CN107682314A - 一种apt攻击的检测方法和装置 - Google Patents

Abstract

本发明提供了一种APT攻击的检测方法和装置，该方法包括：判断待保护的目标应用程序的下载来源是否合法；若合法，则获取目标应用程序所调用的多个API；获取多个API的调用顺序；若目标应用程序处于运行状态，则按照多个API的调用顺序，将目标应用程序当前调用的API与多个API进行实时匹配；若存在不匹配的API，则禁止目标应用程序运行。本发明通过在该目标应用程序运行时，按照预先获取的该目标应用程序的多个API的调用顺序，将目标应用程序当前所调用的API实时的与预先获取的多个API进行实时匹配，如果存在当前调用的API与调用顺序中相应的API匹配不一致的情况，则可以说明该目标应用程序被病毒感染，实现了对未知新型病毒的检测，并能够检测到APT攻击。

Description

一种APT攻击的检测方法和装置

技术领域

本发明涉及网络安全技术领域，特别是涉及一种APT攻击的检测方法和装置。

背景技术

目前，随着移动终端(例如手机、平板电脑)的广泛应用，越来越多具有支付功能的软件可以安装在移动终端上。而具有支付功能的软件普遍具有用户的敏感信息(例如银行卡号、支付密码等)，那么为了保证用户对支付软件的使用安全，现有技术中普遍通过在手机上安装杀毒软件来对支付软件作安全防护。

具体的病毒检测流程则是在支付软件运行过程中，将病毒库中的特征码与支付软件中的特征码进行匹配，如果存在一致的特征码，则对支付软件中匹配到的特征码进行删除，以达到杀毒效果。

而对于高级持续性威胁(APT，Advanced Persistent Threat)来说，APT可以利用先进的攻击手段对特定目标进行长期持续性网络攻击，APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。而现有技术中的上述特征码匹配的杀毒方案并无法很好的检测到ATP攻击。

由此可见，现有技术中的现阶段手机杀毒软件只能对应用程序中已知病毒行为进行检测，而对未知病毒尚没有有效的解决方案。

发明内容

本发明提供了一种APT攻击的检测方法和装置，以解决现有技术中无法对应用程序中的未知病毒进行检测的问题。

为了解决上述问题，根据本发明的一个方面，本发明公开了一种APT攻击的检测方法，包括：

判断待保护的目标应用程序的下载来源是否合法；

若合法，则获取所述目标应用程序所调用的多个API；

获取所述多个API的调用顺序；

若所述目标应用程序处于运行状态，则按照所述多个API的调用顺序，将所述目标应用程序当前调用的API与所述多个API进行实时匹配；

若存在不匹配的API，则禁止所述目标应用程序运行。

根据本发明的另一方面，本发明还公开了一种APT攻击的检测装置，包括：

判断模块，用于判断待保护的目标应用程序的下载来源是否合法；

第一获取模块，用于若所述判断模块判断所述目标应用程序的下载来源合法，则获取所述目标应用程序所调用的多个API；

第二获取模块，用于获取所述多个API的调用顺序；

匹配模块，用于若所述目标应用程序处于运行状态，则按照所述多个API的调用顺序，将所述目标应用程序当前调用的API与所述多个API进行实时匹配；

禁止模块，用于若存在不匹配的API，则禁止所述目标应用程序运行。

与现有技术相比，本发明包括以下优点：

本发明通过对下载来源合法的目标应用程序获取其所调用的多个API以及多个API的调用顺序，然后在该目标应用程序运行时，按照上述多个API的调用顺序，将目标应用程序当前所调用的API实时的与预先获取的多个API进行实时匹配，如果存在当前调用的API与调用顺序中相应的API匹配不一致的情况，则可以说明该目标应用程序被病毒感染，从而实现对应用程序中病毒的检测，即便该病毒为未知新型病毒，本发明也可以检测到，并及时的禁止该目标应用程序运行，实现了对应用程序中未知病毒的检测，能够检测到APT攻击。

附图说明

图1是本发明的一种APT攻击的检测方法实施例的步骤流程图；

图2是本发明的另一种APT攻击的检测方法实施例的步骤流程图1；

图3是本发明的另一种APT攻击的检测方法实施例的步骤流程图2；

图4是本发明的一种APT攻击的检测装置实施例的结构框图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

参照图1，示出了本发明的一种APT攻击的检测方法实施例的步骤流程图，具体可以包括如下步骤：

步骤101，判断待保护的目标应用程序的下载来源是否合法；

其中，对于需要防止APT攻击的目标应用程序(App，application)，本发明实施例在对其进行保护时，首先需要判断该目标APP是否从官方商店下载，如果是，则下载来源合法，否则不合法。

若合法，则步骤102，获取所述目标应用程序所调用的多个API；

其中，如果该目标APP的下载来源合法，则需要获取该目标APP所调用的所有API，该API为操作系统的API，而操作系统则是运行该APP的操作系统，例如该目标APP安装在安卓系统的移动终端上，则该操作系统为安装系统，操作系统具有很多API，而目标APP的使用可能会调用很多操作系统的API，这里，本发明实施例需要将该目标APP所调用的所有操作系统API都获取到。

步骤103，获取所述多个API的调用顺序；

那么，在确定了该目标APP所调用的各个操作系统API后，还需要获取各个操作系统API的调用顺序。

其中，由于步骤102中确定该目标APP的下载来源合法，因此，可以确定该目标APP中所调用的各个API以及API的调用顺序均是未被病毒感染的，所以，步骤103可以获取到未被病毒感染状态的目标APP所调用的多个API的调用顺序。这样，本发明实施例在目标APP运行之前首先获取到其合法的多个API的调用顺序，以便于后续对其是否被病毒感染进行判断。

步骤104，若所述目标应用程序处于运行状态，则按照所述多个API的调用顺序，将所述目标应用程序当前调用的API与所述多个API进行实时匹配；

那么当该目标APP处于运行状态时，本发明实施例的方法就可以按照步骤103所获取到的多个API的调用顺序，来将该目标APP在运行过程中所调用的API与步骤102中获取到的多个API进行实时匹配，也就是说，实时匹配的目的在于检测该目标APP在运行过程中在调用API时是否是按照步骤103中的调用顺序进行调用的，如果存在调用顺序不一致的情况，也即在匹配时出现当前调用的API无法与调用顺序中的对应API相匹配的情况，则说明当前调用的API为病毒设定的API，在调用该API时会跳转到病毒设定的链接，改变了目标APP的数据处理流程。

步骤105，若存在不匹配的API，则禁止所述目标应用程序运行。

因此，这里需要对该目标APP禁止运行。

借助于本发明上述实施例的技术方案，本发明通过对下载来源合法的目标应用程序获取其所调用的多个API以及多个API的调用顺序，然后在该目标应用程序运行时，按照上述多个API的调用顺序，将目标应用程序当前所调用的API实时的与预先获取的多个API进行实时匹配，如果存在当前调用的API与调用顺序中相应的API匹配不一致的情况，则可以说明该目标应用程序被病毒感染，从而实现对应用程序中病毒的检测，即便该病毒为未知新型病毒，本发明也可以检测到，并及时的禁止该目标应用程序运行，实现了对应用程序中未知病毒的检测，能够检测到APT攻击。

为了便于理解本发明上述实施例的技术方案，下面结合图2和图3来对本发明实施例的上述检测方法进行详细阐述。

如图2所示：

首先，将需要保护的APP添加到本发明实施例的APT防护列表中；

然后，对于APT防护列表中的APP判断其下载来源合法性；

若不合法，则将该APP从APT防护列表中删除，并将该APP加入黑名单。其中，由于下载来源不合法的APP其本身所引用的各个API就无法保证合法，有可能已经被病毒感染，因此，针对这种下载来源不合法的APP无法实现对其APT防护；

若合法，则对所述APP进行反汇编处理，得到汇编语言代码；

然后，分析并记录该APP所调用的多个操作系统API；

具体而言，可以按照预设的API汇编代码规则，查找所述汇编语言代码中所调用的所有系统API(即操作系统API)，其中，为了便于对同一个APP的实时保护，可以将获取到的多个操作系统API进行记录保存；

接着，通过对所述汇编语言代码进行分析，来确定所述多个操作系统API的调用顺序；

在一个具体实例中，在确定多个操作系统API的调用顺序后，可以将上述获取到的多个操作系统API按照该调用顺序进行序列化表示。

综上，图2详细阐述了本发明实施例的预先获取待保护的APP其所调用的所有操作系统API以及这些API调用顺序的流程。

在结束了图2的流程后，继续参照图3：

若检测到对APT防护列表中的APP的预设启动操作，则将所述目标应用程序的运行代码置于沙盒中，控制所述目标应用程序在所述沙盒中运行；

也就是说，当APT防护列表中的某个APP启动时，本发明实施例的方法可以将该APP至于APT检测沙盒中，使得该APP在APT检测沙盒中运行；

然后，如果该APP处于运行状态(那么其运行过程中需要调用各个操作系统API)，因此，本发明实施例的方法需要按照上述获取的所述多个API的调用顺序，将所述目标应用程序当前调用的API与所述获取(记录)的多个API进行实时匹配；

若存在不匹配的API，则禁止该APP运行(即禁止其执行当前的操作)；

若当前调用的API按照记录的多个API的调用顺序执行的，则使该APP当前执行的操作正常执行，然后继续循环检测。

其中，APP在运行过程中不同操作均可能会调用API，当当前的某个操作所调用的API符合记录的调用顺序时，并不能保证其他操作中所调用的API也符合预先记录的调用顺序，也就是说，APT攻击可能未发生在当前执行的操作中，而是在其他业务操作中，因此，只要该APP还在运行，本发明实施例就需要对其运行过程中所调用的API进行实时匹配，因为，在其运行过程中也可能会发送APT攻击，从而篡改其所调用的某个API，这样通过实时匹配，本发明实施例就能够实现对APP的全程监控，及时的检测到APT攻击，如果检测到APT攻击，即上述存在不匹配的API，就禁止该APP执行当前的操作。

可选地，在一个实施例中，在执行上述步骤103时，还可以通过以下方式来实现：按照所述目标应用程序的业务逻辑，确定所述多个API的调用顺序。

其中，由于一个APP的功能很多，每个功能又有很多的业务处理分支，而每个业务处理分支都可能存在API的调用，因此，为了完整清晰的确定出该APP所调用的所有API的调用顺序，可以按照该APP的业务逻辑来确定各个API的调用顺序，例如将所有API的调用顺序以业务逻辑的树形结构来描述。

相应的，在一个实施例中，在执行步骤104中的所述按照所述多个API的调用顺序，将所述目标应用程序当前调用的API与所述多个API进行实时匹配的步骤时，则可以通过以下方式来实现：

确定所述目标应用程序当前处理的目标业务逻辑；

按照所述目标业务逻辑对应的多个目标API的调用顺序，将所述目标应用程序当前调用的API与所述目标业务逻辑对应的多个目标API进行实时匹配。

其中，可以首先确定该APP当前处理的目标业务逻辑(例如其当前所要执行的操作)，然后，可以在上述树形结构中找到该目标业务逻辑对应的分支，然后在该树形结构中获取该分支中各个目标API的调用顺序，再按照该调用顺序，来将该APP当前调用的API与该分支中各个目标API进行实时匹配，判断该APP对API的调用顺序是否是按照该分支中的描述的API的调用顺序的。

这样，本发明实施例通过按照目标应用程序的业务逻辑来确定目标应用程序所调用的API的调用顺序，从而在对目标应用程序在运行过程中当前所调用的API与多个目标API匹配时，能够直接按照与该目标应用程序执行的业务逻辑对应的多个目标API的调用顺序来匹配，从而降低在预先获取的多个API中查找当前调用的API的检索时间，提升API的匹配速度，进而减少APP的操作延迟，不影响用户体验。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。

与上述本发明实施例所提供的方法相对应，参照图4，示出了本发明一种APT攻击的检测装置实施例的结构框图，具体可以包括如下模块：

判断模块41，用于判断待保护的目标应用程序的下载来源是否合法；

第一获取模块42，用于若所述判断模块41判断所述目标应用程序的下载来源合法，则获取所述目标应用程序所调用的多个API；

第二获取模块43，用于获取所述多个API的调用顺序；

匹配模块44，用于若所述目标应用程序处于运行状态，则按照所述多个API的调用顺序，将所述目标应用程序当前调用的API与所述多个API进行实时匹配；

禁止模块45，用于若存在不匹配的API，则禁止所述目标应用程序运行。

可选地，所述装置还包括：

反汇编模块，用于对所述目标应用程序的源代码进行反汇编处理，得到汇编语言代码；

所述第一获取模块42包括：

查找子模块，用于按照预设的API汇编代码规则，查找所述汇编语言代码中所调用的多个API；

所述第二获取模块43包括：

第一确定子模块，用于通过对所述汇编语言代码进行分析，确定所述多个API的调用顺序。

可选地，所述第二获取模块43还包括：

第二确定子模块，用于按照所述目标应用程序的业务逻辑，确定所述多个API的调用顺序。

可选地，所述匹配模块44包括：

第三确定子模块，用于确定所述目标应用程序当前处理的目标业务逻辑；

匹配子模块，用于按照所述目标业务逻辑对应的多个目标API的调用顺序，将所述目标应用程序当前调用的API与所述目标业务逻辑对应的多个目标API进行实时匹配。

可选地，所述装置还包括：

控制模块，用于若检测到对所述目标应用程序的预设启动操作，则将所述目标应用程序的运行代码置于沙盒中，控制所述目标应用程序在所述沙盒中运行。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本发明所提供的一种APT攻击的检测方法和一种APT攻击的检测装置，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种APT攻击的检测方法，其特征在于，包括：

判断待保护的目标应用程序的下载来源是否合法；

若合法，则获取所述目标应用程序所调用的多个API；

获取所述多个API的调用顺序；

若所述目标应用程序处于运行状态，则按照所述多个API的调用顺序，将所述目标应用程序当前调用的API与所述多个API进行实时匹配；

若存在不匹配的API，则禁止所述目标应用程序运行。

2.根据权利要求1所述的方法，其特征在于，所述获取所述目标应用程序所调用的多个API之前，所述方法还包括：

对所述目标应用程序的源代码进行反汇编处理，得到汇编语言代码；

所述获取所述目标应用程序所调用的多个API，包括：

按照预设的API汇编代码规则，查找所述汇编语言代码中所调用的多个API；

所述获取所述多个API的调用顺序，包括：

通过对所述汇编语言代码进行分析，确定所述多个API的调用顺序。

3.根据权利要求1所述的方法，其特征在于，所述获取所述多个API的调用顺序，还包括：

按照所述目标应用程序的业务逻辑，确定所述多个API的调用顺序。

4.根据权利要求3所述的方法，其特征在于，所述按照所述多个API的调用顺序，将所述目标应用程序当前调用的API与所述多个API进行实时匹配，包括：

确定所述目标应用程序当前处理的目标业务逻辑；

按照所述目标业务逻辑对应的多个目标API的调用顺序，将所述目标应用程序当前调用的API与所述目标业务逻辑对应的多个目标API进行实时匹配。

5.根据权利要求1所述的方法，其特征在于，所述若所述目标应用程序处于运行状态，则按照所述多个API的调用顺序，将所述目标应用程序当前调用的API与所述多个API进行实时匹配之前，所述方法还包括：

若检测到对所述目标应用程序的预设启动操作，则将所述目标应用程序的运行代码置于沙盒中，控制所述目标应用程序在所述沙盒中运行。

6.一种APT攻击的检测装置，其特征在于，包括：

判断模块，用于判断待保护的目标应用程序的下载来源是否合法；

第一获取模块，用于若所述判断模块判断所述目标应用程序的下载来源合法，则获取所述目标应用程序所调用的多个API；

第二获取模块，用于获取所述多个API的调用顺序；

匹配模块，用于若所述目标应用程序处于运行状态，则按照所述多个API的调用顺序，将所述目标应用程序当前调用的API与所述多个API进行实时匹配；

禁止模块，用于若存在不匹配的API，则禁止所述目标应用程序运行。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：

反汇编模块，用于对所述目标应用程序的源代码进行反汇编处理，得到汇编语言代码；

所述第一获取模块包括：

查找子模块，用于按照预设的API汇编代码规则，查找所述汇编语言代码中所调用的多个API；

所述第二获取模块包括：

第一确定子模块，用于通过对所述汇编语言代码进行分析，确定所述多个API的调用顺序。

8.根据权利要求6所述的装置，其特征在于，所述第二获取模块还包括：

第二确定子模块，用于按照所述目标应用程序的业务逻辑，确定所述多个API的调用顺序。

9.根据权利要求8所述的装置，其特征在于，所述匹配模块包括：

第三确定子模块，用于确定所述目标应用程序当前处理的目标业务逻辑；

匹配子模块，用于按照所述目标业务逻辑对应的多个目标API的调用顺序，将所述目标应用程序当前调用的API与所述目标业务逻辑对应的多个目标API进行实时匹配。

10.根据权利要求6所述的装置，其特征在于，所述装置还包括：

控制模块，用于若检测到对所述目标应用程序的预设启动操作，则将所述目标应用程序的运行代码置于沙盒中，控制所述目标应用程序在所述沙盒中运行。