TWI461952B - 惡意程式偵測方法與系統 - Google Patents
惡意程式偵測方法與系統 Download PDFInfo
- Publication number
- TWI461952B TWI461952B TW101150253A TW101150253A TWI461952B TW I461952 B TWI461952 B TW I461952B TW 101150253 A TW101150253 A TW 101150253A TW 101150253 A TW101150253 A TW 101150253A TW I461952 B TWI461952 B TW I461952B
- Authority
- TW
- Taiwan
- Prior art keywords
- application
- malicious
- group
- static behavior
- application installation
- Prior art date
Links
- 238000000034 method Methods 0.000 title description 5
- 238000009434 installation Methods 0.000 claims description 104
- 238000012549 training Methods 0.000 claims description 87
- 230000003068 static effect Effects 0.000 claims description 68
- 238000001514 detection method Methods 0.000 claims description 59
- 238000000605 extraction Methods 0.000 claims description 13
- 238000004422 calculation algorithm Methods 0.000 claims description 11
- 238000011156 evaluation Methods 0.000 claims description 7
- 230000002776 aggregation Effects 0.000 claims description 5
- 238000004220 aggregation Methods 0.000 claims description 5
- 230000003542 behavioural effect Effects 0.000 claims description 5
- 238000007635 classification algorithm Methods 0.000 claims description 5
- 238000000354 decomposition reaction Methods 0.000 claims description 3
- 230000003595 spectral effect Effects 0.000 claims description 2
- 230000006399 behavior Effects 0.000 description 32
- 241000700605 Viruses Species 0.000 description 4
- 239000000284 extract Substances 0.000 description 4
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000001228 spectrum Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本發明是有關於一種應用程式的檢測方法,且特別是有關於一種檢測安裝於行動電子裝置之惡意應用程式的方法與系統。
隨著智慧型手機與平板電腦的興起,現代人的生活也與這類行動電子裝置日愈緊密結合。而智慧型手機與平板電腦的普及化更帶動了應用程式(Application)產業的蓬勃發展。
以基於安卓(Android)平台開發的應用程式為例,由於近年來Android應用程式逆向工程技術的成熟,許多有心人士會將Android惡意應用程式重新包裝後散播於應用程式市場,基此讓一般使用者容易在無意間下載了包括惡意程式碼或病毒的應用程式,造成私人資訊被任意竊取等風險。然而,若使用傳統偵測惡意應用程式的方法,多半會因為必須依賴已知的病毒碼或程式行為而無法偵測新型變種病毒,且由於上述被重新包裝後的惡意應用程式與原先正常的應用程式十分相似,差別僅在於部分被注入的惡意元件,而這些被注入之惡意元件多半在背景運作以躲避偵測,因此也不易有效偵測。基此,實有必要研發一套能有效針對惡意應用程式進行偵測及示警的機制。
有鑑於此,本發明提供一種惡意程式偵測方法與系統,能快速且有效地識別可安裝於行動電子裝置的應用程式是否為惡意應用程式。
本發明提出一種惡意程式偵測方法,此方法包括蒐集多個惡意訓練應用程式安裝檔及多個正常訓練應用程式安裝檔。分別自各惡意訓練應用程式安裝檔及各正常訓練應用程式安裝檔取得資訊設定檔(Manifest file)及反編譯程式碼,並從各資訊設定檔及反編譯程式碼中擷取出靜態行為特徵。利用群聚演算法從惡意訓練應用程式安裝檔中產生至少一惡意應用程式群組。此外,依照應用程式市場類別規則,將正常訓練應用程式安裝檔分群為至少一正常應用程式群組。根據各惡意應用程式群組所包括之惡意訓練應用程式安裝檔的靜態行為特徵及各正常應用程式群組所包括之正常訓練應用程式安裝檔的靜態行為特徵,產生分別代表各惡意應用程式群組與正常應用程式群組的應用程式偵測模型。當接收到一待測應用程式安裝檔時,自待測應用程式安裝檔取得待測資訊設定檔及反編譯程式碼,並從待測資訊設定檔及反編譯程式碼中擷取出待測靜態行為特徵,再利用分類演算法、上述待測靜態行為特徵及各惡意應用程式群組與正常應用程式群組的應用程式偵測模型,判斷待測應用程式安裝檔是否屬於其中一個惡意應用程式群組。若是,則產生警告訊息。
從另一觀點來看,本發明提出一種惡意程式偵測系
統,包括特徵擷取單元、群聚單元以及判別單元。其中,特徵擷取單元用以接收多個惡意訓練應用程式安裝檔及多個正常訓練應用程式安裝檔,並分別自各惡意訓練應用程式安裝檔及各正常訓練應用程式安裝檔取得資訊設定檔及反編譯程式碼,且從各資訊設定檔及反編譯程式碼擷取出靜態行為特徵。群聚單元耦接特徵擷取單元,以利用群聚演算法從惡意訓練應用程式安裝檔中產生至少一惡意應用程式群組;此外,依照應用程式市場類別規則,將正常訓練應用程式安裝檔分群為至少一正常應用程式群組。根據各惡意應用程式群組所包括之惡意訓練應用程式安裝檔的靜態行為特徵及各正常應用程式群組所包括之正常訓練應用程式安裝檔的靜態行為特徵,產生分別代表各惡意應用程式群組與正常應用程式群組的應用程式偵測模型。判別單元耦接特徵擷取單元與群聚單元,以在接收待測應用程式安裝檔時,控制特徵擷取單元自待測應用程式安裝檔取得待測資訊設定檔及反編譯程式碼,並從待測資訊設定檔及反編譯程式碼擷取出待測靜態行為特徵。判別單元利用分類演算法、待測靜態行為特徵及各惡意應用程式群組與正常應用程式群組的應用程式偵測模型,判斷待測應用程式安裝檔是否屬於其中一個惡意應用程式群組,並且在判定待測應用程式安裝檔屬於其中一個惡意應用程式群組時,產生警告訊息。
基於上述,本發明是利用應用程式之資訊設定檔及反編譯程式碼所包括的各種靜態行為特徵來建立惡意與正常
應用程式群組,據此針對待測的應用程式,亦可透過解析其安裝檔中的資訊設定檔及反編譯程式碼,以利用其靜態行為特徵來識別是否為惡意應用程式。據此,在不需要應用程式原始碼的前提下,能產生快速且準確的偵測結果。
為讓本發明之上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
圖1是依照本發明之一實施例所繪示之惡意程式偵測系統的方塊圖。請參閱圖1,惡意程式偵測系統100包括特徵擷取單元110、群聚單元120,以及判別單元130。群聚單元120則包括權重決定單元121、群數評估單元123,以及模型產生單元125。其中,特徵擷取單元110耦接至群聚單元120,而判別單元130分別耦接至特徵擷取單元110與群聚單元120。
惡意程式偵測系統100主要是透過靜態分析來辨別應用程式是否為含有病毒、惡意程式碼的應用程式。特別是,惡意程式偵測系統100能有效偵測適於安裝在行動電子裝置之應用程式的安全性,以達到行動電子裝置之安全防護功效。其中,行動電子裝置可為智慧型手機、個人數位助理、或平板電腦等,而應用程式例如是基於安卓(Android)平台的應用程式,但本發明並不以此為限。
在本實施例中,惡意程式偵測系統100的運作流程主要包含兩個階段。請參閱圖2,在步驟S210所示之訓練階
段中,透過特徵擷取單元110與群聚單元120的運作,惡意程式偵測系統100會根據蒐集而來的數個正常訓練應用程式安裝檔及數個惡意訓練應用程式安裝檔建立至少一正常及惡意應用程式偵測模型,據以讓判別單元130在步驟S220所示之檢測階段時,利用上述應用程式偵測模型分析待測的應用程式是否為惡意應用程式。
值得一提的是,本實施例之特徵擷取單元110係從各訓練應用程式安裝檔的資訊設定檔(Manifest file)及反編譯程式碼中擷取訓練應用程式的靜態行為特徵。而群聚單元120將根據上述靜態行為特徵產生用於分析應用程式是否正常的應用程式偵測模型。也就是說,本實施例之惡意程式偵測系統100主要係利用訓練應用程式安裝檔之資訊設定檔及反編譯程式碼所提供的資訊,以產生用於檢測階段的惡意與正常應用程式偵測模型。
在另一實施例中,惡意程式偵測系統100還包括網路單元(未繪示)。據此,使用者可在終端裝置(例如,智慧型手機)透過網路連接惡意程式偵測系統100,以對特定應用程式進行檢測。
上述各個單元可由硬體、軟體,或硬體及軟體的組合來實作。舉例而言,硬體可以是中央處理單元(Central Processing Unit,CPU)、其他可程式化之一般用途或特殊用途的微處理器(Microprocessor)、數位訊號處理器(Digital Signal Processor,DSP)、可程式化控制器、特殊應用積體電路(Application Specific Integrated Circuit,
ASIC)、或任何具備運算及處理能力的裝置或上述裝置的組合。軟體則包括作業系統、應用程式或驅動程式。
以下將以另一實施例來說明惡意程式偵測系統100之各單元的詳細運作方式。圖3是依照本發明之一實施例所繪示之惡意程式偵測方法的流程圖。請同時參閱圖1與圖3。
在步驟S310中,惡意程式偵測系統100蒐集多個訓練應用程式安裝檔。上述訓練應用程式安裝檔包括數種惡意應用程式的安裝檔(簡稱為惡意訓練應用程式安裝檔)及數種正常應用程式的安裝檔(簡稱為正常訓練應用程式安裝檔)。
接著如步驟S320所示,特徵擷取單元110接收蒐集到的惡意訓練應用程式安裝檔與正常訓練應用程式安裝檔,並解除各惡意及正常訓練應用程式安裝檔的封裝,以分別自各惡意訓練應用程式安裝檔及各正常訓練應用程式安裝檔取得資訊設定檔及反編譯程式碼,並從各資訊設定檔及反編譯程式碼中擷取出各惡意訓練應用程式安裝檔及各正常訓練應用程式安裝檔所對應之應用程式的靜態行為特徵。其中,靜態行為特徵至少包括使用權限(Permission)、元件(Component)及所屬元件類型、意圖(Intent)、應用程式介面呼叫(API call)其中之一及其組合者。而所屬元件類型例如是活動(Activity)、服務(Service)、接收器(Receiver)、提供器(Provider)等。
在步驟S330中,群聚單元120利用群聚演算法從所
有惡意訓練應用程式安裝檔中產生至少一惡意應用程式群組,並依照應用程式市場類別規則將所有正常訓練應用程式安裝檔分群為至少一正常應用程式群組。並且在步驟S340中,群聚單元120根據各惡意應用程式群組所包括之惡意訓練應用程式安裝檔的靜態行為特徵及各正常應用程式群組所包括之正常訓練應用程式安裝檔的靜態行為特徵,產生分別代表各惡意應用程式群組與各正常應用程式群組的應用程式偵測模型。詳言之,群聚單元120係將特徵擷取單元110所萃取出的所有靜態行為特徵以向量形式表示,並套用群聚演算法產生數群具有相似之靜態行為特徵的惡意應用程式群組;此外,群聚單元120依照應用程式市場類別規則來產生數群具有相似之靜態行為特徵的正常應用程式群組。而各惡意及正常應用程式群組均對應特定的應用程式偵測模型(分別簡稱為惡意應用程式偵測模型及正常應用程式偵測模型)。值得一提的是,群聚單元120可根據蒐集之訓練應用程式安裝檔的特性不同而選用適當的群聚演算法。
以下特別以圖4來說明群聚單元120的詳細運作流程。請參閱圖4。
首先如步驟S410所示,權重決定單元121評估各靜態行為特徵於惡意訓練應用程式安裝檔的權重。舉例來說,針對每一惡意訓練應用程式安裝檔,權重決定單元121將統計每一靜態行為特徵在每一惡意訓練應用程式安裝檔中的出現次數。而針對各靜態行為特徵,權重決定單元121
