CN105975855B - 一种基于apk证书相似性的恶意代码检测方法及系统 - Google Patents
一种基于apk证书相似性的恶意代码检测方法及系统 Download PDFInfo
- Publication number
- CN105975855B CN105975855B CN201510538054.8A CN201510538054A CN105975855B CN 105975855 B CN105975855 B CN 105975855B CN 201510538054 A CN201510538054 A CN 201510538054A CN 105975855 B CN105975855 B CN 105975855B
- Authority
- CN
- China
- Prior art keywords
- information
- certificate
- detected
- critical field
- malice
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
Abstract
本发明提出了一种基于apk证书相似性的恶意代码检测方法及系统,所述方法包括:提取所述待检测应用程序文件中的证书文件;提取所述证书文件中的证书信息;解析证书信息,获取所述证书信息中的关键字段信息;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。通过对证书具体内容相似性的识别匹配,能够解决大批量脚本化生成的恶意应用的识别和检测问题。相对于静态检测,能够极大提高检测效果。
Description
技术领域
本发明涉及移动终端安全技术领域,特别涉及一种基于apk证书相似性的恶意代码检测方法及系统。
背景技术
随着Android系统等智能移动平台的兴起,移动终端的恶意代码逐渐成为信息安全领域的又一重大威胁。目前,Android中的恶意代码数量正呈现出爆炸式增长的趋势,且恶意应用较多的呈现批量化,脚本化生成的趋势,同时更多的采用加密混淆和动态加载等手段,当前的移动终端恶意代码主要基于静态符号信息、Api调用序列及相应的代码片段来进行识别和检测,相应的检测相对比较耗时且效率低,此外传统的证书检测也只是单纯的检测整个证书文件,证书内容只要稍微变动,检测即会失效,当前Android移动恶意代码,同一类恶意代码可能会有大量不同的证书,只是纯粹的传统证书检测不能做到这类恶意代码的有效识别。
发明内容
本发明公开了一种基于apk证书相似性的恶意代码检测方法及系统,该方法基于Apk的证书信息提取,通过进行相似性的比较提取特征,能够有效识别检测大量批量脚本化生成的恶意代码。
一种基于apk证书相似性的恶意代码检测方法,包括:
接收待检测应用程序文件,提取所述待检测应用程序文件中的证书文件;
提取所述证书文件中的证书信息,所述证书信息包括Subject、Issuer、StartTime、EndTime、PublicKey及Version信息;
解析证书信息,获取所述证书信息中的关键字段信息,所述关键字段包括CN、OU、O、L、ST、C字段;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;
将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
所述的方法中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配包括,字符串完全匹配或部分匹配。
所述的方法中,所述字符串部分匹配时,根据相似性算法计算字符串的相似度,如果相似度超过预设值,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
所述的方法中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,还包括,判断所述证书信息中是否包含或不包含指定字符串,如果是,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
所述的方法中,恶意证书信息库为根据已知恶意代码文件的证书信息提取的关键字段信息组成。
本发明还提供一种基于apk证书相似性的恶意代码检测系统,包括:
文件接收模块,用于接收待检测应用程序文件,提取所述待检测应用程序文件中的证书文件;
信息提取模块,用于提取所述证书文件中的证书信息,所述证书信息包括Subject、Issuer、StartTime、EndTime、PublicKey及Version信息;
信息解析模块,用于解析证书信息,获取所述证书信息中的关键字段信息,所述关键字段包括CN、OU、O、L、ST、C字段;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;
匹配模块,用于将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
所述的系统中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配包括,字符串完全匹配或部分匹配。
所述的系统中,所述字符串部分匹配时,根据相似性算法计算字符串的相似度,如果相似度超过预设值,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
所述的系统中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,还包括,过滤模块,判断所述证书信息中是否包含或不包含指定字符串,如果是,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
所述的系统中,恶意证书信息库为根据已知恶意代码文件的证书信息提取的关键字段信息组成。
本发明提出了一种基于apk证书相似性的恶意代码检测方法及系统,所述方法包括:提取所述待检测应用程序文件中的证书文件;提取所述证书文件中的证书信息;解析证书信息,获取所述证书信息中的关键字段信息;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。通过对证书具体内容相似性的识别匹配,能够解决大批量脚本化生成的恶意应用的识别和检测问题。相对于静态检测,能够极大提高检测效果。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种基于apk证书相似性的恶意代码检测方法实施例流程图;
图2为一种基于apk证书相似性的恶意代码检测系统实施例结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明公开了一种基于apk证书相似性的恶意代码检测方法及系统,该方法基于Apk的证书信息提取,通过进行相似性的比较提取特征,能够有效识别检测大量批量脚本化生成的恶意代码。
一种基于apk证书相似性的恶意代码检测方法,如图1所示,包括:
S101:接收待检测应用程序文件,提取所述待检测应用程序文件中的证书文件;应用程序文件一般为可执行文件,如APK文件,ZIP格式;证书文件一般位于NETA-INF目录下,多以.DSA、.RSA、.DC结尾;
S102:提取所述证书文件中的证书信息,所述证书信息包括Subject、Issuer、StartTime、EndTime、PublicKey及Version信息;
S103:解析证书信息,获取所述证书信息中的关键字段信息,所述关键字段包括CN、OU、O、L、ST、C字段;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;
Android应用程序在进行签名时会输入如下信息:CN、OU、O、L、ST、C,分别对应为First and Last Name、Organizational Unit、Organization、City or Locality、Stateor Province、Country Code,这些信息具有一定标示性作用,而脚本化批量生成签名的应用,这些信息更是具有一定的规律性的特点,所以进行以上字段的提取,证书内容信息可根据一般证书格式提取来实现;
S104:将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
所述的方法中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配包括,字符串完全匹配或部分匹配。
所述的方法中,所述字符串部分匹配时,根据相似性算法计算字符串的相似度,如果相似度超过预设值,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
所述的方法中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,还包括,判断所述证书信息中是否包含或不包含指定字符串,如果是,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
所述的方法中,恶意证书信息库为根据已知恶意代码文件的证书信息提取的关键字段信息组成。证书信息的提取方式同样按本发明方法进行提取。
本发明还提供一种基于apk证书相似性的恶意代码检测系统,如图2所示,包括:
文件接收模块201,用于接收待检测应用程序文件,提取所述待检测应用程序文件中的证书文件;
信息提取模块202,用于提取所述证书文件中的证书信息,所述证书信息包括Subject、Issuer、StartTime、EndTime、PublicKey及Version信息;
信息解析模块203,用于解析证书信息,获取所述证书信息中的关键字段信息,所述关键字段包括CN、OU、O、L、ST、C字段;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;
匹配模块204,用于将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
所述的系统中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配包括,字符串完全匹配或部分匹配。
所述的系统中,所述字符串部分匹配时,根据相似性算法计算字符串的相似度,如果相似度超过预设值,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
所述的系统中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,还包括,过滤模块,判断所述证书信息中是否包含或不包含指定字符串,如果是,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
所述的系统中,恶意证书信息库为根据已知恶意代码文件的证书信息提取的关键字段信息组成。
本发明提出了一种基于apk证书相似性的恶意代码检测方法及系统,所述方法包括:提取所述待检测应用程序文件中的证书文件;提取所述证书文件中的证书信息;解析证书信息,获取所述证书信息中的关键字段信息;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。通过对证书具体内容相似性的识别匹配,能够解决大批量脚本化生成的恶意应用的识别和检测问题。相对于静态检测,能够极大提高检测效果。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (10)
1.一种基于apk证书相似性的恶意代码检测方法,其特征在于,包括:
接收待检测应用程序文件,提取所述待检测应用程序文件中的证书文件;
提取所述证书文件中的证书信息,所述证书信息包括Subject、Issuer、StartTime、EndTime、PublicKey及Version信息;
解析证书信息,获取所述证书信息中的关键字段信息,关键字段包括CN、OU、O、L、ST、C字段;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;
将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
2.如权利要求1所述的方法,其特征在于,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配包括,字符串完全匹配或部分匹配。
3.如权利要求2所述的方法,其特征在于,所述字符串部分匹配时,根据相似性算法计算字符串的相似度,如果相似度超过预设值,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
4.如权利要求1或3所述的方法,其特征在于,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,还包括,判断所述证书信息中是否包含或不包含指定字符串,如果是,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
5.如权利要求4所述的方法,其特征在于,恶意证书信息库为根据已知恶意代码文件的证书信息提取的关键字段信息组成。
6.一种基于apk证书相似性的恶意代码检测系统,其特征在于,包括:
文件接收模块,用于接收待检测应用程序文件,提取所述待检测应用程序文件中的证书文件;
信息提取模块,用于提取所述证书文件中的证书信息,所述证书信息包括Subject、Issuer、StartTime、EndTime、PublicKey及Version信息;
信息解析模块,用于解析证书信息,获取所述证书信息中的关键字段信息,所述关键字段包括CN、OU、O、L、ST、C字段;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;
匹配模块,用于将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
7.如权利要求6所述的系统,其特征在于,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配包括,字符串完全匹配或部分匹配。
8.如权利要求7所述的系统,其特征在于,所述字符串部分匹配时,根据相似性算法计算字符串的相似度,如果相似度超过预设值,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
9.如权利要求6或8所述的系统,其特征在于,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,还包括,过滤模块,判断所述证书信息中是否包含或不包含指定字符串,如果是,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
10.如权利要求9所述的系统,其特征在于,恶意证书信息库为根据已知恶意代码文件的证书信息提取的关键字段信息组成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510538054.8A CN105975855B (zh) | 2015-08-28 | 2015-08-28 | 一种基于apk证书相似性的恶意代码检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510538054.8A CN105975855B (zh) | 2015-08-28 | 2015-08-28 | 一种基于apk证书相似性的恶意代码检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105975855A CN105975855A (zh) | 2016-09-28 |
| CN105975855B true CN105975855B (zh) | 2019-07-23 |
Family
ID=56988281
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510538054.8A Active CN105975855B (zh) | 2015-08-28 | 2015-08-28 | 一种基于apk证书相似性的恶意代码检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105975855B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110610084B (zh) * | 2018-06-15 | 2022-05-17 | 武汉安天信息技术有限责任公司 | 基于Dex文件的样本恶意性判定方法及相关装置 |
| CN109800575B (zh) * | 2018-12-06 | 2023-06-20 | 成都网安科技发展有限公司 | 一种Android应用程序的安全检测方法 |
| CN109635566A (zh) * | 2018-12-29 | 2019-04-16 | 深圳豪客互联网有限公司 | 一种对未知app的安全性检测方法及装置 |
| CN110708308B (zh) * | 2019-09-29 | 2021-08-17 | 武汉大学 | 一种面向云计算环境的跨站脚本漏洞挖掘方法及系统 |
| CN111143843B (zh) * | 2019-12-12 | 2022-04-12 | 绿盟科技集团股份有限公司 | 恶意应用程序的检测方法及装置 |
| CN112487432A (zh) * | 2020-12-10 | 2021-03-12 | 杭州安恒信息技术股份有限公司 | 一种基于图标匹配的恶意文件检测的方法、系统及设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102779257A (zh) * | 2012-06-28 | 2012-11-14 | 奇智软件(北京)有限公司 | 一种Android应用程序的安全检测方法及系统 |
| CN104200163A (zh) * | 2014-08-27 | 2014-12-10 | 哈尔滨工业大学(威海) | 一种病毒检测方法及病毒检测引擎 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100485703C (zh) * | 2006-10-11 | 2009-05-06 | 飞塔信息科技(北京)有限公司 | 一种计算机恶意代码处理方法和系统 |
| CN103034810B (zh) * | 2011-09-29 | 2016-04-27 | 联想(北京)有限公司 | 一种检测方法、装置及电子设备 |
| KR101402057B1 (ko) * | 2012-09-19 | 2014-06-03 | 주식회사 이스트시큐리티 | 위험도 계산을 통한 리패키지 애플리케이션의 분석시스템 및 분석방법 |
| CN104123493B (zh) * | 2014-07-31 | 2017-09-26 | 百度在线网络技术(北京)有限公司 | 应用程序的安全性检测方法和装置 |
| CN104778409B (zh) * | 2015-04-16 | 2018-01-12 | 电子科技大学 | 一种Android应用软件相似性的检测方法及装置 |
-
2015
- 2015-08-28 CN CN201510538054.8A patent/CN105975855B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102779257A (zh) * | 2012-06-28 | 2012-11-14 | 奇智软件(北京)有限公司 | 一种Android应用程序的安全检测方法及系统 |
| CN104200163A (zh) * | 2014-08-27 | 2014-12-10 | 哈尔滨工业大学(威海) | 一种病毒检测方法及病毒检测引擎 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105975855A (zh) | 2016-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105975855B (zh) | 一种基于apk证书相似性的恶意代码检测方法及系统 | |
| JP5694473B2 (ja) | 危険度計算を通じたリパッケージアプリケーションの分析システム及び分析方法 | |
| US10176323B2 (en) | Method, apparatus and terminal for detecting a malware file | |
| US20170054745A1 (en) | Method and device for processing network threat | |
| CN104123493B (zh) | 应用程序的安全性检测方法和装置 | |
| CN104156638B (zh) | 一种面向安卓系统软件的扩展签名的实现方法 | |
| US10621349B2 (en) | Detection of malware using feature hashing | |
| CN105224600B (zh) | 一种样本相似度的检测方法及装置 | |
| WO2005124627A3 (en) | Automated transaction processing system and approach | |
| US20150178306A1 (en) | Method and apparatus for clustering portable executable files | |
| CN103067364A (zh) | 病毒检测方法及设备 | |
| CN102243699A (zh) | 一种恶意代码检测方法及系统 | |
| US20140150101A1 (en) | Method for recognizing malicious file | |
| CN103503038A (zh) | 一种对atm机上交易者身份进行验证的方法和系统 | |
| CN103473346A (zh) | 一种基于应用程序编程接口的安卓重打包应用检测方法 | |
| CN105718795B (zh) | Linux下基于特征码的恶意代码取证方法及系统 | |
| CN109063482B (zh) | 宏病毒识别方法、装置、存储介质及处理器 | |
| CN107797854A (zh) | 交易文件处理方法、装置、存储介质和计算机设备 | |
| CN106951782A (zh) | 一种面向安卓应用的恶意代码检测方法 | |
| CN105653949A (zh) | 一种恶意程序检测方法及装置 | |
| CN108182363A (zh) | 嵌入式office文档的检测方法、系统及存储介质 | |
| CN109033818B (zh) | 终端、验证方法和计算机可读存储介质 | |
| CN111327570A (zh) | 验证方法、装置和计算机可读存储介质 | |
| CN113568626A (zh) | 动态打包、应用程序包开启方法、装置和电子设备 | |
| CN108334778B (zh) | 病毒检测方法、装置、存储介质及处理器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 430076 No. 8 Huacheng Avenue, Donghu New Technology Development Zone, Wuhan City, Hubei Province Applicant after: Wuhan Antian Information Technology Co., Ltd. Address before: 430000 Hubei Wuhan East Lake New Technology Development Zone Software Park East Road 1 software industry 4.1 phase B4 building 12 stories 01 rooms. Applicant before: Wuhan Antian Information Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |