CN103902906A - 基于应用图标的移动终端恶意代码检测方法及系统 - Google Patents
基于应用图标的移动终端恶意代码检测方法及系统 Download PDFInfo
- Publication number
- CN103902906A CN103902906A CN201310724266.6A CN201310724266A CN103902906A CN 103902906 A CN103902906 A CN 103902906A CN 201310724266 A CN201310724266 A CN 201310724266A CN 103902906 A CN103902906 A CN 103902906A
- Authority
- CN
- China
- Prior art keywords
- icon
- file data
- mobile terminal
- application program
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Telephone Function (AREA)
- User Interface Of Digital Computer (AREA)
Abstract
本发明提供了一种基于应用程序图标的移动终端恶意代码检测方法及系统。所述方法为,对移动终端应用程序安装包进行结构解析;提取出所述应用程序的图标文件数据;从所述应用程序代码文件中提取出所调用的系统API;将图标文件数据在应用图标功能规则库中匹配,检索到所述图标文件数据对应的功能规则,将所述应用程序调用的系统API与图标文件数据对应的功能规则比对,如果一致,则所述应用程序正常;否则所述应用程序为欺诈类移动终端恶意代码。通过本发明内容,能够结合欺诈类恶意代码的特点和行为规律,有效检测欺诈型移动终端恶意代码。
Description
技术领域
本发明涉及移动终端安全领域,特别涉及一种基于应用图标的移动终端恶意代码检测方法及系统。
背景技术
随着移动互联网的快速发展,智能终端操作系统平台也在快速的发展和不断的优化。随着智能移动终端操作系统的快速发展,出现了大量的移动智能终端应用软件,与之伴随的也出现了很多相应的恶意代码。而对于其中就有一种类型的恶意代码,即属于欺诈型的恶意代码,其通常通过简单的伪装来达到安装之后模仿正常应用的效果,但实际上,没有真实的功能。其通过欺诈用户点击来达到恶意扣费,消耗流浪等目的,进而对用户造成一些经济损失。
目前常见的恶意代码检测方法,主要是针对应用程序进行静态检测或动态检测。对于这种欺诈类型的手机恶意代码,其代码结构,应用程序所包含的数据非常简单,采用大量的模仿和伪装代码数据片段,同时其行为也非常简单,通常为普通正常行为的组合,例如发送短信,访问网络,弹出提示窗口等等。和正常应用并没有直接的区别,也不具备其它类型恶意代码的许多典型特征。这种情况,传统的检测方法,如静态检测方法,容易出现大量的误报和漏报,同时也难以进行有效的启发式检测,而另一方面,通过动态行为检测,也难以将其同正常应用的行为区分开,并形成有效的检测方法。
发明内容
本发明提供了一种基于应用图标的移动终端恶意代码检测方法及系统,解决了欺诈类恶意代码难以有效检测的问题,能够在控制漏报误报的基础上,达到高效检出的效果。
一种基于应用图标的移动终端恶意代码检测方法,包括:
对移动终端应用程序安装包进行结构解析;从安装包中解析出手机应用程序代码文件,资源文件等不同数据文件资源;
提取出所述应用程序的图标文件数据;
从所述应用程序代码文件中提取出所调用的系统API;
将图标文件数据在应用图标功能规则库中匹配,检索到所述图标文件数据对应的功能规则,将所述应用程序调用的系统API与图标文件数据对应的功能规则比对,如果一致,则所述应用程序正常;否则所述应用程序为欺诈类移动终端恶意代码。
所述的方法中,所述图标文件数据至少为:图标文件的hash,或图标文件的相似性hash,或图标文件部分内容片断的hash。
所述的方法中,所述的从所述应用程序代码文件中提取出所调用的系统API至少为:系统API、系统功能API调用序列,或系统功能代码片段特征。
所述的方法中,所述应用图标功能规则库中至少包括:图标文件数据及对应的功能规则。
一种基于应用图标的移动终端恶意代码检测系统,包括:
解析模块,用于对移动终端应用程序安装包进行结构解析;
图标提取模块,用于提取出所述应用程序的图标文件数据;
功能提取模块,用于从所述应用程序代码文件中提取出所调用的系统API;
匹配模块,用于将图标文件数据在应用图标功能规则库中匹配,检索到所述图标文件数据对应的功能规则,将所述应用程序调用的系统API与图标文件数据对应的功能规则比对,如果一致,则所述应用程序正常;否则所述应用程序为欺诈类移动终端恶意代码。
所述的系统中,所述图标文件数据至少为:图标文件的hash,或图标文件的相似性hash,或图标文件部分内容片断的hash。
所述的系统中,所述的从所述应用程序代码文件中提取出所调用的系统API至少为:系统API、系统功能API调用序列,或系统功能代码片段特征。
所述的系统中,所述应用图标功能规则库中至少包括:图标文件数据及对应的功能规则。
本发明提供了一种基于应用程序图标的移动终端恶意代码检测方法及系统。所述方法为,对移动终端应用程序安装包进行结构解析;提取出所述应用程序的图标文件数据;从所述应用程序代码文件中提取出所调用的系统API;将图标文件数据在应用图标功能规则库中匹配,检索到所述图标文件数据对应的功能规则,将所述应用程序调用的系统API与图标文件数据对应的功能规则比对,如果一致,则所述应用程序正常;否则所述应用程序为欺诈类移动终端恶意代码。通过本发明内容,能够结合欺诈类恶意代码的特点和行为规律,有效检测欺诈型移动终端恶意代码。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为基于应用图标的移动终端恶意代码检测方法流程图;
图2为基于应用图标的移动终端恶意代码检测系统结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供了一种基于应用图标的移动终端恶意代码检测方法及系统,解决了欺诈类恶意代码难以有效检测的问题,能够在控制漏报误报的基础上,达到高效检出的效果。
一种基于应用图标的移动终端恶意代码检测方法,如图1所示,包括:
S101:对移动终端应用程序安装包进行结构解析;从安装包中解析出手机应用程序代码文件,资源文件等不同数据文件资源;可以采取目前通用的各种应用安装包的解析和识别技术,如Android系统的应用安装包,则是解析出程序代码文件classes.dex,解析出资源图片等文件;
S102:提取出所述应用程序的图标文件数据;
主要实现方法是根据不同平台应用的程序包的结构,结合上述对安装包结构的解析,从中提取出对应的图标文件数据。例如Android平台可以对APK中的资源文件resources.arsc进行解析,从中寻找到对应的图标文件的ID等信息,并从resource资源文件中提取出图标文件数据资源。
S103:从所述应用程序代码文件中提取出所调用的系统API;
通过对程序代码文件的二进制解析和分析,从中提取出应用程序所依赖的系统功能API或系统功能代码数据片段,例如Android平台通过对APK中的classes.dex进行解析可以获取所有其调用的系统API的类,函数名称和调用位置,功能代码片段等数据;
S104:将图标文件数据在应用图标功能规则库中匹配,检索到所述图标文件数据对应的功能规则,将所述应用程序调用的系统API与图标文件数据对应的功能规则比对,如果一致,则所述应用程序正常;否则所述应用程序为欺诈类移动终端恶意代码。
可以为,通过对提取出的图标文件数据进行计算图表文件片段摘要hash,然后在应用图标功能规则库中找到对应的系统API信息,然后利用提取的目标应用程序的系统功能API或系统功能代码数据片段进行比对,例如,可以采取的策略为,提取出的目标应用的系统功能API中没有包含应用图标功能规则库中所记录的系统功能API信息,则可以认为其实目标应用并不具备图标所对应的应用功能和行为,则为某种欺诈型的手机应用程序。
所述的方法中,所述图标文件数据至少为:图标文件的hash,或图标文件的相似性hash,或图标文件部分内容片断的hash。
所述的方法中,所述的从所述应用程序代码文件中提取出所调用的系统API至少为:系统API、系统功能API调用序列,或系统功能代码片段特征。
所述的方法中,所述应用图标功能规则库中至少包括:图标文件数据及对应的功能规则。
一种基于应用图标的移动终端恶意代码检测系统,如图2所示,包括:
解析模块201,用于对移动终端应用程序安装包进行结构解析;
图标提取模块202,用于提取出所述应用程序的图标文件数据;
功能提取模块203,用于从所述应用程序代码文件中提取出所调用的系统API;
匹配模块204,用于将图标文件数据在应用图标功能规则库中匹配,检索到所述图标文件数据对应的功能规则,将所述应用程序调用的系统API与图标文件数据对应的功能规则比对,如果一致,则所述应用程序正常;否则所述应用程序为欺诈类移动终端恶意代码。
所述的系统中,所述图标文件数据至少为:图标文件的hash,或图标文件的相似性hash,或图标文件部分内容片断的hash。
所述的系统中,所述的从所述应用程序代码文件中提取出所调用的系统API至少为:系统API、系统功能API调用序列,或系统功能代码片段特征。
所述的系统中,所述应用图标功能规则库中至少包括:图标文件数据及对应的功能规则。
本发明的优势在于,针对欺诈型移动终端恶意代码难以有效检测的现象,结合这种类型的恶意代码的特点和行为规律,创造性的发明了一种方法及系统,能够有效的对欺诈类的移动终端恶意代码进行高效的检出。
本发明提供了一种基于应用程序图标的移动终端恶意代码检测方法及系统。所述方法为,对移动终端应用程序安装包进行结构解析;提取出所述应用程序的图标文件数据;从所述应用程序代码文件中提取出所调用的系统API;将图标文件数据在应用图标功能规则库中匹配,检索到所述图标文件数据对应的功能规则,将所述应用程序调用的系统API与图标文件数据对应的功能规则比对,如果一致,则所述应用程序正常;否则所述应用程序为欺诈类移动终端恶意代码。通过本发明内容,能够结合欺诈类恶意代码的特点和行为规律,有效检测欺诈型移动终端恶意代码。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (8)
1.一种基于应用图标的移动终端恶意代码检测方法,其特征在于,包括:
对移动终端应用程序安装包进行结构解析;
提取出所述应用程序的图标文件数据;
从所述应用程序代码文件中提取出所调用的系统API;
将图标文件数据在应用图标功能规则库中匹配,检索到所述图标文件数据对应的功能规则,将所述应用程序调用的系统API与图标文件数据对应的功能规则比对,如果一致,则所述应用程序正常;否则所述应用程序为欺诈类移动终端恶意代码。
2.如权利要求1所述的方法,其特征在于,所述图标文件数据至少为:图标文件的hash,或图标文件的相似性hash,或图标文件部分内容片断的hash。
3.如权利要求1所述的方法,其特征在于,所述的从所述应用程序代码文件中提取出所调用的系统API至少为:系统API、系统功能API调用序列,或系统功能代码片段特征。
4.如权利要求1所述的方法,其特征在于,所述应用图标功能规则库中至少包括:图标文件数据及对应的功能规则。
5.一种基于应用图标的移动终端恶意代码检测系统,其特征在于,包括:
解析模块,用于对移动终端应用程序安装包进行结构解析;
图标提取模块,用于提取出所述应用程序的图标文件数据;
功能提取模块,用于从所述应用程序代码文件中提取出所调用的系统API;
匹配模块,用于将图标文件数据在应用图标功能规则库中匹配,检索到所述图标文件数据对应的功能规则,将所述应用程序调用的系统API与图标文件数据对应的功能规则比对,如果一致,则所述应用程序正常;否则所述应用程序为欺诈类移动终端恶意代码。
6.如权利要求5所述的系统,其特征在于,所述图标文件数据至少为:图标文件的hash,或图标文件的相似性hash,或图标文件部分内容片断的hash。
7.如权利要求5所述的系统,其特征在于,所述的从所述应用程序代码文件中提取出所调用的系统API至少为:系统API、系统功能API调用序列,或系统功能代码片段特征。
8.如权利要求5所述的系统,其特征在于,所述应用图标功能规则库中至少包括:图标文件数据及对应的功能规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310724266.6A CN103902906A (zh) | 2013-12-25 | 2013-12-25 | 基于应用图标的移动终端恶意代码检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310724266.6A CN103902906A (zh) | 2013-12-25 | 2013-12-25 | 基于应用图标的移动终端恶意代码检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103902906A true CN103902906A (zh) | 2014-07-02 |
Family
ID=50994218
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310724266.6A Pending CN103902906A (zh) | 2013-12-25 | 2013-12-25 | 基于应用图标的移动终端恶意代码检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103902906A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104991893A (zh) * | 2014-11-06 | 2015-10-21 | 哈尔滨安天科技股份有限公司 | 一种启发式自解压包和安装包检测方法及系统 |
| CN108734215A (zh) * | 2018-05-21 | 2018-11-02 | 上海戎磐网络科技有限公司 | 软件分类方法及装置 |
| CN109714296A (zh) * | 2017-10-26 | 2019-05-03 | 中国电信股份有限公司 | 威胁情报分析方法和装置 |
| CN109871686A (zh) * | 2019-01-31 | 2019-06-11 | 中国人民解放军战略支援部队信息工程大学 | 基于图标表示和软件行为一致性分析的恶意程序识别方法及装置 |
| CN113191809A (zh) * | 2021-05-06 | 2021-07-30 | 上海交通大学 | 移动广告点击欺诈检测方法、系统、终端及介质 |
-
2013
- 2013-12-25 CN CN201310724266.6A patent/CN103902906A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104991893A (zh) * | 2014-11-06 | 2015-10-21 | 哈尔滨安天科技股份有限公司 | 一种启发式自解压包和安装包检测方法及系统 |
| CN109714296A (zh) * | 2017-10-26 | 2019-05-03 | 中国电信股份有限公司 | 威胁情报分析方法和装置 |
| CN108734215A (zh) * | 2018-05-21 | 2018-11-02 | 上海戎磐网络科技有限公司 | 软件分类方法及装置 |
| CN109871686A (zh) * | 2019-01-31 | 2019-06-11 | 中国人民解放军战略支援部队信息工程大学 | 基于图标表示和软件行为一致性分析的恶意程序识别方法及装置 |
| CN113191809A (zh) * | 2021-05-06 | 2021-07-30 | 上海交通大学 | 移动广告点击欺诈检测方法、系统、终端及介质 |
| CN113191809B (zh) * | 2021-05-06 | 2022-08-09 | 上海交通大学 | 移动广告点击欺诈检测方法、系统、终端及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9824212B2 (en) | Method and system for recognizing advertisement plug-ins | |
| CN103440458B (zh) | 一种启发式静态识别Android系统恶意代码的方法 | |
| CN103473509A (zh) | Android平台恶意软件自动检测方法 | |
| CN103902906A (zh) | 基于应用图标的移动终端恶意代码检测方法及系统 | |
| CN103839005A (zh) | 移动操作系统的恶意软件检测方法和恶意软件检测系统 | |
| CN102708309A (zh) | 恶意代码自动分析方法及系统 | |
| CN105426759A (zh) | Url的合法性识别方法及装置 | |
| CN103268449B (zh) | 一种手机恶意代码的高速检测方法和系统 | |
| CN103500307A (zh) | 一种基于行为模型的移动互联网恶意应用软件检测方法 | |
| CN102663319A (zh) | 下载链接安全提示方法及装置 | |
| CN104751053A (zh) | 移动智能终端软件的静态行为分析方法 | |
| JP2017534097A (ja) | 二次元コードの解析方法および装置、コンピュータ読み取り可能な記憶媒体、コンピュータプログラム製品および端末機器 | |
| US9124623B1 (en) | Systems and methods for detecting scam campaigns | |
| CN113328994B (zh) | 一种恶意域名处理方法、装置、设备及机器可读存储介质 | |
| CN106599688A (zh) | 一种基于应用类别的安卓恶意软件检测方法 | |
| CN103369486A (zh) | 诈骗短信防范系统与防范方法 | |
| CN109815702B (zh) | 软件行为的安全检测方法、装置及设备 | |
| CN106383862B (zh) | 一种违规短信检测方法及系统 | |
| CN104640105A (zh) | 手机病毒分析和威胁关联的方法和系统 | |
| US10296743B2 (en) | Method and device for constructing APK virus signature database and APK virus detection system | |
| CN105488409A (zh) | 一种检测恶意代码家族变种及新家族的方法及系统 | |
| CN103369532B (zh) | 一种移动终端恶意软件行为的黑盒检测方法 | |
| CN105488399A (zh) | 一种基于程序关键字调用序列的脚本病毒检测方法及系统 | |
| CN103475673A (zh) | 钓鱼网站识别方法、装置及客户端 | |
| CN111460448B (zh) | 一种恶意软件家族检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140702 |
|
| RJ01 | Rejection of invention patent application after publication |