統計具備此靜態行為特徵的惡意訓練應用程式數量。並且,權重決定單元121利用詞頻-逆向文件頻率(Term Frequency-Inverse Document Frequency,TF-IDF)公式計算各靜態行為特徵於各惡意訓練應用程式安裝檔的權重。進一步來說,權重的高低可反映各靜態行為特徵的重要性。
接著在步驟S420中,群數評估單元123將各惡意訓練應用程式安裝檔之靜態行為特徵表示為向量形式並產生聚類群數。詳言之,群數評估單元123利用奇異值分解(Singular Value Decomposition,SVD)公式計算特徵值(eigenvalue),並取得前N個涵蓋一特定百分比的頻譜能量(spectral energy)以代表聚類群數。其中,群數評估單元123是由大到小計算得到特徵值及其涵蓋頻譜能量,並優先取得前N個頻譜能量來使用。須注意的是,N為正整數但本發明並不將N限定為一個固定常數,N的大小是取決於特定百分比的數值。舉例來說,特定百分比例如為95%,但本發明並不以此為限。
並且如步驟S430所示,模型產生單元125將各惡意訓練應用程式安裝檔之靜態行為特徵的權重及向量形式套用至群聚演算法,藉以產生至少一惡意應用程式群組。其中,屬於同一惡意應用程式群組的所有訓練應用程式安裝檔具有相似之靜態行為特徵。而針對正常應用程式群組的訓練應用程式安裝檔,模型產生單元125則依照市場應用程式類別規則,將正常訓練應用程式安裝檔分群為至少一正常應用程式群組。
圖3之步驟S310至步驟S340即為惡意程式偵測系統100的訓練階段。日後當惡意程式偵測系統100進入檢測階段,亦即,使用者欲對一待測應用程式安裝檔的安全性進行檢測之際,使用者可透過網路將待測應用程式安裝檔上傳至惡意程式偵測系統100。而惡意程式偵測系統100將利用訓練階段所產生的正常及惡意應用程式偵測模型來檢測待測應用程式安裝檔的安全性。
詳言之,請回到圖3之步驟S350,判別單元130接收目前要進行檢測的待測應用程式安裝檔,並在步驟S360中,判別單元130控制特徵擷取單元110自待測應用程式安裝檔取得待測資訊設定檔及反編譯程式碼,並從待測資訊設定檔及反編譯程式碼擷取出待測靜態行為特徵。待測靜態行為特徵至少包括使用權限(Permission)、元件(Component)及所屬元件類型、意圖(Intent)、應用程式介面呼叫(API call)其中之一及其組合者。而所屬元件類型例如是活動(Activity)、服務(Service)、接收器(Receiver)、提供器(Provider)等。
接著在步驟S370中,判別單元130利用分類演算法、特徵擷取單元110萃取出的待測靜態行為特徵,以及群聚單元120產生的各種惡意應用程式偵測模型與正常應用程式偵測模型,來判斷待測應用程式安裝檔是否屬於其中一個惡意應用程式群組。
若待測應用程式安裝檔並不屬於任何惡意應用程式群組,則如步驟S380所示,判別單元130判定待測應用
程式安裝檔所對應的應用程式為正常應用程式。
然而,倘若待測應用程式安裝檔屬於某一惡意應用程式群組,則在步驟S390中,判別單元130判定待測應用程式安裝檔所對應的應用程式為惡意應用程式,並產生警告訊息。
如圖3所示,由於惡意程式偵測系統100是基於取自應用程式安裝檔的資訊設定檔及反編譯程式碼來建立用於檢測的惡意與正常應用程式偵測模型。因此當需對某一待測應用程式進行檢測時,惡意程式偵測系統100僅需要此待測應用程式的安裝檔而不需要其完整原始碼,便可從待測應用程式安裝檔的資訊設定檔及反編譯程式碼中取得進行分析所需要的資訊。
綜上所述,本發明所述之惡意程式偵測方法與系統係利用應用程式安裝檔之資訊設定檔及反編譯程式碼所提供的使用權限、元件及所屬元件類型、意圖、應用程式介面呼叫等靜態行為特徵來產生用於檢測的模型,據此在檢測應用程式的安全性時,不需要應用程式的原始碼,而僅需編譯好的安裝檔即可完成分析。此外,基於靜態分析的檢測流程不僅不會佔據過多的系統資源,同時亦能提供更有效率且具準確性的分析結果。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明之精神和範圍內,當可作些許之更動與潤飾,故本發明之保護範圍當視後附之申請專利範圍所界定者為準。
100‧‧‧惡意程式偵測系統
110‧‧‧特徵擷取單元
120‧‧‧群聚單元
121‧‧‧權重決定單元
123‧‧‧群數評估單元
125‧‧‧模型產生單元
130‧‧‧判別單元
S210~S220‧‧‧本發明之一實施例所述之惡意程式偵測系統的運作步驟
S310~S390‧‧‧本發明之一實施例所述之惡意程式偵測方法之各步驟
S410~S430‧‧‧本發明之一實施例所述之群聚單元的運作步驟
圖1是依照本發明之一實施例所繪示之惡意程式偵測系統的方塊圖。
圖2是依照本發明之一實施例所繪示之惡意程式偵測系統的運作流程圖。
圖3是依照本發明之一實施例所繪示之惡意程式偵測方法的流程圖。
圖4是依照本發明之一實施例所繪示之群聚單元的運作流程圖。
S310~S390‧‧‧本發明之一實施例所述之惡意程式偵測方法之各步驟
Claims (10)
- 一種惡意程式偵測方法,該方法包括:蒐集多個惡意訓練應用程式安裝檔及多個正常訓練應用程式安裝檔;分別自各該些惡意訓練應用程式安裝檔及各該些正常訓練應用程式安裝檔取得一資訊設定檔(manifest file)及反編譯程式碼,並從各該資訊設定檔及反編譯程式碼中擷取出一靜態行為特徵;利用一群聚演算法從該些惡意訓練應用程式安裝檔中產生至少一惡意應用程式群組,依照一應用程式市場類別規則,將該些正常訓練應用程式安裝檔分群為至少一正常應用程式群組,並根據各該至少一惡意應用程式群組所包括之惡意訓練應用程式安裝檔的該靜態行為特徵及各該至少一正常應用程式群組所包括之正常訓練應用程式安裝檔的該靜態行為特徵,產生分別代表各該至少一惡意應用程式群組的一應用程式偵測模型以及分別代表各該至少一正常應用程式群組的一應用程式偵測模型;接收一待測應用程式安裝檔;自該待測應用程式安裝檔取得一待測資訊設定檔及反編譯程式碼,並從該待測資訊設定檔及反編譯程式碼擷取出一待測靜態行為特徵;利用一分類演算法、該待測靜態行為特徵、各該至少一惡意應用程式群組的該應用程式偵測模型、及各該至少一正常應用程式群組的該應用程式偵測模型,判斷該待測 應用程式安裝檔是否屬於該至少一惡意應用程式群組的其中之一;以及若是,則產生一警告訊息。
- 如申請專利範圍第1項所述之惡意程式偵測方法,其中該靜態行為特徵至少包括一使用權限(permission)、一元件(component)及所屬元件類型、一意圖(intent)、一應用程式介面呼叫(API call)其中之一及其組合者。
- 如申請專利範圍第1項所述之惡意程式偵測方法,其中利用該群聚演算法從該些惡意訓練應用程式安裝檔中產生該至少一惡意應用程式群組,依照該應用程式市場類別規則,將該些正常訓練應用程式安裝檔分群為該至少一正常應用程式群組,並根據各該至少一惡意應用程式群組所包括之惡意訓練應用程式安裝檔的該靜態行為特徵及各該至少一正常應用程式群組所包括之正常訓練應用程式安裝檔的該靜態行為特徵,產生分別代表各該至少一惡意應用程式群組的該應用程式偵測模型以及分別代表各該至少一正常應用程式群組的該應用程式偵測模型的步驟包括:評估各該靜態行為特徵於該些惡意訓練應用程式安裝檔的一權重;將各該些惡意訓練應用程式安裝檔之該靜態行為特徵表示為一向量形式並產生一聚類群數;以及將各該些惡意訓練應用程式安裝檔之該靜態行為特 徵的該權重及該向量形式套用至該群聚演算法,藉以產生該至少一惡意應用程式群組,其中屬於同一惡意應用程式群組的所有惡意訓練應用程式安裝檔具有相似之靜態行為特徵。
- 如申請專利範圍第3項所述之惡意程式偵測方法,其中評估各該靜態行為特徵於該些惡意訓練應用程式安裝檔的該權重的步驟包括:針對各該些惡意訓練應用程式安裝檔,統計各該靜態行為特徵在該些惡意訓練應用程式安裝檔中的一出現次數;針對各該靜態行為特徵,統計具備該靜態行為特徵的一惡意訓練應用程式數量;以及利用一詞頻-逆向文件頻率(Term Frequency-Inverse Document Frequency,TF-IDF)公式計算各該靜態行為特徵於各該些惡意訓練應用程式安裝檔的該權重。
- 如申請專利範圍第3項所述之惡意程式偵測方法,其中將各該靜態行為特徵表示為該向量形式的步驟包括:利用一奇異值分解(Singular Value Decomposition,SVD)公式計算特徵值(eigenvalue);以及取得前N個涵蓋一特定百分比的頻譜能量(spectral energy)以代表該聚類群數,其中N為正整數。
- 一種惡意程式偵測系統,包括:一特徵擷取單元,接收多個惡意訓練應用程式安裝檔 及多個正常訓練應用程式安裝檔,並分別自各該些惡意訓練應用程式安裝檔及各該些正常訓練應用程式安裝檔取得一資訊設定檔及反編譯程式碼,且從各該資訊設定檔及反編譯程式碼中擷取出一靜態行為特徵;一群聚單元,耦接該特徵擷取單元,以利用一群聚演算法從該些惡意訓練應用程式安裝檔中產生至少一惡意應用程式群組。依照一應用程式市場類別規則,將該些正常訓練應用程式安裝檔分群為至少一正常應用程式群組,並根據各該至少一惡意應用程式群組所包括之惡意訓練應用程式安裝檔的該靜態行為特徵及各該至少一正常應用程式群組所包括之正常訓練應用程式安裝檔的該靜態行為特徵,產生分別代表各該至少一惡意應用程式群組的一應用程式偵測模型以及分別代表各該至少一正常應用程式群組的一應用程式偵測模型;以及一判別單元,耦接該特徵擷取單元與該群聚單元,以在接收一待測應用程式安裝檔時,控制該特徵擷取單元自該待測應用程式安裝檔取得一待測資訊設定檔及反編譯程式碼,並從該待測資訊設定檔及反編譯程式碼擷取一待測靜態行為特徵,該判別單元利用一分類演算法、該待測靜態行為特徵、各該至少一惡意應用程式群組的該應用程式偵測模型、及各該至少一正常應用程式群組的該應用程式偵測模型,判斷該待測應用程式安裝檔是否屬於該至少一惡意應用程式群組的其中之一,並且在判定該待測應用程式安裝 檔屬於該至少一惡意應用程式群組的其中之一時,產生一警告訊息。
- 如申請專利範圍第6項所述之惡意程式偵測系統,其中該靜態行為特徵至少包括一使用權限(permission)、一元件(component)及所屬元件類型、一意圖(intent)、一應用程式介面呼叫(API call)其中之一及其組合者。
- 如申請專利範圍第6項所述之惡意程式偵測系統,其中該群聚單元包括:一權重決定單元,以評估各該靜態行為特徵於該些惡意訓練應用程式安裝檔的一權重;一群數評估單元,耦接該權重決定單元,以將各該些惡意訓練應用程式安裝檔之該靜態行為特徵表示為一向量形式並產生一聚類群數;以及一模型產生單元,耦接該群數評估單元,以將各該些惡意訓練應用程式安裝檔之該靜態行為特徵的該權重及該向量形式套用至該群聚演算法,藉以產生該至少一惡意應用程式群組,其中屬於同一惡意應用程式群組的所有惡意訓練應用程式安裝檔具有相似之靜態行為特徵。
- 如申請專利範圍第8項所述之惡意程式偵測系統,其中該權重決定單元針對各該些惡意訓練應用程式安裝檔,統計各該靜態行為特徵在該些惡意訓練應用程式安裝檔中的一出現次數,並針對各該靜態行為特徵,統計具備該靜態行為特徵的一惡意訓練應用程式數量,以及利用 一詞頻-逆向文件頻率公式計算各該靜態行為特徵於各該些惡意訓練應用程式安裝檔的該權重。
- 如申請專利範圍第8項所述之惡意程式偵測系統,其中該群數評估單元利用一奇異值分解公式計算特徵值,並取得前N個涵蓋一特定百分比的頻譜能量以代表該聚類群數,其中N為正整數。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW101150253A TWI461952B (zh) | 2012-12-26 | 2012-12-26 | 惡意程式偵測方法與系統 |
| US13/888,382 US20140181973A1 (en) | 2012-12-26 | 2013-05-07 | Method and system for detecting malicious application |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW101150253A TWI461952B (zh) | 2012-12-26 | 2012-12-26 | 惡意程式偵測方法與系統 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201426381A TW201426381A (zh) | 2014-07-01 |
| TWI461952B true TWI461952B (zh) | 2014-11-21 |
Family
ID=50976385
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW101150253A TWI461952B (zh) | 2012-12-26 | 2012-12-26 | 惡意程式偵測方法與系統 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20140181973A1 (zh) |
| TW (1) | TWI461952B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI682302B (zh) * | 2017-07-05 | 2020-01-11 | 香港商阿里巴巴集團服務有限公司 | 風險地址識別方法、裝置以及電子設備 |
Families Citing this family (57)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9407443B2 (en) | 2012-06-05 | 2016-08-02 | Lookout, Inc. | Component analysis of software applications on computing devices |
| US9589129B2 (en) | 2012-06-05 | 2017-03-07 | Lookout, Inc. | Determining source of side-loaded software |
| US9292688B2 (en) | 2012-09-26 | 2016-03-22 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
| US11126720B2 (en) | 2012-09-26 | 2021-09-21 | Bluvector, Inc. | System and method for automated machine-learning, zero-day malware detection |
| US9349002B1 (en) * | 2013-05-29 | 2016-05-24 | Trend Micro Inc. | Android application classification using common functions |
| CN105431859A (zh) * | 2013-07-31 | 2016-03-23 | 惠普发展公司,有限责任合伙企业 | 指示恶意软件的信号标记 |
| KR20150020398A (ko) * | 2013-08-13 | 2015-02-26 | 삼성전자주식회사 | 애플리케이션을 통합 검색할 수 있는 전자 장치 및 방법 |
| US20150067853A1 (en) * | 2013-08-27 | 2015-03-05 | Georgia Tech Research Corporation | Systems and methods for detecting malicious mobile webpages |
| US9690936B1 (en) * | 2013-09-30 | 2017-06-27 | Fireeye, Inc. | Multistage system and method for analyzing obfuscated content for malware |
| US9237161B2 (en) * | 2013-12-16 | 2016-01-12 | Morphick, Inc. | Malware detection and identification |
| TWI528216B (zh) * | 2014-04-30 | 2016-04-01 | 財團法人資訊工業策進會 | 隨選檢測惡意程式之方法、電子裝置、及使用者介面 |
| CN105205074B (zh) * | 2014-06-25 | 2019-03-26 | 优视科技有限公司 | 文件增量升级方法及系统 |
| CN105335654B (zh) * | 2014-06-27 | 2018-12-14 | 北京金山安全软件有限公司 | 一种Android恶意程序检测和处理方法、装置及设备 |
| US9832216B2 (en) | 2014-11-21 | 2017-11-28 | Bluvector, Inc. | System and method for network data characterization |
| TWI512528B (zh) * | 2015-01-05 | 2015-12-11 | Rangecloud Information Technology Co Ltd | Dynamic detection of intelligent devices and methods of the application, and computer program products |
| KR101574652B1 (ko) * | 2015-01-14 | 2015-12-11 | 한국인터넷진흥원 | 모바일 침해사고 분석시스템 및 방법 |
| KR101589652B1 (ko) * | 2015-01-19 | 2016-01-28 | 한국인터넷진흥원 | 행위 기반 악성 코드 변종 탐지 조회 시스템 및 방법 |
| EP3289510B1 (en) | 2015-05-01 | 2020-06-17 | Lookout Inc. | Determining source of side-loaded software |
| US9578049B2 (en) | 2015-05-07 | 2017-02-21 | Qualcomm Incorporated | Methods and systems for using causal analysis for boosted decision stumps to identify and respond to non-benign behaviors |
| US10681080B1 (en) * | 2015-06-30 | 2020-06-09 | Ntt Research, Inc. | System and method for assessing android applications malware risk |
| CN104978273B (zh) * | 2015-07-09 | 2018-11-06 | 上海与德通讯技术有限公司 | 菜单名称的自动检测方法及自动检测单元 |
| KR102360178B1 (ko) | 2015-08-25 | 2022-02-08 | 삼성전자주식회사 | 애플리케이션 리스트를 제공하는 시스템 및 그 방법 |
| TWI611349B (zh) * | 2015-12-11 | 2018-01-11 | 財團法人資訊工業策進會 | 檢測系統及其方法 |
| US9916448B1 (en) * | 2016-01-21 | 2018-03-13 | Trend Micro Incorporated | Detection of malicious mobile apps |
| WO2017135249A1 (ja) * | 2016-02-05 | 2017-08-10 | 株式会社ラック | アイコン診断装置、アイコン診断方法およびプログラム |
| US10171494B2 (en) * | 2016-02-16 | 2019-01-01 | International Business Machines Corporation | Scarecrow for data security |
| WO2018053511A1 (en) | 2016-09-19 | 2018-03-22 | Ntt Innovation Institute, Inc. | Threat scoring system and method |
| CN108197462A (zh) * | 2016-12-08 | 2018-06-22 | 武汉安天信息技术有限责任公司 | 一种安卓系统下勒索应用检测系统及方法 |
| CN106777981B (zh) * | 2016-12-16 | 2020-07-14 | Tcl科技集团股份有限公司 | 一种行为数据的校验方法及装置 |
| US11757857B2 (en) | 2017-01-23 | 2023-09-12 | Ntt Research, Inc. | Digital credential issuing system and method |
| US10218697B2 (en) | 2017-06-09 | 2019-02-26 | Lookout, Inc. | Use of device risk evaluation to manage access to services |
| US11062021B2 (en) * | 2017-08-29 | 2021-07-13 | NortonLifeLock Inc. | Systems and methods for preventing malicious applications from exploiting application services |
| CN108256326A (zh) * | 2017-12-14 | 2018-07-06 | 捷开通讯(深圳)有限公司 | 一种阻止恶意代码编译的方法、存储介质及电子装置 |
| CN107895119A (zh) * | 2017-12-28 | 2018-04-10 | 北京奇虎科技有限公司 | 程序安装包检测方法、装置及电子设备 |
| CN108280350B (zh) * | 2018-02-05 | 2021-09-28 | 南京航空航天大学 | 一种面向Android的移动网络终端恶意软件多特征检测方法 |
| CN108762806A (zh) * | 2018-05-09 | 2018-11-06 | 成都市极米科技有限公司 | 一种Android系统定制包分离系统、定制升级包生成系统及其实现方法 |
| CN109120593A (zh) * | 2018-07-12 | 2019-01-01 | 南方电网科学研究院有限责任公司 | 一种移动应用安全防护系统 |
| CN110858247A (zh) * | 2018-08-23 | 2020-03-03 | 北京京东尚科信息技术有限公司 | 安卓恶意应用检测方法、系统、设备及存储介质 |
| CN109241742B (zh) * | 2018-10-23 | 2021-03-30 | 北斗智谷(北京)安全技术有限公司 | 一种恶意程序的识别方法及电子设备 |
| CN109614795B (zh) * | 2018-11-30 | 2023-04-28 | 武汉大学 | 一种事件感知的安卓恶意软件检测方法 |
| CN111262818B (zh) * | 2018-11-30 | 2023-08-15 | 三六零科技集团有限公司 | 病毒检测方法、系统、装置、设备及存储介质 |
| CN109784047B (zh) * | 2018-12-07 | 2021-03-30 | 中国人民解放军战略支援部队航天工程大学 | 基于多特征的程序检测方法 |
| KR102090423B1 (ko) | 2019-04-25 | 2020-05-04 | 숭실대학교산학협력단 | 동적 api 추출 기반의 애플리케이션 악성코드 탐지 방법, 이를 수행하기 위한 기록 매체 및 장치 |
| CN110197068B (zh) * | 2019-05-06 | 2022-07-12 | 广西大学 | 基于改进灰狼算法的Android恶意应用检测方法 |
| CN110287699B (zh) * | 2019-06-12 | 2021-02-26 | 杭州迪普科技股份有限公司 | 应用程序的特征提取方法和装置 |
| US11058953B2 (en) | 2019-07-26 | 2021-07-13 | Roblox Corporation | Detection of malicious games |
| CN110611655B (zh) * | 2019-08-15 | 2022-08-16 | 中国平安财产保险股份有限公司 | 一种黑名单筛选方法和相关产品 |
| CN111046384A (zh) * | 2019-11-07 | 2020-04-21 | 安徽新华学院 | 一种基于Metropolis算法的Android应用安全检测方法 |
| CN111400708B (zh) * | 2020-03-11 | 2023-05-05 | 重庆大学 | 用于恶意代码检测的方法及装置 |
| CN113515742A (zh) * | 2020-04-12 | 2021-10-19 | 南京理工大学 | 基于行为语义融合萃取的物联网恶意代码检测方法 |
| CN111797401B (zh) * | 2020-07-08 | 2023-12-29 | 深信服科技股份有限公司 | 一种攻击检测参数获取方法、装置、设备及可读存储介质 |
| CN111914257A (zh) * | 2020-08-04 | 2020-11-10 | 中国信息安全测评中心 | 文档检测的方法、装置、设备、及计算机存储介质 |
| CN112464232B (zh) * | 2020-11-21 | 2024-04-09 | 西北工业大学 | 一种基于混合特征组合分类的Android系统恶意软件检测方法 |
| CN112632539B (zh) * | 2020-12-28 | 2024-04-09 | 西北工业大学 | 一种Android系统恶意软件检测中动静混合特征提取方法 |
| US11968222B2 (en) | 2022-07-05 | 2024-04-23 | Palo Alto Networks (Israel Analytics) Ltd. | Supply chain attack detection |
| CN116401667B (zh) * | 2023-04-13 | 2024-04-19 | 湖南工商大学 | 基于cnn-gru的安卓恶意软件检测方法及装置 |
| CN117009967B (zh) * | 2023-07-26 | 2024-09-13 | 深圳安巽科技有限公司 | 一种恶意代码检测模型构建方法、系统及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW200917020A (en) * | 2007-10-12 | 2009-04-16 | Univ Nat Taiwan Science Tech | Malware detection system, data mining module, malware detection module, data mining method and malware detection method thereof |
| US7788724B2 (en) * | 2003-04-10 | 2010-08-31 | Symantec Corporation | System and method for detecting malicious applications |
| CN101977188A (zh) * | 2010-10-14 | 2011-02-16 | 中国科学院计算技术研究所 | 恶意程序检测系统 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040080844A (ko) * | 2003-03-14 | 2004-09-20 | 주식회사 안철수연구소 | 정적 분석을 이용한 악성 스크립트 감지 방법 |
| US8321941B2 (en) * | 2006-04-06 | 2012-11-27 | Juniper Networks, Inc. | Malware modeling detection system and method for mobile platforms |
| US8494985B1 (en) * | 2011-05-17 | 2013-07-23 | Narus, Inc. | System and method for using network application signatures based on modified term transition state machine |
| US20100058474A1 (en) * | 2008-08-29 | 2010-03-04 | Avg Technologies Cz, S.R.O. | System and method for the detection of malware |
| US8474041B2 (en) * | 2009-04-22 | 2013-06-25 | Hewlett-Packard Development Company, L.P. | Autonomous diagnosis and mitigation of network anomalies |
| US9130988B2 (en) * | 2010-12-21 | 2015-09-08 | Microsoft Technology Licensing, Llc | Scareware detection |
| US8838992B1 (en) * | 2011-04-28 | 2014-09-16 | Trend Micro Incorporated | Identification of normal scripts in computer systems |
| US8806641B1 (en) * | 2011-11-15 | 2014-08-12 | Symantec Corporation | Systems and methods for detecting malware variants |
| US8875298B2 (en) * | 2012-02-16 | 2014-10-28 | Nec Laboratories America, Inc. | Method for scalable analysis of android applications for security vulnerability |
| US8918881B2 (en) * | 2012-02-24 | 2014-12-23 | Appthority, Inc. | Off-device anti-malware protection for mobile devices |
| US8844032B2 (en) * | 2012-03-02 | 2014-09-23 | Sri International | Method and system for application-based policy monitoring and enforcement on a mobile device |
| US8756432B1 (en) * | 2012-05-22 | 2014-06-17 | Symantec Corporation | Systems and methods for detecting malicious digitally-signed applications |
| US8819772B2 (en) * | 2012-06-25 | 2014-08-26 | Appthority, Inc. | In-line filtering of insecure or unwanted mobile device software components or communications |
| US20140096246A1 (en) * | 2012-10-01 | 2014-04-03 | Google Inc. | Protecting users from undesirable content |
-
2012
- 2012-12-26 TW TW101150253A patent/TWI461952B/zh not_active IP Right Cessation
-
2013
- 2013-05-07 US US13/888,382 patent/US20140181973A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7788724B2 (en) * | 2003-04-10 | 2010-08-31 | Symantec Corporation | System and method for detecting malicious applications |
| TW200917020A (en) * | 2007-10-12 | 2009-04-16 | Univ Nat Taiwan Science Tech | Malware detection system, data mining module, malware detection module, data mining method and malware detection method thereof |
| CN101977188A (zh) * | 2010-10-14 | 2011-02-16 | 中国科学院计算技术研究所 | 恶意程序检测系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI682302B (zh) * | 2017-07-05 | 2020-01-11 | 香港商阿里巴巴集團服務有限公司 | 風險地址識別方法、裝置以及電子設備 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201426381A (zh) | 2014-07-01 |
| US20140181973A1 (en) | 2014-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI461952B (zh) | 惡意程式偵測方法與系統 | |
| Wu et al. | Droidmat: Android malware detection through manifest and api calls tracing | |
| CN103839005B (zh) | 移动操作系统的恶意软件检测方法和恶意软件检测系统 | |
| US10915659B2 (en) | Privacy detection of a mobile application program | |
| CN104376262B (zh) | 一种基于Dalvik指令和权限组合的安卓恶意软件检测方法 | |
| KR102057565B1 (ko) | 멀웨어를 검출하기 위한 컴퓨팅 디바이스 | |
| KR101720686B1 (ko) | 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법 | |
| CN108280350B (zh) | 一种面向Android的移动网络终端恶意软件多特征检测方法 | |
| CN106682505A (zh) | 一种病毒检测方法、终端、服务器及系统 | |
| WO2015056885A1 (ko) | 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법 | |
| CN106599688B (zh) | 一种基于应用类别的安卓恶意软件检测方法 | |
| JP6711000B2 (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
| WO2013164821A2 (en) | Malicious threat detection, malicious threat prevention, and a learning systems and methods for malicious threat detection and prevention | |
| CN103473346A (zh) | 一种基于应用程序编程接口的安卓重打包应用检测方法 | |
| CN106709336A (zh) | 识别恶意软件的方法和装置 | |
| KR101803888B1 (ko) | 유사도 기반 악성 어플리케이션 탐지 방법 및 장치 | |
| KR101256468B1 (ko) | 악성 파일 진단 장치 및 방법 | |
| Faruki et al. | Droidolytics: robust feature signature for repackaged android apps on official and third party android markets | |
| Li et al. | Novel Android Malware Detection Method Based on Multi-dimensional Hybrid Features Extraction and Analysis. | |
| CN106709350B (zh) | 一种病毒检测方法及装置 | |
| WO2017190617A1 (zh) | 广告检测方法及广告检测装置、存储介质 | |
| Moghaddam et al. | Sensitivity analysis of static features for Android malware detection | |
| CN104424435B (zh) | 一种获取病毒特征码的方法及装置 | |
| KR101386605B1 (ko) | 권한정보 관리를 통한 악성코드 탐지방법 | |
| Pang et al. | Android malware detection based on naive bayes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |