CN108287993A - 一种移动端的恶意软件聚类检测方法 - Google Patents
一种移动端的恶意软件聚类检测方法 Download PDFInfo
- Publication number
- CN108287993A CN108287993A CN201710012604.1A CN201710012604A CN108287993A CN 108287993 A CN108287993 A CN 108287993A CN 201710012604 A CN201710012604 A CN 201710012604A CN 108287993 A CN108287993 A CN 108287993A
- Authority
- CN
- China
- Prior art keywords
- malware
- behavior
- mobile terminal
- detection method
- user behaviors
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明针对目前移动智能平台恶意软件太多,手机容易中毒等情况,通过对恶意软件在行为上的相似性特征来分析,提出了一种基于行为的移动端恶意软件聚类检测方法;该方法构建了软件行为刻画特征集合,通过定制ROM的方式来构建行为捕获机制并采集恶意软件的行为日志,基于行为日志提炼恶意软件特征集;本方法通过对恶意软件的家族归类,起到了保护人们手机的安全性作用。
Description
技术领域
本发明属于移动端技术领域,是一种检查恶意软件聚类的方法。
背景技术
随着移动互联网高速发展,智能终端设备已成为人们生活、工作的重要部分; 智能终端设备的广泛使用导致其恶意程序急剧增加;智能终端恶意应用主要通过恶意扣费、隐私窃取、诱骗欺诈等方式实施恶意行为,对用户的隐私和经济利益构成了严重威胁。
发明内容
本方法具体如下:
1.行为监控包括了ROM定制,行为触发和行为日志;
(1) ROM定制:为了获取API函数调用及其上下文环境,在ROM定制中,我们对需要监控的API函数的实现代码内部中添加了监控模块;当恶意应用在定制ROM中运行时,一旦恶意应用调用了这些API函数,监控代码就会将该函数的名称及其上下文环境输出到日志中;
(2)行为触发:在定制的ROM中测试恶意应用时,需要模拟用户的操作和外部广播事件来尽量触发恶意应用的功能操作;对于行为触发使用了事件触发和启发式探索来达到智能执行,提高了行为触发的覆盖率;
(3)行为日志:在定制的ROM中通过行为触发可以得到行为日志,包含调用时间、调用该函数的程序进程id、线程id、调用函数名、返回值、调用参数和调用堆栈;
2.家族分类:通过行为监控部分,可以得到每一个恶意样本的行为日志在家族分类部分中,需要对行为日志进行分析,从中提取行为特征,然后使用聚类算法将每一个恶意样本进行聚类;
(1)特征提取:从行为日志中可以提取出两个特征,分别为API函数名和函数堆栈;由于同一种家族恶意软件的行为大致相同或相似,因而它们分别调用的API函数重复率较高;而函数堆栈不仅包含调用的API函数,还包含着程序人口点到该函数的调用流程;
(2)聚类计算:目前,常见的聚类算法有基于划分的方法、基于层次的方法和基于密度的方法等;本方法使用DBSCAN这种基于密度的算法来进行聚类计算。
Claims (1)
1.一种移动端的恶意软件聚类检测方法,其特征在于:本方法由行为监控和家族分类两部分构成,通过模拟用户点击行为和广播事件尽可能触发恶意软件的行为,从而生成恶意软件的行为日志; 通过行为日志提取出恶意软件的行为特征,然后使用DBSCAN算法对其进行聚类计算,得到的分类结果可用于新样本的家族归属预测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710012604.1A CN108287993A (zh) | 2017-01-09 | 2017-01-09 | 一种移动端的恶意软件聚类检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710012604.1A CN108287993A (zh) | 2017-01-09 | 2017-01-09 | 一种移动端的恶意软件聚类检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108287993A true CN108287993A (zh) | 2018-07-17 |
Family
ID=62819200
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710012604.1A Withdrawn CN108287993A (zh) | 2017-01-09 | 2017-01-09 | 一种移动端的恶意软件聚类检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108287993A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112887328A (zh) * | 2021-02-24 | 2021-06-01 | 深信服科技股份有限公司 | 一种样本检测方法、装置、设备及计算机可读存储介质 |
-
2017
- 2017-01-09 CN CN201710012604.1A patent/CN108287993A/zh not_active Withdrawn
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112887328A (zh) * | 2021-02-24 | 2021-06-01 | 深信服科技股份有限公司 | 一种样本检测方法、装置、设备及计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103839005B (zh) | 移动操作系统的恶意软件检测方法和恶意软件检测系统 | |
CN104462970B (zh) | 一种基于进程通信的Android应用程序权限滥用检测方法 | |
CN106599688B (zh) | 一种基于应用类别的安卓恶意软件检测方法 | |
CN103927485A (zh) | 基于动态监控的Android应用程序风险评估方法 | |
US20140181973A1 (en) | Method and system for detecting malicious application | |
CN108133139A (zh) | 一种基于多运行环境行为比对的安卓恶意应用检测系统 | |
CN105740021B (zh) | 一种应用程序的安装方法和装置 | |
CN105260662A (zh) | 一种未知应用漏洞威胁检测装置及方法 | |
CN101984450A (zh) | 恶意代码检测方法和系统 | |
CN110851834B (zh) | 融合多特征分类的安卓恶意应用检测方法 | |
CN112149124B (zh) | 一种基于异构信息网络的安卓恶意程序检测的方法和系统 | |
CN104866526B (zh) | 智能终端及其推荐应用程序的方法 | |
CN110826064A (zh) | 一种恶意文件的处理方法、装置、电子设备以及存储介质 | |
CN104008332A (zh) | 一种基于Android平台的入侵检测系统 | |
CN102508768B (zh) | 应用程序监控方法及装置 | |
CN110362966A (zh) | 一种基于模糊哈希的跨平台固件同源性安全检测方法 | |
CN104794051A (zh) | 一种Android平台恶意软件自动化检测方法 | |
CN105468995A (zh) | 以Oracle为核心的基于数据挖掘入侵检测系统 | |
CN104361281A (zh) | 一种安卓平台钓鱼攻击的解决方法 | |
CN110727952A (zh) | 一种移动应用程序第三方库隐私收集辨识方法 | |
KR101589652B1 (ko) | 행위 기반 악성 코드 변종 탐지 조회 시스템 및 방법 | |
CN111222131B (zh) | 一种互联网诈骗apk的识别方法 | |
CN105095758B (zh) | 锁屏应用程序处理方法、装置以及移动终端 | |
Roseline et al. | Android malware detection and classification using LOFO feature selection and tree-based models | |
CN108287993A (zh) | 一种移动端的恶意软件聚类检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20180717 |
|
WW01 | Invention patent application withdrawn after publication |