CN114154153A - 恶意代码检测方法及装置、电子设备、存储介质 - Google Patents

恶意代码检测方法及装置、电子设备、存储介质 Download PDF

Info

Publication number
CN114154153A
CN114154153A CN202111396891.3A CN202111396891A CN114154153A CN 114154153 A CN114154153 A CN 114154153A CN 202111396891 A CN202111396891 A CN 202111396891A CN 114154153 A CN114154153 A CN 114154153A
Authority
CN
China
Prior art keywords
code
malicious
malicious code
apk
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111396891.3A
Other languages
English (en)
Inventor
殷铭
何晔
虞珍妮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202111396891.3A priority Critical patent/CN114154153A/zh
Publication of CN114154153A publication Critical patent/CN114154153A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本公开提供了一种恶意代码检测方法及装置、电子设备、存储介质,涉及网络信息安全领域,可以应用于检测恶意代码应用的场景。该恶意代码检测方法包括:反编译获取待检测APK的源码;对该源码进行分片处理,得到多个代码段;获取该多个代码段各自对应的权重值;基于该权重值计算每个代码段的模糊哈希值;将模糊哈希值与恶意代码指纹库比对,获得待检测APK的相似度;基于该相似度输出待检测APK是否为恶意代码的检测结果信息。本公开实施例的技术方案可以有效检测出变种恶意代码。

Description

恶意代码检测方法及装置、电子设备、存储介质
技术领域
本公开涉及网络信息安全技术领域,具体而言,涉及一种恶意代码检测方法、恶意代码检测装置、电子设备以及计算机可读存储介质。
背景技术
随着智能通信技术的不断发展,智能终端已经成为人类社会重要的工具之一。安卓(Android)操作系统由于具有开源性,成为智能终端的主要操作系统,这也使得越来越多的安卓智能终端成为恶意代码的攻击目标,对安卓智能终端的系统安全及用户信息安全造成威胁。因此,对安卓系统的恶意代码检测显得尤为重要。
对安卓恶意代码的检测可以依赖哈希值匹配的方法,但该方法要求恶意代码应用与样本完全一致,这便使得变种恶意代码应用无法被有效地检测出,比如仅仅改变了一个字节就有可能导致检测完全失效,给系统的安全造成威胁。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开实施例的目的在于提供一种恶意代码检测方法、恶意代码检测装置、电子设备以及计算机可读存储介质,进而至少在一定程度上克服相关技术中无法有效检测变种恶意代码而影响系统安全性的问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开实施例的第一方面,提供了一种恶意代码检测方法,包括:
反编译获取待检测安卓应用程序包APK的源码;
对所述源码进行分片处理,得到多个代码段;
获取所述多个代码段各自对应的权重值;
基于所述权重值计算每个代码段的模糊哈希值;
将所述模糊哈希值与恶意代码指纹库比对,获得所述待检测APK的相似度;
基于所述相似度输出所述待检测APK是否为恶意代码的检测结果信息。
在本公开的一些示例实施例中,基于前述方案,所述源码为Smali源码;所述对所述源码进行分片处理包括:
按照起始标记为.method且结尾标记为.end对所述源码进行代码段划分。
在本公开的一些示例实施例中,基于前述方案,所述基于所述权重值计算每个代码段的模糊哈希值包括:
将每个代码段按行进行分片,得到多个行分片代码;
计算每个行分片代码的定长哈希值;
对每个行分片代码的定长哈希值添加所述行分片代码所在代码段的权重值后按序拼接,得到每个代码段的模糊哈希值。
在本公开的一些示例实施例中,基于前述方案,所述获取所述多个代码段各自对应的权重值包括:
获取所述多个代码段中包含系统调用函数或权限的代码段各自对应的第一权重值;
获取所述多个代码段中不包含系统调用函数和权限的代码段各自对应的第二权重值,所述第二权重值小于所述第一权重值。
在本公开的一些示例实施例中,基于前述方案,所述获取所述多个代码段中包含系统调用函数或权限的代码段对应的第一权重值包括:
利用第一权重值公式计算所述多个代码段中包含系统调用函数或权限的代码段各自对应的第一权重值;所述第一权重值公式为:
Figure BDA0003370635080000021
其中,所述W为计算出的第一权重值,所述code为代码段中流程代码的行数,所述other为代码段中非流程代码的行数。
在本公开的一些示例实施例中,基于前述方案,所述将所述模糊哈希值与恶意代码指纹库比对,获得所述待检测APK的相似度,包括:
将所述模糊哈希值与恶意代码指纹库进行比对,根据相似度计算公式计算所述待检测APK的相似度;所述相似度计算公式为:
Figure BDA0003370635080000031
其中,所述S为相似度,所述N为对所述源码进行分片处理所得到的代码段的段数,所述Di表征所述N个代码段中第i个代码段的模糊哈希值与恶意代码指纹库比对时的差异程度,Wi为所述N个代码段中第i个代码段的权重值,max(Wi)为所述N个代码段所对应权重值中的最大权重值,max(L1,L2)为所述模糊哈希值和所述恶意代码指纹库相比字符串长度最长的长度值。
在本公开的一些示例实施例中,基于前述方案,所述基于所述相似度输出所述待检测APK是否为恶意代码的检测结果信息包括:
响应于所述相似度大于设定阈值,输出所述待检测APK为恶意代码的提示信息;
响应于所述相似度小于所述设定阈值,输出所述待检测APK为安全代码的提示信息。
根据本公开实施例的第二方面,提供了一种恶意代码检测装置,包括:
反编译模块,用于反编译获取待检测安卓应用程序包APK的源码;
分片模块,用于对所述源码进行分片处理,得到多个代码段;
第一获取模块,用于获取所述多个代码段各自对应的权重值;
计算模块,用于基于所述权重值计算每个代码段的模糊哈希值;
第二获取模块,用于将所述模糊哈希值与恶意代码指纹库比对,获得所述待检测APK的相似度;
输出模块,用于基于所述相似度输出所述待检测APK是否为恶意代码的检测结果信息。
根据本公开实施例的第三方面,提供了一种电子设备,包括:处理器;以及存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时实现上述任意一项所述的恶意代码检测方法。
根据本公开实施例的第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现根据上述任意一项所述的恶意代码检测方法。
本公开的示例实施例中的恶意代码检测方法,通过反编译获取待检测APK(Android application package,安卓应用程序包)的源码,接着对该源码进行分片处理,得到多个代码段,获取该多个代码段各自对应的权重值,然后基于该权重值计算每个代码段的模糊哈希值,并获取模糊哈希值与恶意代码指纹库的相似度,基于该相似度输出待检测APK是否为恶意代码的检测结果信息,实现了恶意代码的检测。一方面,变种恶意代码应用的变种通常仅发生在某个代码或代码段中,在整个变种恶意代码应用中所占的比例非常小,这样,通过将待检测APK反编译的源码分片处理为多个代码段,利用代码段的模糊哈希值比对恶意代码指纹库,仍能匹配出除变种代码段以外的全部恶意代码段,获得待检测APK相对于恶意代码指纹库的相似度,从而能够有效地检测出变种恶意代码。另一方面,通过为分片处理得到的每个代码段设置权重值,可以突出重要代码在相似度计算中的权重,减少非主要代码对相似度计算的影响。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1示意性示出了根据本公开的一些实施例的恶意代码检测方法流程的示意图;
图2示意性示出了根据本公开的一些实施例的基于权重值计算每个代码段的模糊哈希值的示意图;
图3示意性示出了根据本公开的一些实施例的恶意代码检测装置的示意图;
图4示意性示出了根据本公开的一些实施例的电子设备的计算机系统的结构示意图;
图5示意性示出了根据本公开的一些实施例的计算机可读存储介质的示意图。
在附图中,相同或对应的标号表示相同或对应的部分。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本公开的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。
此外,附图仅为示意性图解,并非一定是按比例绘制。附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
安卓恶意代码的检测可以采用哈希值匹配的方法实现,将待检测应用与恶意代码样本进行哈希值匹配,若完全一样,则可确定待检测应用为恶意应用。这种方法可以准确判断出恶意代码应用,但对于变种恶意应用,甚至是仅改变了一个字节的非主要代码,也会使恶意代码的检测失效,影响系统安全。传统的模糊哈希方法虽然能在一定程度上解决这个问题,但对于变化稍大的待检测应用,例如待检测应用的大小变化较大或者无关代码变动过多的情况,也不能完全准确地检测出恶意代码。
根据本公开的恶意代码检测方法,可以通过反编译获得待检测对象的源码,然后将该源码分片处理为多个代码段,并未每个代码段设置权重值,基于权重值计算各代码段的模糊哈希值,然后将该模糊哈希值与恶意代码指纹库进行比对,获得相似度,基于该相似度输出该待检测对象是否为恶意代码的检测结果信息,能够实现变种恶意代码的识别。
在本示例实施例中,首先提供了一种恶意代码检测方法,该恶意代码检测方法可以应用于终端设备,例如手机、电脑等电子设备。图1示意性示出了根据本公开的一些实施例的恶意代码检测方法流程的示意图。参考图1所示,该恶意代码检测方法可以包括以下步骤:
步骤S110,反编译获取待检测安卓应用程序包APK的源码;
步骤S120,对源码进行分片处理,得到多个代码段;
步骤S130,获取多个代码段各自对应的权重值;
步骤S140,基于权重值计算每个代码段的模糊哈希值;
步骤S150,获取模糊哈希值与恶意代码指纹库的相似度;
步骤S160,基于相似度输出待检测APK是否为恶意代码的检测结果信息。
根据本示例实施例中的恶意代码检测方法,一方面,变种恶意代码应用的变种通常仅发生在某个代码或代码段中,在整个变种恶意代码应用中所占的比例非常小,这样,通过将待检测APK反编译的源码分片处理为多个代码段,利用代码段的模糊哈希值比对恶意代码指纹库,仍能匹配出除变种代码段以外的全部恶意代码段,获得待检测APK相对于恶意代码指纹库的相似度,从而能够有效地检测出变种恶意代码,提高了安卓操作系统的安全性。另一方面,通过为分片处理得到的每个代码段设置权重值,可以突出重要代码在相似度计算中的权重,减少非主要代码对相似度计算的影响。
下面,将对本示例实施例中的恶意代码检测方法进行进一步的说明。
在步骤S110中,反编译获取待检测APK的源码。
示例性的,可以对待检测APK进行反编译,获得待检测APK的Smali源码。Smali是一种用于Android虚拟机的反汇编程序实现,可以支持注解、调试信息、行数信息等特性。
在步骤S120中,对源码进行分片处理,得到多个代码段。
通过反编译获得待检测APK的源码之后,可以通过分片处理将该源码划分为多个代码段。例如,反编译获得的源码可以是Smali源码,Smali中的方法可以以.method进行描述,描述完成后可以用.end标记完成,则可以按照起始标记为.method且结尾标记为.end对Smali源码进行代码段划分。
一方面,通过选择反编译后的Smali代码作为分片处理对象,可以使其在变量名以及系统函数或权限函数的调用上不会受混淆影响。另一方面,按照起始标记为.method且结尾标记为.end对Smali源码进行代码段划分,将划分的代码段作为恶意代码检测的对象,能够有效避免如注解.annotation等无关字段对计算结果的影响。
在步骤S130中,获取多个代码段各自对应的权重值。
示例性的,可以为每个代码段设置对应的权重值,以表示每个代码段在整个源码中所占的比重。对于安卓恶意代码应用,其主要通过调用系统调用函数或调用权限进行使用,系统调用函数比如可以包括通讯录、电话等。因此,可以对代码段中包含系统调用函数或权限的代码段设置更高的权重值。
一种示例实施例中,获取多个代码段各自对应的权重值可以包括:获取多个代码段中包含系统调用函数或权限的代码段各自对应的第一权重值;获取多个代码段中不包含系统调用函数和权限的代码段各自对应的第二权重值,其中的第二权重值小于第一权重值。
例如,可以将不包含系统调用函数和权限的代码段各自对应的第二权限值默认设为1,同时利用如下公式(1)所示的第一权重值公式计算多个代码段中包含系统调用函数或权限的代码段各自对应的第一权重值。第一权重值公式为:
Figure BDA0003370635080000071
其中,W为计算出的第一权重值,code为代码段中流程代码的行数,other为该代码段中非流程代码的行数。
这样,可以为包含系统调用函数或权限的代码段设置出高于其他代码段的权重值,突出了包含系统调用函数或权限的代码段在相似度计算中的权重,减少了非主要代码对相似度计算的影响。
在步骤S140中,基于权重值计算每个代码段的模糊哈希值。
每个代码段都可以设置各自对应的权重值。对于任一代码段,可以利用其权重值计算该代码段的模糊哈希值。
参照图2所示,示意性示出了根据本公开示例实施例的一种基于权重值计算每个代码段的模糊哈希值的方法的流程图,如图2所示,基于权重值计算每个代码段的模糊哈希值的方法可以包括如下的步骤S210~步骤S230:
步骤S210中,将每个代码段按行进行分片,得到多个行分片代码;
步骤S220中,计算每个行分片代码的定长哈希值;
步骤S230中,对每个行分片代码的定长哈希值添加该行分片代码所在代码段的权重值后按序拼接,得到每个代码段的模糊哈希值。
例如,代码段1包含三行代码,其权重值为P1,可以按行将该代码段划分为行分片代码1、行分片代码2和行分片代码3三个行分片代码;代码段2包含两行代码,其权重值为P2,可以按行将该代码段划分为行分片代码4和行分片代码5两个行分片代码。则,代码段1的模糊哈希值可以通过如下的过程得到:将行分片代码1、行分片代码2和行分片代码3的定长哈希值分别添加权重值P1,然后将添加P1的行分片代码1、添加P1的行分片代码2和添加P1的行分片代码3按照划分前代码的顺序进行拼接,即按照“行分片代码1→行分片代码2→行分片代码3”的顺序拼接。代码段2的模糊哈希值可以通过如下过程得到:将行分片代码4和行分片代码5的定长哈希值分别添加权重值P2,然后将添加P2的行分片代码4和添加P2的行分片代码5按照“行分片代码4→行分片代码5”的顺序拼接。
在步骤S150中,将模糊哈希值与恶意代码指纹库比对,获得待检测APK的相似度。
得到每个代码段的模糊哈希值之后,可以将这些模糊哈希值与预先存储的恶意代码指纹库进行比对,得到待检测APK相对于恶意代码指纹库的相似度,该恶意代码指纹库中可以存储恶意代码样本,比如可以以代码段的方式存储。
一种示例实施例中,可以将模糊哈希值与恶意代码指纹库进行比对,根据相似度计算公式计算得到待检测APK的相似度。其中,相似度计算公式可以表示为如下的公式(2):
Figure BDA0003370635080000091
其中,S为计算出的相似度,N为对步骤S110获得的源码进行分片处理所得到的代码段的段数,Di表征N个代码段中第i个代码段的模糊哈希值与恶意代码指纹库比对时的差异程度,Wi为该N个代码段中第i个代码段的权重值,max(Wi)为该N个代码段所对应权重值中的最大权重值,max(L1,L2)为模糊哈希值和恶意代码指纹库相比字符串长度最长的长度值。
编辑距离是针对两个字符串(例如英文字符)的差异程度的量化量测,量测方式是看至少需要多少次的处理才能将一个字符串变成另一个字符串。根据编辑距离的这种测量原理,一种示例实施例中,可以采用编辑距离表征代码段的模糊哈希值与恶意代码指纹库比对时的差异程度,即就是,Di可以是编辑距离。
在步骤S160中,基于相似度输出待检测APK是否为恶意代码的检测结果信息。
得到待检测APK的相似度之后,可以根据相似度确定该代码段是否为恶意代码。
一种示例实施例中,可以将获得的相似度与设定阈值进行比较,响应于相似度大于设定阈值,输出待检测APK为恶意代码的提示信息,比如可以显示出提示信息“APK是恶意代码应用”、输出告警提示音等;响应于相似度小于设定阈值,输出待检测APK为安全代码的提示信息,比如输出提示信息“APK安全”。示例性的,提示信息还可以是以图标的状态变化来提示待检测APK是否为恶意代码,比如图标为绿色时代表待检测APK安全,为红色时代表APK是恶意代码。需要说明的是,这里仅为举例说明,并不用于限定本公开,提示信息的方式、提示信息的内容、图标状态的选择等可以根据实际需要进行适应性选择。
一种示例实施例中,也可以将各代码段的相似度进行输出,直观地获得待检测APK的安全程度。
本示例实施例提供的恶意代码检测方法,可以选择反编译后的Smali代码作为分片对象,使其在变量名以及系统调用函数或权限的调用上不会受混淆影响;在代码段划分时可以主要考虑将.method代码段作为计算哈希的对象,避免了.annotation等无关字段对计算结果的影响;由于安卓恶意代码应用主要通过调用通讯录、电话等系统调用函数或调用权限进行使用,通过对包含系统函数调用或权限的代码段进行加权,可以有效减少恶意代码由于大量修改无关代码部分导致与恶意代码指纹库不匹配的情况;而且,加权算法考虑了实际流程代码和变量声明等其他代码的比例,能够有效减少非主要代码对计算相似度的影响。
需要说明的是,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
此外,在本示例实施例中,还提供了一种恶意代码检测装置。参照图3所示,该恶意代码检测装置300可以包括反编译模块310、分片模块320、第一获取模块330、计算模块340、第二获取模块350和输出模块360。其中:
反编译模块310用于反编译获取待检测安卓应用程序包APK的源码;
分片模块320用于对源码进行分片处理,得到多个代码段;
第一获取模块330用于获取所述多个代码段各自对应的权重值;
计算模块340用于基于权重值计算每个代码段的模糊哈希值;
第二获取模块350用于将模糊哈希值与恶意代码指纹库比对,获得待检测APK的相似度;
输出模块360用于基于相似度输出待检测APK是否为恶意代码的检测结果信息。
在本公开的一种示例性实施例中,基于前述方案,源码可以为Smali源码;相应的,分片模块320可以具体用于按照起始标记为.method且结尾标记为.end对源码进行代码段划分。
在本公开的一种示例性实施例中,基于前述方案,计算模块340可以包括行分片子单元、计算单元和加权处理单元。其中:
行分片子单元用于将每个代码段按行进行分片,得到多个行分片代码;
计算单元用于计算每个行分片代码的定长哈希值;
加权处理单元用于对每个行分片代码的定长哈希值添加所述行分片代码所在代码段的权重值后按序拼接,得到每个代码段的模糊哈希值。
在本公开的一种示例性实施例中,基于前述方案,第一获取模块330可以包括第一获取子单元和第二获取子单元。其中,
第一获取子单元用于获取所述多个代码段中包含系统调用函数或权限的代码段各自对应的第一权重值;
第二获取子单元获取所述多个代码段中不包含系统调用函数和权限的代码段各自对应的第二权重值,该第二权重值小于第一权重值。
在本公开的一种示例性实施例中,基于前述方案,第一获取子单元可以具体用于利用第一权重值公式计算所述多个代码段中包含系统调用函数或权限的代码段各自对应的第一权重值;该第一权重值公式可以为上述的公式(1),即:
Figure BDA0003370635080000111
其中,W为计算出的第一权重值,code为代码段中流程代码的行数,other为代码段中非流程代码的行数。
在本公开的一种示例性实施例中,基于前述方案,第二获取模块350可以具体用于将计算模块340确定出的模糊哈希值与恶意代码指纹库进行比对,根据相似度计算公式计算待检测APK的相似度;该相似度计算公式可以为上述的公式(2),即:
Figure BDA0003370635080000112
其中,S为计算出的相似度,N为对源码进行分片处理所得到的代码段的段数,Di表征该N个代码段中第i个代码段的模糊哈希值与恶意代码指纹库比对时的差异程度,Wi为该N个代码段中第i个代码段的权重值,max(Wi)为N个代码段所对应权重值中的最大权重值,max(L1,L2)为模糊哈希值和恶意代码指纹库相比字符串长度最长的长度值。
在本公开的一种示例性实施例中,基于前述方案,输出模块360具体用于:响应于相似度大于设定阈值,输出待检测APK为恶意代码的提示信息;响应于相似度小于所述设定阈值,输出待检测APK为安全代码的提示信息。
上述中恶意代码检测装置各模块的具体细节已经在对应的恶意代码检测方法中进行了详细的描述,因此此处不再赘述。
应当注意,尽管在上文详细描述中提及了恶意代码检测装置的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,在本公开的示例性实施例中,还提供了一种能够实现上述恶意代码检测方法的电子设备。
所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施例、完全的软件实施例(包括固件、微代码等),或硬件和软件方面结合的实施例,这里可以统称为“电路”、“模块”或“系统”。
下面参照图4来描述根据本公开的这种实施例的电子设备400。图4所示的电子设备400仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图4所示,电子设备400以通用计算设备的形式表现。电子设备400的组件可以包括但不限于:上述至少一个处理单元410、上述至少一个存储单元420、连接不同系统组件(包括存储单元420和处理单元410)的总线430、显示单元440。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元410执行,使得所述处理单元410执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施例的步骤。例如,所述处理单元410可以执行如图1中所示的步骤:步骤S110,反编译获取待检测安卓应用程序包APK的源码;步骤S120,对源码进行分片处理,得到多个代码段;步骤S130,获取多个代码段各自对应的权重值;步骤S140,基于权重值计算每个代码段的模糊哈希值;步骤S150,获取模糊哈希值与恶意代码指纹库的相似度;步骤S160,基于相似度输出待检测APK是否为恶意代码的检测结果信息。
存储单元420可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)421和/或高速缓存存储单元422,还可以进一步包括只读存储单元(ROM)423。
存储单元420还可以包括具有一组(至少一个)程序模块424的程序/实用工具424,这样的程序模块425包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线430可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备400也可以与一个或多个外部设备470(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备400交互的设备通信,和/或与使得该电子设备400能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口450进行。并且,电子设备400还可以通过网络适配器460与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器460通过总线430与电子设备400的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备400使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施例的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施例中,本公开的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施例的步骤。
参考图5所示,描述了根据本公开的实施例的用于实现上述恶意代码检测方法的程序产品500,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本公开的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本公开实施例的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施例。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。

Claims (10)

1.一种恶意代码检测方法,其特征在于,包括:
反编译获取待检测安卓应用程序包APK的源码;
对所述源码进行分片处理,得到多个代码段;
获取所述多个代码段各自对应的权重值;
基于所述权重值计算每个代码段的模糊哈希值;
将所述模糊哈希值与恶意代码指纹库比对,获得所述待检测APK的相似度;
基于所述相似度输出所述待检测APK是否为恶意代码的检测结果信息。
2.根据权利要求1所述的恶意代码检测方法,其特征在于,所述源码为Smali源码;所述对所述源码进行分片处理包括:
按照起始标记为.method且结尾标记为.end对所述源码进行代码段划分。
3.根据权利要求1所述的恶意代码检测方法,其特征在于,所述基于所述权重值计算每个代码段的模糊哈希值包括:
将每个代码段按行进行分片,得到多个行分片代码;
计算每个行分片代码的定长哈希值;
对每个行分片代码的定长哈希值添加所述行分片代码所在代码段的权重值后按序拼接,得到每个代码段的模糊哈希值。
4.根据权利要求1所述的恶意代码检测方法,其特征在于,所述获取所述多个代码段各自对应的权重值包括:
获取所述多个代码段中包含系统调用函数或权限的代码段各自对应的第一权重值;
获取所述多个代码段中不包含系统调用函数和权限的代码段各自对应的第二权重值,所述第二权重值小于所述第一权重值。
5.根据权利要求4所述的恶意代码检测方法,其特征在于,所述获取所述多个代码段中包含系统调用函数或权限的代码段对应的第一权重值包括:
利用第一权重值公式计算所述多个代码段中包含系统调用函数或权限的代码段各自对应的第一权重值;所述第一权重值公式为:
Figure FDA0003370635070000021
其中,所述W为计算出的第一权重值,所述code为代码段中流程代码的行数,所述other为代码段中非流程代码的行数。
6.根据权利要求1所述的恶意代码检测方法,其特征在于,所述将所述模糊哈希值与恶意代码指纹库比对,获得所述待检测APK的相似度,包括:
将所述模糊哈希值与恶意代码指纹库进行比对,根据相似度计算公式计算所述待检测APK的相似度;所述相似度计算公式为:
Figure FDA0003370635070000022
其中,所述S为相似度,所述N为对所述源码进行分片处理所得到的代码段的段数,所述Di表征所述N个代码段中第i个代码段的模糊哈希值与恶意代码指纹库比对时的差异程度,Wi为所述N个代码段中第i个代码段的权重值,max(Wi)为所述N个代码段所对应权重值中的最大权重值,max(L1,L2)为所述模糊哈希值和所述恶意代码指纹库相比字符串长度最长的长度值。
7.根据权利要求1所述的恶意代码检测方法,其特征在于,所述基于所述相似度输出所述待检测APK是否为恶意代码的检测结果信息包括:
响应于所述相似度大于设定阈值,输出所述待检测APK为恶意代码的提示信息;
响应于所述相似度小于所述设定阈值,输出所述待检测APK为安全代码的提示信息。
8.一种恶意代码检测装置,其特征在于,包括:
反编译模块,用于反编译获取待检测安卓应用程序包APK的源码;
分片模块,用于对所述源码进行分片处理,得到多个代码段;
第一获取模块,用于获取所述多个代码段各自对应的权重值;
计算模块,用于基于所述权重值计算每个代码段的模糊哈希值;
第二获取模块,用于将所述模糊哈希值与恶意代码指纹库比对,获得所述待检测APK的相似度;
输出模块,用于基于所述相似度输出所述待检测APK是否为恶意代码的检测结果信息。
9.一种电子设备,包括:
处理器;以及
存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时实现如权利要求1至7中任一项所述的恶意代码检测方法。
10.一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的恶意代码检测方法。
CN202111396891.3A 2021-11-23 2021-11-23 恶意代码检测方法及装置、电子设备、存储介质 Pending CN114154153A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111396891.3A CN114154153A (zh) 2021-11-23 2021-11-23 恶意代码检测方法及装置、电子设备、存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111396891.3A CN114154153A (zh) 2021-11-23 2021-11-23 恶意代码检测方法及装置、电子设备、存储介质

Publications (1)

Publication Number Publication Date
CN114154153A true CN114154153A (zh) 2022-03-08

Family

ID=80457063

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111396891.3A Pending CN114154153A (zh) 2021-11-23 2021-11-23 恶意代码检测方法及装置、电子设备、存储介质

Country Status (1)

Country Link
CN (1) CN114154153A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114881018A (zh) * 2022-05-06 2022-08-09 安天科技集团股份有限公司 一种文件处理方法、装置、电子设备及存储介质
CN116522116A (zh) * 2023-05-09 2023-08-01 吴薇 Pe文件的分类特征的生成方法及电子设备、存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114881018A (zh) * 2022-05-06 2022-08-09 安天科技集团股份有限公司 一种文件处理方法、装置、电子设备及存储介质
CN116522116A (zh) * 2023-05-09 2023-08-01 吴薇 Pe文件的分类特征的生成方法及电子设备、存储介质

Similar Documents

Publication Publication Date Title
US8621626B2 (en) Detection of code execution exploits
US20170083495A1 (en) Method for Modifying Webpage and Apparatus for Modifying Webpage
WO2021135919A1 (zh) 基于机器学习的sql语句安全检测方法、装置、设备及介质
CN104115117A (zh) 用于安全性测试的单元测试的自动合成
CN114154153A (zh) 恶意代码检测方法及装置、电子设备、存储介质
CN110532165B (zh) 应用程序安装包特性检测方法、装置、设备及存储介质
JP6777612B2 (ja) コンピュータシステムにおけるデータ損失を防止するためのシステム及び方法
CN109739582B (zh) 函数调用方法、装置、电子设备和计算机可读存储介质
CN115562992A (zh) 一种文件检测方法、装置、电子设备及存储介质
US20230017807A1 (en) Data processing method for coping with ransomware, program for executing the method, and computer-readable recording medium storing the program
CN110826036A (zh) 用户操作行为安全性的识别方法、装置和电子设备
CN115766184A (zh) 一种网页数据处理方法、装置、电子设备及存储介质
CN110837635A (zh) 一种设备验证的方法、装置、设备及存储介质
CN114205156A (zh) 面向切面技术的报文检测方法、装置、电子设备及介质
JP6018344B2 (ja) 動的読み込みコード解析装置、動的読み込みコード解析方法及び動的読み込みコード解析プログラム
CN114969759B (zh) 工业机器人系统的资产安全评估方法、装置、终端及介质
CN107168776B (zh) 一种事件统计方法、装置、设备及存储介质
CN109522174A (zh) 控制adb使能的方法、装置、终端及存储介质
CN110245308B (zh) 图像提取方法、装置及终端设备
CN113849813A (zh) 数据检测方法、装置、电子设备及存储介质
CN109218284B (zh) Xss漏洞检测方法及装置、计算机设备及可读介质
CN109241742B (zh) 一种恶意程序的识别方法及电子设备
CN112887328A (zh) 一种样本检测方法、装置、设备及计算机可读存储介质
US20200117802A1 (en) Systems, methods, and media for identifying and responding to malicious files having similar features
CN114238976B (zh) 文件的检测方法、装置、可读介质和电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination