法及系统 |
| CN103559441A (zh) * | 2013-10-28 | 2014-02-05 | 中国科学院信息工程研究所 | 一种恶意文件云环境下跨平台检测方法及系统 |
| CN105488390A (zh) * | 2014-12-13 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种Linux下的可疑文件发现方法及系统 |
| CN105488390B (zh) * | 2014-12-13 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 一种Linux下的可疑文件发现方法及系统 |
| CN105488394B (zh) * | 2014-12-27 | 2018-06-12 | 哈尔滨安天科技股份有限公司 | 一种面向蜜罐系统进行入侵行为识别和分类的方法及系统 |
| CN105488394A (zh) * | 2014-12-27 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种面向蜜罐系统进行入侵行为识别和分类的方法及系统 |
| CN104657661B (zh) * | 2015-01-26 | 2018-05-22 | 武汉安天信息技术有限责任公司 | 移动终端中恶意代码的检测方法和装置 |
| CN104657661A (zh) * | 2015-01-26 | 2015-05-27 | 武汉安天信息技术有限责任公司 | 移动终端中恶意代码的检测方法和装置 |
| CN106874760A (zh) * | 2016-12-23 | 2017-06-20 | 浙江工业大学 | 一种基于层次式SimHash的Android恶意代码分类方法 |
| CN107480068A (zh) * | 2017-08-22 | 2017-12-15 | 武汉斗鱼网络科技有限公司 | 代码完整性检测方法、装置、电子终端及可读存储介质 |
| CN109558731A (zh) * | 2017-09-26 | 2019-04-02 | 腾讯科技(深圳)有限公司 | 特征码处理方法、装置及存储介质 |
| CN109558731B (zh) * | 2017-09-26 | 2022-04-08 | 腾讯科技(深圳)有限公司 | 特征码处理方法、装置及存储介质 |
| CN110737894A (zh) * | 2018-12-04 | 2020-01-31 | 哈尔滨安天科技集团股份有限公司 | 复合文档安全检测方法、装置、电子设备及存储介质 |
| CN110737894B (zh) * | 2018-12-04 | 2022-12-27 | 安天科技集团股份有限公司 | 复合文档安全检测方法、装置、电子设备及存储介质 |
| CN112434293A (zh) * | 2020-11-13 | 2021-03-02 | 北京鸿腾智能科技有限公司 | 文件特征提取方法、设备、存储介质及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103268449B (zh) | 2016-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103268449B (zh) | 一种手机恶意代码的高速检测方法和系统 | |
| US10979444B2 (en) | Automated detection of malware using trained neural network-based file classifiers and machine learning | |
| US11030311B1 (en) | Detecting and protecting against computing breaches based on lateral movement of a computer file within an enterprise | |
| US11188650B2 (en) | Detection of malware using feature hashing | |
| CN102541937B (zh) | 一种网页信息探测方法及系统 | |
| CN104715196B (zh) | 智能手机应用程序的静态分析方法及系统 | |
| CN107665306B (zh) | 一种检测非法文件注入的方法、装置、客户端及服务器 | |
| US10243977B1 (en) | Automatically detecting a malicious file using name mangling strings | |
| CN103500307A (zh) | 一种基于行为模型的移动互联网恶意应用软件检测方法 | |
| CN104168293A (zh) | 结合本地内容规则库识别可疑钓鱼网页的方法及系统 | |
| CN103617393A (zh) | 一种基于支持向量机的移动互联网恶意应用软件检测方法 | |
| CN103294953B (zh) | 一种手机恶意代码检测方法及系统 | |
| CN103778352B (zh) | 电子证据生成、验证方法及其装置与系统 | |
| CN102999638A (zh) | 基于网络群挖掘的钓鱼网站检测方法 | |
| CN104158828A (zh) | 基于云端内容规则库识别可疑钓鱼网页的方法及系统 | |
| CN104954329A (zh) | 一种生物特征信息的处理方法及装置 | |
| CN105095764A (zh) | 病毒的查杀方法及装置 | |
| CN103324886A (zh) | 一种网络攻击检测中指纹库的提取方法和系统 | |
| CN104978523A (zh) | 一种基于网络热词识别的恶意样本捕获方法及系统 | |
| Zhao et al. | An efficient patch dissemination strategy for mobile networks | |
| CN103902906A (zh) | 基于应用图标的移动终端恶意代码检测方法及系统 | |
| CN113141370A (zh) | 一种内部网络流量的恶意dns隧道识别方法 | |
| CN103839004A (zh) | 检测恶意文件的方法和设备 | |
| CN111262842B (zh) | 网页防篡改方法、装置、电子设备、及存储介质 | |
| CN114817925A (zh) | 基于多模态图特征的安卓恶意软件检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 430000, Hubei province East Lake Wuhan New Technology Development Zone Software Park East Road 1 software industry phase 4-1, B4, building 12, room 01 Applicant after: Wuhan Antian Information Technology Co., Ltd. Address before: 430000 Hubei Development Zone, East Lake, Optics Valley Venture Street, building 6, building 2, building Applicant before: Wuhan Antian Information Technology Co., Ltd. |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |