CN108073803A - 用于检测恶意应用的方法及装置 - Google Patents
用于检测恶意应用的方法及装置 Download PDFInfo
- Publication number
- CN108073803A CN108073803A CN201611035384.6A CN201611035384A CN108073803A CN 108073803 A CN108073803 A CN 108073803A CN 201611035384 A CN201611035384 A CN 201611035384A CN 108073803 A CN108073803 A CN 108073803A
- Authority
- CN
- China
- Prior art keywords
- application
- malicious
- file
- malicious application
- analyzed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开一种用于检测恶意应用的方法及装置。该方法包括:获取待分析的应用文件;在至少一个虚拟系统上安装并运行所述应用文件,所述至少一个虚拟系统部署在云端;获取所述应用文件的运行数据。本公开提出的用于检测恶意应用的方法,能够快速检测应用是否为恶意应用,并灵活使用系统资源。
Description
技术领域
本发明涉及计算机安全领域,具体而言,涉及一种用于检测恶意应用的方法及装置。
背景技术
近几年来,Android平台已经成为了一个非常流行的智能终端操作平台,并且占据了世界上超过一半的智能终端系统的市场份额。随着Android平台的发展,基于Android的恶意应用也发展迅猛。尽管Android系统相比苹果iOS系统和诺基亚的symbian系统更年轻,但是由于Android设备的广泛使用,以及其框架的开源,吸引了众多的数字犯罪团伙将Android设备做为主要的攻击对象。由于网络连接的多样性,Android设备很容易受到基于恶意应用的僵尸网络的攻击。
传统的检验Android系统上应用是否为恶意应用的方法可分为两种:一种是基于应用签名的恶意应用检测方法,另一种是基于应用行为的恶意应用检测方法。基于应用应用签名的恶意应用检测方法,一般可通过判断Android系统中各个应用之间签名是否一致,来寻找并判断恶意应用。基于应用行为的恶意应用检测方法,一般情况下,可通过获取在应用程序运行时,网络数据中tcp窗口大小、持续时间来寻找并判断恶意应用。但是现有的恶意软件检测灵敏度都不高,而且检测速度较慢。
因此,需要一种新的用于检测恶意应用的方法及装置。
在所述背景技术部分公开的上述信息仅用于加强对本发明的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本发明提供一种用于检测恶意应用的方法及装置,能够快速检测应用是否为恶意应用,并灵活使用系统资源。
本发明的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本发明的实践而习得。
根据本发明的一方面,提出一种用于检测恶意应用的方法,该方法包括:获取待分析的应用文件;在至少一个虚拟系统上安装并运行应用文件,至少一个虚拟系统部署在云端;以及获取应用文件的运行数据。
在本公开的一种示例性实施例中,该方法还包括:通过多级分类算法对运行数据进行分析,得到恶意应用怀疑程度曲线。
在本公开的一种示例性实施例中,获取待分析的应用文件,包括:获取待分析的应用的apk文件。
在本公开的一种示例性实施例中,在至少一个虚拟系统上安装并运行应用文件,至少一个虚拟系统部署在云端,包括:判断应用文件是否已经经过恶意应用检测。
在本公开的一种示例性实施例中,获取应用文件的运行数据,包括:通过特征提取工具获取应用文件的运行数据。
在本公开的一种示例性实施例中,特征提取工具包括:Monky、Strace、Netflow、Logcat、sysdump以及wireshark中的至少一种。
在本公开的一种示例性实施例中,通过多级分类算法对数据进行分析,得到恶意应用怀疑程度曲线,包括:运行数据与训练集数据进行欧式距离相似性测量,得到相似性值;由相似性值与第一预定权重系数,得到恶意应用值;以及由相似性值与第二预定权重系数,得到僵尸网络值。
在本公开的一种示例性实施例中,通过多级分类算法对数据进行分析,得到恶意应用怀疑程度曲线,包括:由恶意应用值、僵尸网络值以及第三预定权重系数,得到恶意应用怀疑程度曲线。
在本公开的一种示例性实施例中,还包括:通过梯度算法与恶意应用怀疑程度曲线,确定应用所属的恶意应用类型。
根据本发明的一方面,提出一种用于检测恶意应用的方法,包括:获取待分析的应用文件;发送应用文件给服务器,以使得部署在云端的至少一个虚拟系统接收到应用文件;以及获取服务器对应用的分析结果,并展示分析结果。
在本公开的一种示例性实施例中,应用的文件包括:应用的apk文件。
根据本发明的一方面,提出一种用于检测恶意应用的装置,包括:获取应用模块,用于获取待分析的应用文件;虚拟机模块,用于在至少一个虚拟系统上安装并运行应用文件,虚拟系统部署在云端;获取数据模块,用于获取应用文件的运行数据。
在本公开的一种示例性实施例中,还包括:分析模块,用于通过多级分类算法对运行数据进行分析,得到恶意应用怀疑程度曲线;以及类型模块,用于通过梯度算法与恶意应用怀疑程度曲线,确定应用所属的恶意应用类型。
根据本发明的一方面,提出一种用于检测恶意应用的装置,包括:获取模块,用于获取待分析的应用文件;发送模块,用于发送应用文件给服务器,以使得部署在云端的至少一个虚拟系统接收到所述应用文件;以及结果显示模块,用于获取服务器对应用的分析结果,并展示分析结果。
根据本发明的用于检测恶意应用的方法及装置,能够快速检测应用是否为恶意应用,并灵活使用系统资源。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本发明。
附图说明
通过参照附图详细描述其应用实施例,本发明的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性来动的前提下,还可以根据这些附图获得其他的附图。
图1是根据一示例性实施例示出的一种用于检测恶意应用的方法的流程图。
图2是根据另一示例性实施例示出的一种用于检测恶意应用的方法的流程图。
图3是根据另一示例性实施例示出的一种用于检测恶意应用的方法的流程图。
图4是根据一示例性实施例示出的一种用于检测恶意应用的装置的框图。
图5是根据另一示例性实施例示出的一种用于检测恶意应用的装置的框图。
图6是根据另一示例性实施例示出的一种用于检测恶意应用的装置的框图。
具体实施例
现在将参考附图更全面地描述应用实施例。然而,应用实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本发明将全面和完整,并将应用实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本发明的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本发明的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本发明的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用应用形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应理解,虽然本文中可能使用术语第一、第二、第三等来描述各种组件,但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此,下文论述的第一组件可称为第二组件而不偏离本公开概念的教示。如本文中所使用,术语「及/或」包括相关联的列出项目中的任一个及一或多者的所有组合。
本领域技术人员可以理解,附图只是应用实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的,因此不能用于限制本发明的保护范围。
图1是根据一示例性实施例示出的一种用于检测恶意应用的方法的流程图。
如图1所示,在S102中,获取待分析的应用文件。可例如,由客户端将待分析的应用文件上传至服务器。应用文件可例如为apk文件。应用分析的入口可例如,由Java实现。Java实现的应用文件传递系统可例如,包含两个部分:服务器端和客户端。还可例如,服务端的应用部署在Ubuntu12.04的机器上,由于它可以直接访问虚拟机环境。可例如,作为应用分析的主入口,客户端的应用会分发给用户从而获取他们的应用并分析该应用。可例如,用户利用Java客户端上传apk文件,在客户端上传了apk文件之后,服务器可例如,创建一个新的线程,进行后续处理。
在S104中,在至少一个虚拟系统上安装并运行所述应用文件,所述至少一个虚拟系统部署在云端。可例如,在服务器上构建虚拟系统,在本发明的实施例中,虚拟系统可例如为Android系统。在构建的虚拟系统上,运行应用。还可例如,虚拟系统中包含虚拟路由器,虚拟路由器提供了虚拟网络和虚拟路由功能。通过虚拟系统以及虚拟路由器可以模 拟应用在实际系统中的工作环境。而且由于虚拟系统的引入,可以同时构建多个虚拟系统,在多个虚拟系统中运行不同的应用。
当用虚拟系统中的Android模拟器实例化多个应用应用时会遇到很多问题。主要体现在模拟器中网络流量的控制和配置受到限制。而以云为基础的方法需要灵活的和不受限制的网络和控制能力。本发明的实施例中,在Android虚拟机集群中实例化一个Android系统。通过使用虚拟机,该系统可以很容易的部署到云端。Android操作系统的多个应用可以在运行时从一个单一的基本映像启动。此外,通过恶意应用所做任何修改都会存放在虚拟机集群中的沙箱之内,同时对于恢复和删除任何虚拟机的应用也容易实现。该虚拟系统的实现中,可例如,利用Perl脚本控制虚拟机。当一个Android应用的副本使用了最基本的镜像时,系统会为他分配一个独一无二的ID和一个MAC地址。最基本的Android包含了一些所需要的基本配置以及可以通过adb远程安装应用的安全措施。Android系统可以以两种方式启动:一种是没有用户界面的精简模式,一种是拥有用户界面的常规模式。
在本发明的实施例中,虚拟系统中还可例如,包含Vyatta虚拟路由,Vyatta虚拟路由器提供虚拟网络和路由功能。在网络层面控制Android操作系统的多个应用是一个艰巨的任务。因为在虚拟机上将特定的IP地址与Android系统的ID相关联是一件非常困难的事情。该虚拟系统中还可例如完成如下操作,从一个特定的虚拟机上捕获流量,并且通过分析将该流量与某一应用关联;创建多个子网,并且允许它们之间的网络流量,同时运行的DHCP服务将一个具体的应用绑定到一个特定的IP地址上。本发明不限于此。
在S106中,获取应用文件的运行数据。获取安装在虚拟系统中的应用的运行数据,可例如,利用常用的恶意应用检测工具对在虚拟系统中运行的应用进行特征数据提取。常用的恶意应用检测工具可例如,Strace、Netflow、Logcat、sysdump以及wireshark,本发明不限于此。可例如,用Perl脚本应用的安装,日志搜集以及网络流量的捕获。
根据本发明的用于检测恶意应用的方法,通过将虚拟系统部署在云 端,能够灵活调用系统资源、并且提供了更容易实现的虚拟应用操作途径。
应清楚地理解,本发明描述了如何形成和使用特定应用,但本发明的原理不限于这些应用的任何细节。相反,基于本发明公开的内容的教导,这些原理能够应用于许多其它实施例。
在本公开的一种示例性实施例中,通过多级分类算法对运行数据进行分析,得到恶意应用怀疑程度曲线。采用的多级分类算法分析应用的运行数据,多级分类算法中每一级的输入依赖上一级的数据处理结果。可例如,第一层算法利用特征提取工具,诸如strace、wireshark等对应用运行中的数据进行特征提取,得到恶意应用相关数据,对相关数据进行分析整理。第二层算法利用得到的相关数据绘制曲线,生成恶意应用怀疑程度曲线。通过曲线的范围分析应用是否为恶意应用,可例如,在恶意应用怀疑程度曲线中高密度的数据曲线区域其可信度也越高。
根据本发明的用于检测恶意应用的方法,通过分类算法对数进行分析,可以自动的识别恶意应用软件。
在本公开的一种示例性实施例中,获取待分析的应用文件,包括:获取待分析的应用的apk文件。
在本公开的一种示例性实施例中,在至少一个虚拟机上安装并运行应用文件,包括:判断应用文件是否已经经过恶意应用检测。在虚拟系统进行恶意应用应用分析之前,判断获取的应用是否已经经过恶意应用的检测,可例如,服务器接收到了apk文件,服务器端会生成一个hash值来确定之前是否验证过该应用。如果验证过此应用经过恶意应用检测的话,服务器端可例如,直接返回之前的验证结果该验证过程。如果之前没有验证过该应用,服务器继续后续的处理。
在本公开的一种示例性实施例中,获取应用文件的运行数据,包括:通过特征提取工具获取应用文件的运行数据。
在本公开的一种示例性实施例中,特征提取工具包括:Strace、Netflow、Logcat、sysdump以及wireshark中的至少一种。
在本发明实施例中,可例如,采用自动化输入的方式辅助进行特征 提取,可例如,利用Android自动化测试工具Monkey来生成伪随机的用户事件流,如点击、触摸、手势以及一些系统级的事件。
可例如,用strace对应用运行中获取的数据进行分析。可例如,将该工具添加在Android虚拟机镜像的/system/bin目录下。应用程序安装之后,bash脚本文件会提取该应用运行时的进程ID,然后把这个id当做参数传递给strace。Strace会在一个特定的时间范围之内执行,执行完成之后,系统会对它的输出结果进行解析并存储到数据库中。经过一系列的系统调用,常见的恶意应用和僵尸网络就会在训练阶段被记录在数据库中。
可例如,用NetFlow对应用运行中的网络流量进行监控。可例如,当服务器部署在Ubuntu的机器上时,NetFlow将网络流量的统计信息通过接口传送给Ubuntu服务器,同样NetFlow的输出也会被解析存储到数据库中。
可例如,用Logcat搜集应用的功能性调用的数据。可例如,通过解析和白名单避免长日志。在远程通过adb来搜集logcat的日志。
可例如,用sysdump获取Android性能分析数据。Android系统配置与电量使用相关的数据会从sysdump的日志中获取。这些数据会进一步的用来分析一些在后台运行的应用或者是应用所使用的资源。
可例如,用wireshark/(tcpdump)进行应用的网络封包分析。wireshark/(tcpdump)的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。可例如,每个Android虚拟机应用的网络流量会被转发到服务器的虚拟接口中,并存储到.pcap文件中。
图2是根据另一示例性实施例示出的一种用于检测恶意应用的方法的流程图。
如图2所示,在S202中,运行数据与训练集数据进行欧式距离相似性测量,得到相似性值。
利用特征提取工具,诸如strace、wireshark等对应用运行中的应用进行特征提取。使用标记的应用作为训练集数据,通过该数据提取出恶 意应用的共性特征。在分析的过程中,对受测应用提取的这些特征与训练集中得到的这些特征进行欧氏距离的相似性测量。每个特征的相似性值就作为该特征的特征值。还可例如,基于恶意应用的特征集计算出来的相似性为恶意应用相似性值;基于僵尸网络的特征集计算出来的相似性为僵尸网络相似性值。
在S204中,由相似性值与第一预定权重系数,得到恶意应用值。可例如,将相似性值中基于恶意应用特征集计算出来的相似性值乘以第一预定权重系数,从而得到一个在0~10之间的数值,此数值作为“恶意应用值”。第一预定权重系数可例如由大量分析数据统计得到,还可例如,通过经验给出。本发明不限于此。
在S206中,由相似性值与第二预定权重系数,得到僵尸网络值。可例如,将相似性值中基于僵尸网络特征集计算出来的相似性值乘以第二预定权重系数,从而得到一个在0~10之间的数值,此数值作为“僵尸网络值”。第二预定权重系数可例如由大量分析数据统计得到,还可例如,通过经验给出。本发明不限于此。
在S208中,由恶意应用值、僵尸网络值以及第三预定权重系数,得到恶意应用怀疑程度曲线。
利用得到的“恶意应用值”和“僵尸网络值”来绘制曲线。这两个值代表了对受测应用的怀疑程度。在绘制曲线时,会给这两个值会分配不同的权重(可例如为第三预定权重)。利用训练集的数据绘制的曲线已经产生了高密度与低密度的数据区域。曲线上的每个点都会被分配一个权重,从而得到一个平滑的曲线。这个权重生成图表的第三个维度,并称为该区域的可信度。在图标上高密度的数据区域其可信度也越高。该算法可能会产生假阴性和假阳性的预测。但是随着训练集的不断扩大,这种可能性会不断的减少。
根据本发明的用于检测恶意应用的方法,通过获取基于僵尸网络的特征集与恶意应用的特征集,能够得到一个用于人工分析恶意应用的特征集库。
在本公开的一种示例性实施例中,还包括:通过梯度算法与恶意应 用怀疑程度曲线,确定应用所属的恶意应用类型。利用上文所述的恶意应用怀疑程度曲线,可例如,进一步确定待检测应用的僵尸网络系列。如果待检测应用的曲线在某一个区域具有较高的可信度,那么就可以利用梯度下降算法来确定该应用属于哪一个僵尸网络系列。从而给出对恶意应用的僵尸网络系类的初次预测。
图3是根据另一示例性实施例示出的一种用于检测恶意应用的方法的流程图。
如图3所述,在S302中,获取待分析的应用文件。客户端获取待分析的应用文件,应用文件包括,应用的apk文件。
在S304中,发送应用文件给服务器,以使得部署在云端的至少一个虚拟系统接收到应用文件。
在S306中,以及获取服务器对应用的分析结果,并展示分析结果。客户端由服务器获取应用的分析结果,此分析结果可例如为一曲线,客户端显示此曲线。
本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时,执行本发明提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器,磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
下述为本发明装置实施例,可以用于执行本发明方法实施例。对于本发明装置实施例中未披露的细节,请参照本发明方法实施例。
图4是根据一示例性实施例示出的一种用于检测恶意应用的装置的框图。如图4所示,用于检测恶意应用的装置40包括:获取应用模块402、虚拟机模块404、获取数据模块406、分析模块408、类型模块410。
获取应用模块402用于获取待分析的应用文件。
虚拟机模块404用于在至少一个虚拟系统上安装并运行所述应用文件,所述至少一个虚拟系统部署在云端。
获取数据模块406用于获取应用文件的运行数据。
分析模块408用于通过多级分类算法对运行数据进行分析,得到恶意应用怀疑程度曲线。
类型模块410用于通过梯度算法与恶意应用怀疑程度曲线,确定应用所属的恶意应用类型。
图5是根据另一示例性实施例示出的一种用于检测恶意应用的装置的框图。如图5所示的用于检测恶意应用的装置50包括:获取模块502、发送模块504、结果显示模块506。
获取模块502用于获取待分析的应用文件。
发送模块504用于发送应用文件给服务器,以使得部署在云端的至少一个虚拟系统接收到所述应用文件。
结果显示模块506用于获取服务器对应用的分析结果,并展示分析结果。
图6是根据另一示例性实施例示出的一种用于检测恶意应用的装置的框图。
如图6所示,在S1中,客户端602利用Java端口将Android系统中使用的应用文件上传到Java服务器604中。
在S2与S5中,Java服务器604与perl控制脚本606,交互传送控制操作指令。
在S3与S4中,perl控制脚本模块606与Android虚拟机608通过交互信息进行相关操作。模块化的编程技术使得更改该恶意应用检测系统的前台以及后台更加灵活。Perl控制脚本的每个模块分别控制实现不同的功能实现。这种策略使得修改某一特定的Perl模块而不需要打断正在进行的分析变得更容易。
在S6中,Android虚拟机608将相关数据传送给特征提取模块610。
在S7与S8中,特征提取模块610与Java服务器604交互应用运行得到的相关数据。
在S9与S10中,Java服务器604与聚类模块612交互相关的数据,从而进行恶意应用相关的分析。
在S11中,客户端602获取来自Java服务器模块604的恶意应用曲线数据,还可例如,客户端602展示恶意应用怀疑程度曲线。
本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中,也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的应用实施例可以通过应用软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本发明实施例的方法。
通过以上的详细描述,本领域的技术人员易于理解,根据本发明实施例的用于检测恶意应用的方法及装置具有以下优点中的一个或多个。
根据一些实施例,本发明的用于检测恶意应用的方法,通过将虚拟系统部署在云端,能够灵活调用系统资源、并且提供了更容易实现的虚拟应用操作途径。
根据另一些实施例,本发明的用于检测恶意应用的方法,通过分类算法对数进行分析,可以自动的识别恶意应用软件。
根据另一些实施例,本发明的用于检测恶意应用的方法,通过获取基于僵尸网络的特征集与恶意应用的特征集,能够得到一个用于人工分析恶意应用的库。
以上具体地示出和描述了本发明的示例性实施例。应可理解的是,本发明不限于这里描述的详细结构、设置方式或实现方法;相反,本发明意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。
此外,本说明书说明书附图所示出的结构、比例、大小等,均仅用以配合说明书所公开的内容,以供本领域技术人员了解与阅读,并非用以限定本公开可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本公开所能产生的技术效果及所能实现的目的下,均应仍落在本公开所公开的技术内容得能涵盖的范围内。同时,本说明书中所引用的如「上」、「第一」、「第二」及「一」等的用语,也仅为便于叙述的明了,而非用以限定本公开可实施的范围,其相对关系的改变或调整,在无实质变更技术内容下,当也视为本发明可实施的范畴。
Claims (14)
1.一种用于检测恶意应用的方法,其特征在于,包括:
获取待分析的应用文件;
在至少一个虚拟系统上安装并运行所述应用文件,所述至少一个虚拟系统部署在云端;以及
获取所述应用文件的运行数据。
2.如权利要求1所述的方法,其特征在于,还包括:
通过多级分类算法对所述运行数据进行分析,得到恶意应用怀疑程度曲线。
3.如权利要求1所述的方法,其特征在于,获取待分析的应用文件,包括:
获取待分析的所述应用的apk文件。
4.如权利要求1所述的方法,其特征在于,在至少一个虚拟系统上安装并运行所述应用文件,包括:
判断所述应用文件是否已经经过恶意应用检测。
5.如权利要求1所述的方法,其特征在于,获取所述应用文件的运行数据,包括:
通过特征提取工具获取所述应用文件的运行数据。
6.如权利要求5所述的方法,其特征在于,所述特征提取工具包括:Monky、Strace、Netflow、Logcat、sysdump以及wireshark中的至少一种。
7.如权利要求2所述的方法,其特征在于,通过多级分类算法对所述数据进行分析,得到恶意应用怀疑程度曲线,包括:
所述运行数据与训练集数据进行欧式距离相似性测量,得到相似性值;
由所述相似性值与第一预定权重系数,得到恶意应用值;以及
由所述相似性值与第二预定权重系数,得到僵尸网络值。
8.如权利要求7所述的方法,其特征在于,通过多级分类算法对所述数据进行分析,得到恶意应用怀疑程度曲线,包括:
由所述恶意应用值、所述僵尸网络值以及第三预定权重系数,得到恶意应用怀疑程度曲线。
9.如权利要求2所述的方法,其特征在于,还包括:
通过梯度算法与所述恶意应用怀疑程度曲线,确定所述应用所属的恶意应用类型。
10.一种用于检测恶意应用的方法,其特征在于,包括:
获取待分析的应用文件;
发送所述应用文件给服务器,以使得部署在云端的至少一个虚拟系统接收到所述应用文件;以及
获取所述服务器对所述应用的分析结果,并展示所述分析结果。
11.如权利要求10所述的方法,其特征在于,所述应用的文件包括:所述应用的apk文件。
12.一种用于检测恶意应用的装置,其特征在于,包括:
获取应用模块,用于获取待分析的应用文件;
虚拟机模块,用于在至少一个虚拟系统上安装并运行所述应用文件,所述虚拟系统部署在云端;以及
获取数据模块,用于获取所述应用文件的运行数据。
13.如权利要求12所述的装置,其特征在于,还包括:
分析模块,用于通过多级分类算法对所述运行数据进行分析,得到恶意应用怀疑程度曲线;以及
类型模块,用于通过梯度算法与所述恶意应用怀疑程度曲线,确定所述应用所属的恶意应用类型。
14.一种用于检测恶意应用的装置,其特征在于,包括:
获取模块,用于获取待分析的应用文件;
发送模块,用于发送所述应用文件给服务器,以使得部署在云端的至少一个虚拟系统接收到所述应用文件;以及
结果显示模块,用于获取所述服务器对所述应用的分析结果,并展示所述分析结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611035384.6A CN108073803A (zh) | 2016-11-18 | 2016-11-18 | 用于检测恶意应用的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611035384.6A CN108073803A (zh) | 2016-11-18 | 2016-11-18 | 用于检测恶意应用的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108073803A true CN108073803A (zh) | 2018-05-25 |
Family
ID=62161644
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611035384.6A Pending CN108073803A (zh) | 2016-11-18 | 2016-11-18 | 用于检测恶意应用的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108073803A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106778229A (zh) * | 2016-11-29 | 2017-05-31 | 北京瑞星信息技术股份有限公司 | 一种基于vpn的恶意应用下载拦截方法及系统 |
CN110336714A (zh) * | 2019-07-05 | 2019-10-15 | 中邮建技术有限公司 | 一种手机app访问网络信令机制的测试方法 |
CN110737894A (zh) * | 2018-12-04 | 2020-01-31 | 哈尔滨安天科技集团股份有限公司 | 复合文档安全检测方法、装置、电子设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102104506A (zh) * | 2009-12-17 | 2011-06-22 | 中国人民解放军国防科学技术大学 | 僵尸网络相似性度量的训练和测试方法及相应系统 |
CN103685251A (zh) * | 2013-12-04 | 2014-03-26 | 电子科技大学 | 一种面向移动互联网的Android恶意软件检测平台 |
CN104331662A (zh) * | 2013-07-22 | 2015-02-04 | 深圳市腾讯计算机系统有限公司 | Android恶意应用检测方法及装置 |
CN104866763A (zh) * | 2015-05-28 | 2015-08-26 | 天津大学 | 基于权限的Android恶意软件混合检测方法 |
-
2016
- 2016-11-18 CN CN201611035384.6A patent/CN108073803A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102104506A (zh) * | 2009-12-17 | 2011-06-22 | 中国人民解放军国防科学技术大学 | 僵尸网络相似性度量的训练和测试方法及相应系统 |
CN104331662A (zh) * | 2013-07-22 | 2015-02-04 | 深圳市腾讯计算机系统有限公司 | Android恶意应用检测方法及装置 |
CN103685251A (zh) * | 2013-12-04 | 2014-03-26 | 电子科技大学 | 一种面向移动互联网的Android恶意软件检测平台 |
CN104866763A (zh) * | 2015-05-28 | 2015-08-26 | 天津大学 | 基于权限的Android恶意软件混合检测方法 |
Non-Patent Citations (1)
Title |
---|
付伟智: "P2P僵尸网络检测技术研究", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106778229A (zh) * | 2016-11-29 | 2017-05-31 | 北京瑞星信息技术股份有限公司 | 一种基于vpn的恶意应用下载拦截方法及系统 |
CN106778229B (zh) * | 2016-11-29 | 2020-02-14 | 北京瑞星网安技术股份有限公司 | 一种基于vpn的恶意应用下载拦截方法及系统 |
CN110737894A (zh) * | 2018-12-04 | 2020-01-31 | 哈尔滨安天科技集团股份有限公司 | 复合文档安全检测方法、装置、电子设备及存储介质 |
CN110737894B (zh) * | 2018-12-04 | 2022-12-27 | 安天科技集团股份有限公司 | 复合文档安全检测方法、装置、电子设备及存储介质 |
CN110336714A (zh) * | 2019-07-05 | 2019-10-15 | 中邮建技术有限公司 | 一种手机app访问网络信令机制的测试方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Zhu et al. | Network anomaly detection and identification based on deep learning methods | |
CN110502897A (zh) | 一种基于混合分析的网页恶意JavaScript代码识别和反混淆方法 | |
CN107085549B (zh) | 故障信息生成的方法和装置 | |
CN107360145A (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
CN109104421B (zh) | 一种网站内容篡改检测方法、装置、设备及可读存储介质 | |
CN111245784A (zh) | 多维度检测恶意域名的方法 | |
CN110262949A (zh) | 智能设备日志处理系统及方法 | |
CN113407886A (zh) | 网络犯罪平台识别方法、系统、设备和计算机存储介质 | |
CN108073803A (zh) | 用于检测恶意应用的方法及装置 | |
US10990669B2 (en) | Vehicle intrusion detection system training data generation | |
CN106778264A (zh) | 一种移动客户端的应用程序分析方法及分析系统 | |
CN111988896B (zh) | 基于边缘计算网关的物联网设备管理方法及大数据云平台 | |
CN111049828B (zh) | 网络攻击检测及响应方法及系统 | |
CN114422271B (zh) | 数据处理方法、装置、设备及可读存储介质 | |
CN111355628A (zh) | 一种模型训练方法、业务识别方法、装置和电子装置 | |
CN102984162B (zh) | 可信网站的识别方法和收集系统 | |
CN111833115B (zh) | 一种操作识别方法、装置及存储介质和服务器 | |
CN107222332A (zh) | 测试方法、装置、系统及机器可读存储介质 | |
CN108985059B (zh) | 一种网页后门检测方法、装置、设备及存储介质 | |
CN110581857A (zh) | 一种虚拟执行的恶意软件检测方法及系统 | |
CN116248346A (zh) | 面向智慧城市的cps网络安全态势感知建立方法和系统 | |
CN109446398A (zh) | 智能检测网络爬虫行为的方法、装置以及电子设备 | |
CN114817928A (zh) | 网络空间数据融合分析方法、系统、电子设备及存储介质 | |
CN114513355A (zh) | 恶意域名检测方法、装置、设备及存储介质 | |
Kumar et al. | Machine learning based traffic classification using low level features and statistical analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1255614 Country of ref document: HK |
|
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180525 |
|
RJ01 | Rejection of invention patent application after publication |