CN109858249B - 移动恶意软件大数据的快速智能比对和安全检测方法 - Google Patents
移动恶意软件大数据的快速智能比对和安全检测方法 Download PDFInfo
- Publication number
- CN109858249B CN109858249B CN201910118777.0A CN201910118777A CN109858249B CN 109858249 B CN109858249 B CN 109858249B CN 201910118777 A CN201910118777 A CN 201910118777A CN 109858249 B CN109858249 B CN 109858249B
- Authority
- CN
- China
- Prior art keywords
- mobile software
- functions
- entropy
- mobile
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Abstract
本发明公开了一种移动恶意软件大数据的快速智能比对和安全检测方法。随着移动软件应用发展势头迅猛,很多流行的移动应用被复制或重新包装。攻击者可能通过重包装应用程序以达到插入广告盈利或者传播恶意软件。海量的移动软件代码形成大数据,相似性的比较计算体量非常庞大。本发明使用压缩字符串、描述熵与哈希值方法结合提出快速智能比对检测算法,计算得到移动应用软件之间的相似度,若它们的相似度大于或等于预定的阈值,则认为检测程序有重包装或剽窃的嫌疑,进而分析检测的移动软件是否存在恶意攻击代码,最后实现移动软件大数据的快速安全检测。
Description
技术领域
本发明涉及移动安全技术领域,具体涉及一种移动恶意软件大数据的快速智能比对和安全检测方法。
背景技术
随着移动应用领域的迅速发展,移动应用的数量已经超过500万款,下载的次数超过300亿。海量的移动软件发展势头迅猛,越来越多的流行的移动应用被复制或重新包装。攻击者通过重包装应用程序以达到插入广告盈利或者传播恶意软件。这对应用程序的生态系统造成很大程度的损害。
现有基于代码比较的方法,使用海量的字符串距离计算来计算移动软件大数据安全检测速度很慢。海量的移动软件代码形成大数据,相似性的比较计算体量非常庞大。基于距离计算的方法不算高效。
因此,亟待需要设计了一种大数据的软件安全检测方法用来更快地检测重打包或剽窃的移动恶意应用软件,维护大数据移动应用程序的生态系统。
发明内容
本发明的目的是为了解决现有技术中一些根据代码功能重新包装或克隆的程序在使用通过模糊哈希提取应用程序指纹或者使用特征哈希进行代码相似性分析的算法进行检测时,错误率非常高的技术缺陷,提供一种移动恶意软件大数据的快速智能比对和安全检测方法。
本发明的目的可以通过采取如下技术方案达到:
一种移动恶意软件大数据的快速智能比对和安全检测方法,所述的方法包括以下步骤:
S1、对要进行检测的移动软件和原生移动软件进行压缩,将待检测移动软件和原生移动软件中的N个函数分别压缩成哈希值、描述熵、压缩字符串后存储在对应的格式文件中;
S2、计算所述的对应的格式文件中相同函数个数,然后基于Hdsim方法或者entropy_descpt_sim方法求出相似函数个数,然后计算相似度得到相似度值;
S3、将到相似度与预定的比较阈值a进行比较,如果相似度值大于或等于预定的比较阈值a,则判定检测程序有重包装的嫌疑;若小于预定的比较阈值a,则判断没有重包装的嫌疑。
进一步地,所述的步骤S1过程如下:
S11、从海量的移动应用软件中任意选择原生移动软件和待检测移动软件作为输入;
S12、将移动软件解压缩为op-code;
S13、将op-code转换成DALVIK虚拟机格式;
S14、针对原生移动软件和待检测移动软件中的每个函数,分别通过sha256压缩函数生成哈希值、通过SnaPy压缩函数生成压缩字符串,并计算描述熵;
S15、用txt文件记录哈希值、描述熵与压缩字符串,并分别输出生移动软件和待检测移动软件对应的txt文件。
进一步地,所述的txt文件包括N行,分别对应移动软件包含的N个函数,每行有三列,其中,第一列对应哈希值,第二列对应描述熵的熵值,第三列对应压缩字符串。
进一步地,所述的描述熵计算过程如下:
给定基于不同子序列计数的复杂性度量,然后对于N个不同的子序列,用P1+…PN=1的直方图向量Histogram(S)={P1,…,PN}表示,其中,PN表示第N个子序列的复杂性度量,因此,将描述熵通过以上直方图向量进行计算,并且该描述熵称为序列的描述熵,计算公式如下:
其中Hd()表示计算描述熵的函数,括号内的变量表示函数计算所需变量。
进一步地,所述的步骤S2过程如下:
S21、原生移动软件和待检测移动软件对应的txt文件分别整理成字典,该字典以哈希值作为键key,对应的描述熵与压缩字符串组成的字符串作为value;
S22、计算相同函数个数,通过哈希值过滤相同函数,将待检测移动软件中的哈希值与原生移动软件中的哈希值分别做成一个集合,再求出交集,交集即为相同的哈希值,交集的长度即为相同函数的个数;
S23、计算相似函数个数,将原生移动软件与待检测移动软件的字典去掉相同的函数再重新整理成一个字典,然后根据描述熵的熵值与压缩字符串,基于Hdsim方法或者entropy_descpt_sim方法求出相似函数;
S24、进行相似度的计算,将相同函数个数与相似函数个数相加做为分子;将相同函数个数、相似函数个数、两个移动软件特有的函数个数的和作为分母,进行相似度计算,其中,两个移动软件特有的函数为待检测移动软件有但原生移动软件没有、原生移动软件有但待检测移动软件没有的函数的和,相似度计算公式如下:
其中,same_elem为相同函数个数,similar_elem为相似函数个数,special_elem_1为原生移动软件中特有的函数个数,其值等于原生移动软件函数总个数-相同函数个数-相似函数个数,special_elem_2为待检测移动软件中特有的函数个数,其值等于待检测移动软件函数总个数-相同函数个数-相似函数个数;
S25、返回相似度值。
进一步地,所述的Hdsim方法具体如下:
对两个函数的描述熵和压缩字符串长度进行比较,当两个函数的描述熵与压缩字符串长度相同时,判定两个函数相似,否则,判定两个函数不相似。
进一步地,所述的entropy_descpt_sim方法具体如下:
使用描述熵距离计算公式计算函数的描述熵距离,当描述熵距离小于预定的比较阈值b时,则判定两个函数相似,否则,判定两个函数不相似,其中,所述的描述熵距离的计算公式如下:
其中,HdD()表示描述熵距离计算函数,括号内变量为函数计算所需要的变量,avg()是对括号内的数进行求平均值运算,min()是取括号内的数的最小值,max()是取括号内的数的最大值,Hd1、Hd2分别是待进行比较的两个函数的描述熵,StrLen1、StrLen2分别是待进行比较的两个函数的压缩字符串的长度。
本发明相对于现有技术具有如下的优点及效果:
为了能准确地检测出根据代码功能重新包装或克隆重包装的安卓程序,保护程序开发人员的产权和利益,维护移动软件的生态系统。本发明基于描述熵对比的移动恶意软件大数据快速安全检测。这些程序在功能上相同但代码不同,因此采用海量的字符串距离来检测的话错误率会很高。但只要重新包装的应用程序保留了原始应用程序的关键功能,采用基于描述熵对比的移动恶意软件大数据快速安全检测的方法,它们的相似性就会很高。本发明采用压缩字符串、描述熵与哈希值结合的方法计算相似度,能更快速有效地检测重新包装的和含有恶意攻击代码移动软件。
附图说明
图1是本发明公开的移动恶意软件大数据的快速智能比对和安全检测方法的流程步骤图;
图2是本发明实施例中对待检测移动软件和原生移动软件进行压缩的流程步骤图;
图3是本发明实施例中求解相似度值的流程步骤图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例
本实施例公开了一种移动恶意软件大数据的快速智能比对和安全检测方法,通过结合压缩字符串、描述熵和函数哈希值提出Hdsim算法和entropy_descpt_sim算法,计算得到移动软件的相似度,从而判断该移动软件是否为重包装程序,是否含有恶意攻击代码;
函数哈希值是函数的唯一标识符,两个函数的哈希值相等代表着两个函数的功能相同,也就是两个函数是相同的;
描述熵描述了一个字符串的语义结构和子序列在整个序列中的无序程度的浮点数,它还定义了序列的组合和分布的抽象状态;
压缩字符串是函数内表达式的压缩,一个语句对应一个字符;
判断该移动软件是否为重新包装的程序是在经过计算得到相似度值后用相似度与预定的阈值进行比较,当相似度大于或等于预定的阈值时,则认为检测移动软件有重包装或剽窃的嫌疑。
该方法的流程步骤如图1所示,包括以下步骤:
S1、对要进行检测的移动软件和原生移动软件进行压缩,把其压缩成对应的格式文件(本实施例中对应的格式文件采用txt文件,但是本发明技术方案不限于该格式的存储文件),返回的txt文件有N行(N的值与程序源码的函数数量正相关,源码有N个函数,则txt文件有N行),每行有三列,第一列为哈希值,第二列为描述熵的熵值,第三列为压缩字符串。具体步骤可参考图2,过程如下:
S11、海量的移动应用软件任意选择作为输入,一个是原生移动软件、另外一个待检测移动软件;
S12、首先将APK文件(移动软件的文件格式一般为APK)解压缩为op-code;
S13、将op-code转换成DALVIK虚拟机格式(DVMFLASH);
S14、针对APK中的每个函数,计算哈希值、描述熵与压缩字符串等基本措施。通过sha256压缩函数生成哈希值。用一个名为SnaPy的压缩函数生成压缩字符串,并通过算法计算描述熵。
sha256压缩函数是哈希算法,主要适用于数字签名标准里面定义的数字签名算法。
压缩函数SnaPy是一个用来压缩和解压缩的开发包。
计算描述熵过程如下:给定基于不同子序列计数的复杂性度量,然后对于N个不同的子序列,用P1+…PN=1的直方图向量Histogram(S)={P1,…,PN}表示,其中,PN表示第N个子序列的复杂性度量。因此,描述熵可以被计算为这种直方图向量,并且该熵被提出为序列的“描述熵”(下简称Hd),计算公式如下:
其中Hd()表示计算描述熵的函数,括号内的变量表示函数计算所需变量。
S15、用txt文件记录哈希值、描述熵与压缩字符串并输出该txt文件。
S2、对要进行检测的移动软件和原生移动软件进行相似度计算,具体可参考附图3,将步骤S1中得到的两个txt文件(原生移动软件一个,待检测移动软件一个)传递给Hdsim算法,用于做相似度的计算,具体如下:
S21、为了方便运算,把txt文件的内容整理成字典(以哈希值作为键key,对应的描述熵与压缩字符串组成的字符串作为value),原生移动软件与待检测移动软件的txt文件都分别整理成一个字典。
S22、计算相同函数个数。通过哈希值过滤相同函数(该函数表示移动软件程序源码的函数,一个哈希值对应一个函数,也就对应一个函数,哈希值相同,则两个函数相同)。将待检测移动软件中的哈希值(即字典中的键key)与原生移动软件中的哈希值分别做成一个集合,再求出交集,交集即为相同的哈希值,交集的长度即为相同函数的个数。
S23、计算相似函数个数。将原生移动软件与待检测移动软件的字典去掉相同的函数再整理成一个字典。然后根据描述熵的熵值与压缩字符串求出相似函数(即字典中的value值)。
求相似函数包括以下两种方法,第一种是直接对描述熵和压缩字符串长度进行比较,当两个函数的描述熵与压缩字符串长度相同时,两个函数相似,将用这种求相似函数进行计算的检测恶意软件的方法简称为Hdsim。
另一种为通过描述熵距离来筛选相似函数,使用描述熵距离计算公式计算函数的描述熵距离,当描述熵距离小于预定的比较阈值b(b=0.01)时,则判定两个函数相似,将用这种求相似函数进行计算的检测恶意软件的方法简称为entropy_descpt_sim。描述熵距离的计算公式如下:
其中各变量及计算方法如下:
HdD()表示熵距离计算函数,括号内变量为函数计算所需要的变量,
avg():对括号内的数进行求平均值运算,
min():取括号内的数的最小值,
max():取括号内的数的最大值,
Hd1、Hd2:待进行比较的两个函数的描述熵,
StrLen1、StrLen2:待进行比较的两个函数的压缩字符串的长度;
S24、进行相似度的计算。将相同函数个数与相似函数个数相加做为分子;将相同函数个数、相似函数个数、两个移动软件特有的函数个数(即待检测移动软件有但原生移动软件没有、原生移动软件有但待检测移动软件没有的函数的和,移动软件的函数总数即为对应的txt文件的总行数)的和作为分母。
相似度计算公式如下:
其中各变量及计算方法如下:
same_elem:相同函数个数,
similar_elem:相似函数个数,
special_elem_1:原生移动软件中特有的函数个数,其值等于原生移动软件函数总个数-相同函数个数-相似函数个数,
special_elem_2:待检测移动软件中特有的函数个数,其值等于待检测移动软件函数总个数-相同函数个数-相似函数个数,
其中,原生移动软件为:在检测的大数据移动应用软件中,发行时间较早、已确认没有重包装或剽窃嫌疑的原生移动应用软件,
其中,待检测移动软件为:在检测的大数据移动应用软件中,发行时间较晚或者将要发行的、有重包装或剽窃嫌疑的移动应用软件。
S25、返回相似度值。
S3、得到相似度值后,将其与预定的比较阈值a进行比较,如果相似度值大于或等于预定的比较阈值a,则判定检测程序有重包装的嫌疑;若小于预定的比较阈值a,则判断没有重包装的嫌疑。
综上所述,本实施例公开的一种移动恶意软件大数据的快速智能比对和安全检测方法,通过步骤S1对APP的APK文件进行压缩可以在静态(不运行APP)的情况下进行APP的相似度对比,降低了相似度计算的成本;在步骤S2中采用描述熵进行相似度计算,大大提升了计算速度;在步骤S3中所取的阈值a是经过大量有重包装APP与原APP相似度计算后得到的阈值,可靠性高,误判的可能性的可能性极小(误判值得是将没有重包装的APP判断为重包装的APP或将有重包装的APP判断为没有重包装的APP)。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。
Claims (4)
1.一种移动恶意软件大数据的快速智能比对和安全检测方法,其特征在于,所述的方法包括以下步骤:
S1、对要进行检测的移动软件和原生移动软件进行压缩,将待检测移动软件和原生移动软件中的N个函数分别压缩成哈希值、描述熵、压缩字符串后存储在对应的格式文件中;其中,
所述的描述熵计算过程如下:
给定基于不同子序列计数的复杂性度量,然后对于N个不同的子序列,用P1+…PN=1的直方图向量Histogram(S)={P1,…,PN}表示,其中,PN表示第N个子序列的复杂性度量,因此,将描述熵通过以上直方图向量进行计算,并且该描述熵称为序列的描述熵,计算公式如下:
其中Hd()表示计算描述熵的函数,括号内的变量表示函数计算所需变量;
S2、计算所述的对应的格式文件中相同函数个数,然后基于Hdsim方法或者entropy_descpt_sim方法求出相似函数个数,然后计算相似度得到相似度值;其中,
所述的Hdsim方法具体如下:
对两个函数的描述熵和压缩字符串长度进行比较,当两个函数的描述熵与压缩字符串长度相同时,判定两个函数相似,否则,判定两个函数不相似;
所述的entropy_descpt_sim方法具体如下:
使用描述熵距离计算公式计算函数的描述熵距离,当描述熵距离小于预定的比较阈值b时,则判定两个函数相似,否则,判定两个函数不相似,其中,所述的描述熵距离的计算公式如下:
其中,HdD()表示描述熵距离计算函数,括号内变量为函数计算所需要的变量,avg()是对括号内的数进行求平均值运算,min()是取括号内的数的最小值,max()是取括号内的数的最大值,Hd1、Hd2分别是待进行比较的两个函数的描述熵,StrLen1、StrLen2分别是待进行比较的两个函数的压缩字符串的长度;
S3、将到相似度与预定的比较阈值a进行比较,如果相似度值大于或等于预定的比较阈值a,则判定检测程序有重包装的嫌疑;若小于预定的比较阈值a,则判断没有重包装的嫌疑。
2.根据权利要求1所述的移动恶意软件大数据的快速智能比对和安全检测方法,其特征在于,所述的步骤S1过程如下:
S11、从海量的移动应用软件中任意选择原生移动软件和待检测移动软件作为输入;
S12、将移动软件解压缩为op-code;
S13、将op-code转换成DALVIK虚拟机格式;
S14、针对原生移动软件和待检测移动软件中的每个函数,分别通过sha256压缩函数生成哈希值、通过SnaPy压缩函数生成压缩字符串,并计算描述熵;
S15、用txt文件记录哈希值、描述熵与压缩字符串,并分别输出原生移动软件和待检测移动软件对应的txt文件。
3.根据权利要求2所述的移动恶意软件大数据的快速智能比对和安全检测方法,其特征在于,所述的txt文件包括N行,分别对应移动软件包含的N个函数,每行有三列,其中,第一列对应哈希值,第二列对应描述熵的熵值,第三列对应压缩字符串。
4.根据权利要求1所述的移动恶意软件大数据的快速智能比对和安全检测方法,其特征在于,所述的步骤S2过程如下:
S21、原生移动软件和待检测移动软件对应的txt文件分别整理成字典,该字典以哈希值作为键key,对应的描述熵与压缩字符串组成的字符串作为value;
S22、计算相同函数个数,通过哈希值过滤相同函数,将待检测移动软件中的哈希值与原生移动软件中的哈希值分别做成一个集合,再求出交集,交集即为相同的哈希值,交集的长度即为相同函数的个数;
S23、计算相似函数个数,将原生移动软件与待检测移动软件的字典去掉相同的函数再重新整理成一个字典,然后根据描述熵的熵值与压缩字符串,基于Hdsim方法或者entropy_descpt_sim方法求出相似函数;
S24、进行相似度的计算,将相同函数个数与相似函数个数相加做为分子;将相同函数个数、相似函数个数、两个移动软件特有的函数个数的和作为分母,进行相似度计算,其中,两个移动软件特有的函数为待检测移动软件有但原生移动软件没有、原生移动软件有但待检测移动软件没有的函数的和,相似度计算公式如下:
其中,same_elem为相同函数个数,similar_elem为相似函数个数,special_elem_1为原生移动软件中特有的函数个数,其值等于原生移动软件函数总个数-相同函数个数-相似函数个数,special_elem_2为待检测移动软件中特有的函数个数,其值等于待检测移动软件函数总个数-相同函数个数-相似函数个数;
S25、返回相似度值。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910118777.0A CN109858249B (zh) | 2019-02-18 | 2019-02-18 | 移动恶意软件大数据的快速智能比对和安全检测方法 |
PCT/CN2019/080315 WO2020168614A1 (zh) | 2019-02-18 | 2019-03-29 | 移动恶意软件大数据的快速智能比对和安全检测方法 |
US16/979,167 US11334669B2 (en) | 2019-02-18 | 2019-03-29 | Method for fast and intelligent comparison and security detection of mobile malware big data |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910118777.0A CN109858249B (zh) | 2019-02-18 | 2019-02-18 | 移动恶意软件大数据的快速智能比对和安全检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109858249A CN109858249A (zh) | 2019-06-07 |
CN109858249B true CN109858249B (zh) | 2020-08-07 |
Family
ID=66898086
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910118777.0A Active CN109858249B (zh) | 2019-02-18 | 2019-02-18 | 移动恶意软件大数据的快速智能比对和安全检测方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11334669B2 (zh) |
CN (1) | CN109858249B (zh) |
WO (1) | WO2020168614A1 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110298171B (zh) * | 2019-06-17 | 2021-07-27 | 暨南大学 | 移动互联网大数据应用的智能检测与安全防护方法 |
KR102476358B1 (ko) * | 2021-01-26 | 2022-12-08 | 고려대학교 산학협력단 | 소스코드 레벨에서의 오픈소스 소프트웨어 (oss) 구성요소 식별을 위한 방법 |
CN113127870A (zh) * | 2021-04-08 | 2021-07-16 | 重庆电子工程职业学院 | 一种移动恶意软件大数据的快速智能比对和安全检测方法 |
Citations (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102346829A (zh) * | 2011-09-22 | 2012-02-08 | 重庆大学 | 基于集成分类的病毒检测方法 |
CN104063664A (zh) * | 2014-06-26 | 2014-09-24 | 北京奇虎科技有限公司 | 软件安装包的安全检测方法、客户端、服务器以及系统 |
CN104091121A (zh) * | 2014-06-12 | 2014-10-08 | 上海交通大学 | 对Android重打包恶意软件的恶意代码的检测、切除和恢复的方法 |
CN104317599A (zh) * | 2014-10-30 | 2015-01-28 | 北京奇虎科技有限公司 | 检测安装包是否被二次打包的方法和装置 |
CN104424402A (zh) * | 2013-08-28 | 2015-03-18 | 卓易畅想(北京)科技有限公司 | 一种用于检测盗版应用程序的方法及装置 |
CN104751055A (zh) * | 2013-12-31 | 2015-07-01 | 北京启明星辰信息安全技术有限公司 | 一种基于纹理的分布式恶意代码检测方法、装置及系统 |
CN104778409A (zh) * | 2015-04-16 | 2015-07-15 | 电子科技大学 | 一种Android应用软件相似性的检测方法及装置 |
CN105205356A (zh) * | 2015-09-17 | 2015-12-30 | 清华大学深圳研究生院 | 一种app应用重打包检测方法 |
CN105389508A (zh) * | 2015-11-10 | 2016-03-09 | 工业和信息化部电信研究院 | 一种安卓重打包应用的检测方法及装置 |
CN105446741A (zh) * | 2015-12-10 | 2016-03-30 | 北京邮电大学 | 一种基于api比对的移动应用程序辨识方法 |
CN105893848A (zh) * | 2016-04-27 | 2016-08-24 | 南京邮电大学 | 一种基于代码行为相似度匹配的Android恶意应用程序防范方法 |
CN106203122A (zh) * | 2016-07-25 | 2016-12-07 | 西安交通大学 | 基于敏感子图的安卓恶意重打包软件检测方法 |
CN106599623A (zh) * | 2016-12-09 | 2017-04-26 | 江苏通付盾科技有限公司 | 一种应用相似度计算方法及装置 |
CN106599686A (zh) * | 2016-10-12 | 2017-04-26 | 四川大学 | 一种基于tlsh特征表示的恶意软件聚类方法 |
CN106951780A (zh) * | 2017-02-08 | 2017-07-14 | 中国科学院信息工程研究所 | 重打包恶意应用的静态检测方法和装置 |
CN107169323A (zh) * | 2017-05-11 | 2017-09-15 | 南京大学 | 一种基于布局簇图的安卓应用重打包检测方法 |
CN107239678A (zh) * | 2017-05-10 | 2017-10-10 | 东南大学 | 一种基于Java文件目录结构的Android应用重打包检测方法 |
CN107273746A (zh) * | 2017-05-18 | 2017-10-20 | 广东工业大学 | 一种基于apk字符串特征的变种恶意软件检测方法 |
CN107688742A (zh) * | 2017-08-09 | 2018-02-13 | 中国地质大学(武汉) | 大规模快速移动应用app检测和分析方法 |
CN107770144A (zh) * | 2016-08-23 | 2018-03-06 | 中国移动通信有限公司研究院 | 应用监测方法、开发平台、客户端及信息系统 |
CN107944270A (zh) * | 2017-12-05 | 2018-04-20 | 暨南大学 | 一种可验证的安卓恶意软件检测系统及方法 |
CN108062463A (zh) * | 2016-11-07 | 2018-05-22 | 武汉安天信息技术有限责任公司 | 一种基于截屏图片的重打包检测方法及系统 |
CN108304697A (zh) * | 2017-12-11 | 2018-07-20 | 深圳壹账通智能科技有限公司 | 检测app二次打包的方法、装置及移动终端 |
CN108399335A (zh) * | 2018-01-30 | 2018-08-14 | 东华大学 | 一种基于局部熵的恶意代码可视化分析方法 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2584121C (en) * | 2004-10-15 | 2014-08-19 | The Regents Of The University Of Colorado, A Body Corporate | Revocable biometrics with robust distance metrics |
CN102663281B (zh) * | 2012-03-16 | 2015-03-18 | 华为数字技术(成都)有限公司 | 检测恶意软件的方法和装置 |
US9672357B2 (en) * | 2015-02-26 | 2017-06-06 | Mcafee, Inc. | System and method to mitigate malware |
CN106295337B (zh) * | 2015-06-30 | 2018-05-22 | 安一恒通(北京)科技有限公司 | 用于检测恶意漏洞文件的方法、装置及终端 |
TWI547823B (zh) * | 2015-09-25 | 2016-09-01 | 緯創資通股份有限公司 | 惡意程式碼分析方法與系統、資料處理裝置及電子裝置 |
US10372909B2 (en) * | 2016-08-19 | 2019-08-06 | Hewlett Packard Enterprise Development Lp | Determining whether process is infected with malware |
US10305923B2 (en) * | 2017-06-30 | 2019-05-28 | SparkCognition, Inc. | Server-supported malware detection and protection |
-
2019
- 2019-02-18 CN CN201910118777.0A patent/CN109858249B/zh active Active
- 2019-03-29 US US16/979,167 patent/US11334669B2/en active Active
- 2019-03-29 WO PCT/CN2019/080315 patent/WO2020168614A1/zh active Application Filing
Patent Citations (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102346829A (zh) * | 2011-09-22 | 2012-02-08 | 重庆大学 | 基于集成分类的病毒检测方法 |
CN104424402A (zh) * | 2013-08-28 | 2015-03-18 | 卓易畅想(北京)科技有限公司 | 一种用于检测盗版应用程序的方法及装置 |
CN104751055A (zh) * | 2013-12-31 | 2015-07-01 | 北京启明星辰信息安全技术有限公司 | 一种基于纹理的分布式恶意代码检测方法、装置及系统 |
CN104091121A (zh) * | 2014-06-12 | 2014-10-08 | 上海交通大学 | 对Android重打包恶意软件的恶意代码的检测、切除和恢复的方法 |
CN104063664A (zh) * | 2014-06-26 | 2014-09-24 | 北京奇虎科技有限公司 | 软件安装包的安全检测方法、客户端、服务器以及系统 |
CN104317599A (zh) * | 2014-10-30 | 2015-01-28 | 北京奇虎科技有限公司 | 检测安装包是否被二次打包的方法和装置 |
CN104778409A (zh) * | 2015-04-16 | 2015-07-15 | 电子科技大学 | 一种Android应用软件相似性的检测方法及装置 |
CN105205356A (zh) * | 2015-09-17 | 2015-12-30 | 清华大学深圳研究生院 | 一种app应用重打包检测方法 |
CN105389508A (zh) * | 2015-11-10 | 2016-03-09 | 工业和信息化部电信研究院 | 一种安卓重打包应用的检测方法及装置 |
CN105446741A (zh) * | 2015-12-10 | 2016-03-30 | 北京邮电大学 | 一种基于api比对的移动应用程序辨识方法 |
CN105893848A (zh) * | 2016-04-27 | 2016-08-24 | 南京邮电大学 | 一种基于代码行为相似度匹配的Android恶意应用程序防范方法 |
CN106203122A (zh) * | 2016-07-25 | 2016-12-07 | 西安交通大学 | 基于敏感子图的安卓恶意重打包软件检测方法 |
CN107770144A (zh) * | 2016-08-23 | 2018-03-06 | 中国移动通信有限公司研究院 | 应用监测方法、开发平台、客户端及信息系统 |
CN106599686A (zh) * | 2016-10-12 | 2017-04-26 | 四川大学 | 一种基于tlsh特征表示的恶意软件聚类方法 |
CN108062463A (zh) * | 2016-11-07 | 2018-05-22 | 武汉安天信息技术有限责任公司 | 一种基于截屏图片的重打包检测方法及系统 |
CN106599623A (zh) * | 2016-12-09 | 2017-04-26 | 江苏通付盾科技有限公司 | 一种应用相似度计算方法及装置 |
CN106951780A (zh) * | 2017-02-08 | 2017-07-14 | 中国科学院信息工程研究所 | 重打包恶意应用的静态检测方法和装置 |
CN107239678A (zh) * | 2017-05-10 | 2017-10-10 | 东南大学 | 一种基于Java文件目录结构的Android应用重打包检测方法 |
CN107169323A (zh) * | 2017-05-11 | 2017-09-15 | 南京大学 | 一种基于布局簇图的安卓应用重打包检测方法 |
CN107273746A (zh) * | 2017-05-18 | 2017-10-20 | 广东工业大学 | 一种基于apk字符串特征的变种恶意软件检测方法 |
CN107688742A (zh) * | 2017-08-09 | 2018-02-13 | 中国地质大学(武汉) | 大规模快速移动应用app检测和分析方法 |
CN107944270A (zh) * | 2017-12-05 | 2018-04-20 | 暨南大学 | 一种可验证的安卓恶意软件检测系统及方法 |
CN108304697A (zh) * | 2017-12-11 | 2018-07-20 | 深圳壹账通智能科技有限公司 | 检测app二次打包的方法、装置及移动终端 |
CN108399335A (zh) * | 2018-01-30 | 2018-08-14 | 东华大学 | 一种基于局部熵的恶意代码可视化分析方法 |
Non-Patent Citations (2)
Title |
---|
"A Large-scale Study of Android Malware Development Phenomenon on Public Malware Submission and Scanning Platform";Quanlong Guan等;《IEEE Transactions on Big Data》;20180108;正文第1-14页 * |
Semantics-Based Repackaging Detection for Mobile Apps;quanlong guan等;《Engineering Secure Software and Systems. 8th International Symposium,ESSoS 2016.Proceedings》;20160408;第89-105页 * |
Also Published As
Publication number | Publication date |
---|---|
CN109858249A (zh) | 2019-06-07 |
WO2020168614A1 (zh) | 2020-08-27 |
US20200410095A1 (en) | 2020-12-31 |
US11334669B2 (en) | 2022-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Bayer et al. | Improving the efficiency of dynamic malware analysis | |
CN109359439B (zh) | 软件检测方法、装置、设备及存储介质 | |
CN109145600B (zh) | 使用静态分析元素检测恶意文件的系统和方法 | |
CN111382430B (zh) | 用于对计算机系统的对象进行分类的系统和方法 | |
Crussell et al. | Andarwin: Scalable detection of semantically similar android applications | |
CN109858249B (zh) | 移动恶意软件大数据的快速智能比对和安全检测方法 | |
Ye et al. | IMDS: Intelligent malware detection system | |
CN111382434B (zh) | 用于检测恶意文件的系统和方法 | |
WO2015101097A1 (zh) | 特征提取的方法及装置 | |
CN110034921B (zh) | 基于带权模糊hash的webshell检测方法 | |
US8769685B1 (en) | Systems and methods for using file paths to identify potentially malicious computer files | |
US8336100B1 (en) | Systems and methods for using reputation data to detect packed malware | |
RU2624552C2 (ru) | Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины | |
JP2019079493A (ja) | 機械学習を用いる悪意のあるファイルを検出するシステムおよび方法 | |
US9202050B1 (en) | Systems and methods for detecting malicious files | |
US20120159628A1 (en) | Malware detection apparatus, malware detection method and computer program product thereof | |
US11379581B2 (en) | System and method for detection of malicious files | |
Breitinger et al. | Performance issues about context-triggered piecewise hashing | |
CN107463844B (zh) | Web木马检测方法及系统 | |
US8448243B1 (en) | Systems and methods for detecting unknown malware in an executable file | |
Naik et al. | Fuzzy-import hashing: A static analysis technique for malware detection | |
WO2018060461A1 (en) | Detecting malicious scripts | |
WO2018121464A1 (zh) | 一种病毒检测方法及装置、存储介质 | |
CN106845217B (zh) | 一种安卓应用恶意行为的检测方法 | |
Hai et al. | An efficient classification of malware behavior using deep neural network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |