WO2018023705A1

WO2018023705A1 - 一种应用程序编程接口异常使用的检测方法和装置

Info

Publication number: WO2018023705A1
Application number: PCT/CN2016/093544
Authority: WO
Inventors: 谭喆; 柏桦
Original assignee: 深圳中兴力维技术有限公司
Priority date: 2016-08-05
Filing date: 2016-08-05
Publication date: 2018-02-08

Abstract

一种应用程序编程接口异常使用的检测方法和装置，所述方法包括步骤：S1：挂钩应用程序编程接口，并获取应用程序编程接口信息；S2：接收获取的应用程序编程接口信息并进行序列化处理，生成序列数据；S3：对生成的序列数据进行统计，并生成统计序列；S4：确认统计序列的生成数量是否达到预设的生成数量，若达到预设的生成数量，则生成序列模式的序列数据统计表，并转到下一个步骤S5；否则转到步骤S2；S5：对序列模式的序列数据统计表进行分析，并判断应用程序编程接口的行为是否异常。该方法可以依照用户感兴趣的应用程序编程接口信息进行统计和分析，提高了应用程序编程接口异常使用检测的准确度。

Description

一种应用程序编程接口异常使用的检测方法和装置技术领域

[0001] 本发明涉及通信领域，尤其涉及一种应用程序编程接口异常使用的检测方法和装置。

背景技术

[0002] 随着互联网的发展，软件安全和病毒入侵的问题越来越引起所有人的重视。入侵的病毒可以使进程崩溃，进而引起操作系统的崩溃；也可以监听和盗窃用户的私密信息，危害很大。

[0003] HOOK技术是一项比较成熟的技术， HOOK的意思就是挂钩、联系。可以使用 HOOK技术挂钩键盘动作、鼠标动作，也可以挂钩 API (Application Programming Interface, 应用程序编程接口），登记应用程序编程接口的调用过程，监控传入的参数。进程的 IAT (Import Address

Table, 输入地址表）、系统的 SSDT (System Services Descriptor Table, 系统服务描述符表）、 IDT (Interrupt Descriptor Table , 中断描述符表）等都是挂钩的对象。挂钩后，就相当于在原有的过程增加了一个迂回分支，迂回完成后继续转回原有流程的处理步骤。图 1为未增加 HOOK过程和增加 HOOK过程后的软件执行流程的对比示意结构图。

[0004] 现有的病毒入侵检测方法基本是挂钩重要的应用程序编程接口或者系统调用，然后记录其调用过程，并与下一个调用过程相关联。通过检测软件的规则库或病毒库进行比对，如果符合规则库或病毒库的描述，则认为是病毒入侵程序。现有的这种检测方法，检测的准确度不高，挂钩的应用程序编程接口有所限制技术问题

[0005] 本发明的主要目的在于提出一种应用程序编程接口异常使用的检测方法和装置，旨在解决如何检测应用程序编程接口异常使用，提高检测的准确度。

问题的解决方案技术解决方案

[0006] 为实现上述目的，本发明实施例第一方面提供一种应用程序编程接口异常使用的检测方法，所述方法包括步骤：

[0007] S1:挂钩所述应用程序编程接口，并获取所述应用程序编程接口信息；

[0008] S2:接收获取的应用程序编程接口信息并进行序列化处理，生成序列数据； [0009] S3:对生成的序列数据进行统计，并生成统计序列；

[0010] S4:确认所述统计序列的生成数量是否达到预设的生成数量，若达到预设的生成数量，则生成序列模式的序列数据统计表，并转到下一个步骤 S5; 否则转到步骤 S2;

[0011] S5:对所述序列模式的序列数据统计表进行分析，并判断所述应用程序编程接口的行为是否异常。

[0012] 结合本发明实施例的第一方面，本发明实施例的第一方面的第一种实现方式中，所述方法还包括：

[0013] 步骤 S6:若所述应用程序编程接口的行为为异常行为，向所述应用程序编程接口的用户发出告警信息。

[0014] 结合本发明实施例的第一方面，本发明实施例的第一方面的第二种实现方式中

，所述挂钩所述应用程序编程接口，是通过替换应用程序编程接口进程的输入地址表的方式实现。

[0015] 结合本发明实施例的第一方面，本发明实施例的第一方面的第三种实现方式中，所述步骤 S2包括：

[0016] S21:接收获取的应用程序编程接口信息并进行去噪处理，获得去噪处理后的应用程序编程接口信息；

[0017] S22:对所述去噪处理后的应用程序编程接口信息，进行序列化处理并生成序列数据。

[0018] 结合本发明实施例的第一方面，本发明实施例的第一方面的第四种实现方式中

，所述步骤 S3还包括步骤：

[0019] S3.0: 对所述生成的序列数据进行级联，生成级联后的序列数据。

[0020] 结合本发明实施例的第一方面，本发明实施例的第一方面的第五种实现方式中，所述应用程序编程接口信息包括应用程序编程接口的调用信息、调用参数、调用吋间中的一种或多种。

[0021] 此外，为实现上述目的，本发明实施例第二方面还提出一种应用程序编程接口异常使用的检测装置，所述装置包括：挂钩模块、序列抓取模块、序列模式生成模块及判断模块；

[0022] 所述挂钩模块，用于挂钩所述应用程序编程接口，并获取所述应用程序编程接口信息；

[0023] 所述序列抓取模块，用于接收所述挂钩模块获取的应用程序编程接口信息并进行序列化处理，生成序列数据；

[0024] 所述序列模式生成模块，用于对所述序列抓取模块的序列数据进行统计，并生成统计序列；用于对所述统计序列的生成数量进行确认是否达到预设的生成数量，并将达到预设的生成数量的统计序列生成序列模式的序列数据统计表； [0025] 所述判断模块，用于对所述序列模式生成模块的序列模式的序列数据统计表进行分析，并判断所述应用程序编程接口的行为是否异常。

[0026] 结合本发明实施例的第二方面，本发明实施例的第二方面的第一种实现方式中

，所述装置还包括告警模块；

[0027] 所述告警模块，用于根据所述判断模块判断出的应用程序编程接口异常使用，向所述应用程序编程接口的用户发出告警信息。

[0028] 结合本发明实施例的第二方面，本发明实施例的第二方面的第二种实现方式中

，所述挂钩模块通过替换应用程序编程接口进程的输入地址表的方式实现挂钩所述应用程序编程接口。

[0029] 结合本发明实施例的第二方面，本发明实施例的第二方面的第三种实现方式中

，所述序列抓取模块包括去噪模块、序列数据生成模块；

[0030] 所述去噪模块，用于接收所述挂钩模块获取的应用程序编程接口信息并进行去噪处理，获得去噪处理后的应用程序编程接口信息；

[0031] 所述序列数据生成模块，用于对所述去噪处理后的应用程序编程接口信息，进行序列化处理并生成序列数据。

[0032] 结合本发明实施例的第二方面，本发明实施例的第二方面的第四种实现方式中，所述序列模式生成模块包括统计序列生成模块、确认模块、序列数据统计表生成模块；

[0033] 所述统计序列生成模块，用于对所述序列抓取模块的序列数据进行统计，并生成统计序列；

[0034] 所述确认模块，用于对所述统计序列生成模块的统计序列的生成数量进行确认是否达到预设的生成数量，若达到预设的生成数量，则将达到预设生成数量的信息发送给所述序列数据统计表生成模块；否则将没有达到预设生成数量的信息发送给所述序列抓取模块；

[0035] 所述序列数据统计表生成模块，用于对达到预设生成数量的统计序列，生成序列模式的序列数据统计表。

[0036] 本发明实施例的第二方面的第五种可能实现方式，结合本发明实施例的第二方面的第四种实现方式，所述序列模式生成模块还包括序列数据级联模块；

[0037] 所述序列数据级联模块，用于对所述序列抓取模块的序列数据进行级联，生成级联后的序列数据。

[0038] 结合本发明实施例的第二方面，本发明实施例的第二方面的第六种实现方式中，所述应用程序编程接口信息包括应用程序编程接口的调用信息、调用参数、调用吋间中的一种或多种。

发明的有益效果

有益效果

[0039] 本发明实施例提供的应用程序编程接口异常使用的检测方法和装置，可以依照用户感兴趣的应用程序编程接口信息进行统计和分析，提高了应用程序编程接口异常使用检测的准确度。

对附图的简要说明

附图说明

[0040] 图 1为未增力口 HOOK过程和增力口 HOOK过程后的软件执行流程的对比示意结构图；

[0041] 图 2为本发明第一实施例的应用程序编程接口异常使用的检测方法的流程示意图； [0042] 图 3为本发明第一实施例的应用程序编程接口异常使用的检测方法中的挂钩应用程序编程接口的工作示意图；

[0043] 图 4为本发明第一实施例的应用程序编程接口异常使用的检测方法中的生成序列数据的流程示意图；

[0044] 图 5为本发明第二实施例的应用程序编程接口异常使用的检测装置结构示意图

[0045] 图 6为本发明第二实施例的应用程序编程接口异常使用的检测装置的序列抓取模块的结构示意图；

[0046] 图 7为本发明第二实施例的应用程序编程接口异常使用的检测装置的序列模式生成模块的结构示意图。

[0047] 本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

本发明的实施方式

[0048] 应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

[0049] 现在将参考附图描述实现本发明各个实施例的。在后续的描述中，使用用于表示元件的诸如 "模块"、 "部件 "或"单元"的后缀仅为了有利于本发明的说明，其本身并没有特定的意义。

[0050] 如图 2所示，本发明第一实施例提出一种应用程序编程接口异常使用的检测方法，该方法包括步骤：

[0051] S1:挂钩所述应用程序编程接口，并获取所述应用程序编程接口信息；

[0052] 在本实施例中，是通过替换应用程序编程接口进程的输入地址表的方式实现挂钩所述应用程序编程接口。具体地说就是替换应用程序编程接口进程的 IAT (im port address table输入地址表）中具体的地址，但是参数要保持一致。

[0053] 参考图 3所示，替换的地址是一个新应用程序编程接口的地址单元。这个地址单元所代表的是一个指令模块。指令模块分为两部分，一部分是处理逻辑模块，处理逻辑模块主要负责获取应用程序编程接口信息，应用程序编程接口信息包括但不限于：应用程序编程接口的调用信息、调用参数、调用吋间。另一部分是跳转模块，具体地说，就是跳转回被替换的应用程序编程接口的地址，使得原有的调用过程不受影响。

[0054] S2:接收获取的应用程序编程接口信息并进行序列化处理，生成序列数据； [0055] 参考图 4所示，在本实施例中，该步骤具体包括：

[0056] S21:接收获取的应用程序编程接口信息并进行去噪处理，并获得去噪处理后的应用程序编程接口信息；

[0057] 在本实施例中，应用程序编程接口信息包括但不限于：应用程序编程接口的调用信息、调用参数、调用吋间。去噪处理就是去掉零散的边缘化的数据。

[0058] S22:对所述去噪处理后的应用程序编程接口信息，进行序列化处理并生成序列数据。

[0059] 在本实施例中，应用程序编程接口每次被调用的信息都可通过步骤 S2获取并处理。作为一个示例，下面具体来说明下：

[0060] 假设应用程序编程接口 (int A, char*

B)，其调用的具体参数值为（ParamA, ParamB) 。步骤 S2接收的应用程序编程接口信息有应用程序编程接口 Name/应用程序编程接口 Address、 ParamA ^ Param B、 SystemTime或者用户感兴趣的应用程序编程接口信息。接收应用程序编程接口信息后，对应用程序编程接口信息进行去噪处理。去噪处理后的应用程序编程接口信息会被进行序列化处理，生成一条序列数据 <应用程序编程接口 Name/ 应用程序编程接口 Address-PammA-ParamB-SystemTime-others>。

[0061] 一般地，序列数据包含如下几项<函数地址 /函数名，参数 A的值，参数 B的值… 参数 N的值，调用吋间等 >。

[0062] S3:对生成的序列数据进行统计，并生成统计序列；

[0063] 在本实施例中，对步骤 S2生成的序列数据进行统计，统计的数据可以是应用程序编程接口名称或地址、应用程序编程接口参数集等；每次调用统计完成后会生成调用次数，并生成统计序列。统计序列类似以下方式<应用程序编程接口名称或地址，参数值 Al，参数值 B 1....参数值 Nl，调用吋间、调用次数等 >。由于每个应用程序编程接口的参数数目是固定的，所以 n可以确定。例如 <XX应用程序编程接口 1, Al, B l,timel,8>、 <XX应用程序编程接口 2, A2, B2,time2,9>。 [0064] 进一步的，在对生成的序列数据进行统计之前，可对序列数据进行级联，生成级联后的序列数据。作为示例的，序列数据 1为< ?11^131>，序列数据 2为<八？ I2,A2,B2,C2>，级联后的序列数据为 < API1,A1,B1,API2,A2,B2,C2>，级联后产生强度更高的规则，这样可以发现调用过程之间的规律。

[0065] S4:确认所述统计序列的生成数量是否达到预设的生成数量，若达到预设的生成数量，则生成序列模式的序列数据统计表，并转到下一个步骤 S5; 否则转到步骤 S2;

[0066] 在本实施例中，需要一定生成数量的统计序列。生成数量可由系统默认值决定，也可以由用户自己设定。一定生成数量的统计序列，会转换为序列模式的序列数据统计表，如下所示的示例：

[]

[0067] S5:对所述序列模式的序列数据统计表进行分析，并判断所述应用程序编程接口的行为是否异常。

[0068] 针对序列模式的序列数据统计表，我们可以进行分析，并判断所述应用程序编程接口的行为是否异常。以以上的序列模式的序列数据统计表为例，可以统计分析出每一列参数的最大最小值，也能够统计分析出针对这个应用程序编程接口的不同的参数的调用频率，以形成横向和纵向两个统计维度：参数上限阈值、参数下限阈值以及针对第一种调用参数集（第一条记录）的调用频率和针对第二种调用参数集（第二条记录）的调用频率。有了这几个参数，也就能够统计分析出什么样的序列是频繁的，什么样的序列是不频繁的，什么样的序列是罕见的。当然，频繁、不频繁、罕见是可以由用户来设定的。

[0069] 进一步的，在其他实施例中，还包括步骤 S6:若所述应用程序编程接口的行为为异常行为，向所述应用程序编程接口的用户发出告警信息。例如：当有不正常序列调用吋，应用程序编程接口参数 n的值超出该参数的阈值范围，可以向用户进行通知。若某一序列在一个吋间段内被调用的次数呈现异常增多吋，可以向用户发出告警。用户处理之后，可以再设置为正常调用的。

[0070] 本发明实施例提供的应用程序编程接口异常使用的检测方法，可以依照用户感兴趣的应用程序编程接口信息进行统计和分析，提高了应用程序编程接口异常使用检测的准确度。

[0071] 本发明进一步提供一种系统。

[0072] 参照图 5，图 2为本发明第二实施例的一种应用程序编程接口异常使用的检测装置，装置 10包括：挂钩模块 101、序列抓取模块 102、序列模式生成模块 103及判断模块 104;

[0073] 挂钩模块 101，用于挂钩所述应用程序编程接口，并获取所述应用程序编程接口信息；

[0074] 序列抓取模块 102，用于接收所述挂钩模块 101获取的应用程序编程接口信息并进行序列化处理，生成序列数据；

[0075] 序列模式生成模块 103，用于对序列抓取模块 102的序列数据进行统计，并生成统计序列；用于对统计序列的生成数量进行确认是否达到预设的生成数量，并将达到预设生成数量的统计序列生成序列模式的序列数据统计表；

[0076] 判断模块 104，用于对序列模式生成模块 103的序列模式的序列数据统计表进行分析，并判断所述应用程序编程接口的行为是否异常。

[0077] 参考图 6所示，在本实施例中，序列抓取模块 102包括去噪模块 1021、序列数据生成模块 1022;

[0078] 去噪模块 1021，用于接收挂钩模块 101获取的应用程序编程接口信息并进行去噪处理，获得去噪处理后的应用程序编程接口信息；

[0079] 序列数据生成模块 1022，用于对去噪处理后的应用程序编程接口信息，进行序列化处理并生成序列数据。

[0080] 参考图 7所示，在本实施例中，序列模式生成模块 103包括统计序列生成模块 10

31、确认模块 1032及序列数据统计表生成模块 1033; [0081] 统计序列生成模块 1031，用于对序列抓取模块 102的序列数据进行统计，并生成统计序列；

[0082] 确认模块 1032，用于对统计序列生成模块 1031的统计序列的生成数量进行确认是否达到预设的生成数量，若达到预设的生成数量，则将达到预设生成数量的信息发送给序列数据统计表生成模块 1033; 否则将没有达到预设生成数量的信息发送给序列抓取模块 102，由序列抓取模块 102、序列模式生成模块 103继续生成统计序列；

[0083] 序列数据统计表生成模块 1033，用于对达到预设生成数量的统计序列，生成序列模式的序列数据统计表。

[0084] 进一步的，序列模式生成模块 103还包括序列数据级联模块 1030;

[0085] 序列数据级联模块 1030，用于对序列抓取模块 102的序列数据进行级联，生成级联后的序列数据。

[0086] 在本实施例中，挂钩模块 101通过替换应用程序编程接口进程的输入地址表的方式实现挂钩所述应用程序编程接口。

[0087] 在本实施例中，应用程序编程接口信息包括应用程序编程接口的调用信息、调用参数、调用吋间中的一种或多种。

[0088] 在其他实施例中，装置 10还包括告警模块 105; 告警模块 105，用于根据判断模块 104判断出的应用程序编程接口异常使用，向应用程序编程接口的用户发出告警息。

[0089] 本实施例提供的应用程序编程接口异常使用的检测装置，可以依照用户感兴趣的应用程序编程接口信息进行统计和分析，提高了应用程序编程接口异常使用检测的准确度。

[0090] 需要说明的是，在本文中，术语"包括"、 "包含 "或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句 "包括一个 ...... "限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。 [0091] 以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

工业实用性

[0092] 本发明实施例提供的应用程序编程接口异常使用的检测方法和装置，可以依照用户感兴趣的应用程序编程接口信息进行统计和分析，提高了应用程序编程接口异常使用检测的准确度。因此，具有工业实用性。

Claims

权利要求书

[权利要求 1] 一种应用程序编程接口异常使用的检测方法，所述方法包括步骤：

S1:挂钩所述应用程序编程接口，并获取所述应用程序编程接口信息

S2:接收获取的应用程序编程接口信息并进行序列化处理，生成序列数据；

S3:对生成的序列数据进行统计，并生成统计序列； S4:确认所述统计序列的生成数量是否达到预设的生成数量，若达到预设的生成数量，则生成序列模式的序列数据统计表，并转到下一个步骤 S5 ; 否则转到步骤 S2;

S5:对所述序列模式的序列数据统计表进行分析，并判断所述应用程序编程接口的行为是否异常。

[权利要求 2] 如权利要求 1所述的一种应用程序编程接口异常使用的检测方法，其中，所述方法还包括：

步骤 S6:若所述应用程序编程接口的行为为异常行为，向所述应用程序编程接口的用户发出告警信息。

[权利要求 3] 如权利要求 1所述的一种应用程序编程接口异常使用的检测方法，其中，所述挂钩所述应用程序编程接口，是通过替换应用程序编程接口进程的输入地址表的方式实现。

[权利要求 4] 如权利要求 1所述的一种应用程序编程接口异常使用的检测方法，其中，所述步骤 S2包括：

S21:接收获取的应用程序编程接口信息并进行去噪处理，获得去噪处理后的应用程序编程接口信息；

S22:对所述去噪处理后的应用程序编程接口信息，进行序列化处理并生成序列数据。

[权利要求 5] 如权利要求 1所述的一种应用程序编程接口异常使用的检测方法，其中，所述步骤 S3还包括步骤：

S3.0: 对所述生成的序列数据进行级联，生成级联后的序列数据。如权利要求 1-5任一所述的一种应用程序编程接口异常使用的检测方法，其中，所述应用程序编程接口信息包括应用程序编程接口的调用信息、调用参数、调用吋间中的一种或多种。

一种应用程序编程接口异常使用的检测装置，所述装置包括：挂钩模块、序列抓取模块、序列模式生成模块及判断模块；

所述挂钩模块，用于挂钩所述应用程序编程接口，并获取所述应用程序编程接口信息；

所述序列抓取模块，用于接收所述挂钩模块获取的应用程序编程接口信息并进行序列化处理，生成序列数据；

所述序列模式生成模块，用于对所述序列抓取模块的序列数据进行统计，并生成统计序列；用于对所述统计序列的生成数量进行确认是否达到预设的生成数量，并将达到预设生成数量的统计序列生成序列模式的序列数据统计表；

所述判断模块，用于对所述序列模式生成模块的序列模式的序列数据统计表进行分析，并判断所述应用程序编程接口的行为是否异常。如权利要求 7所述的一种应用程序编程接口异常使用的检测装置，其中，所述装置还包括告警模块；

所述告警模块，用于根据所述判断模块判断出的应用程序编程接口异常使用，向所述应用程序编程接口的用户发出告警信息。

如权利要求 7所述的一种应用程序编程接口异常使用的检测装置，其中，所述挂钩模块通过替换应用程序编程接口进程的输入地址表的方式实现挂钩所述应用程序编程接口。

如权利要求 7所述的一种应用程序编程接口异常使用的检测装置，其中，所述序列抓取模块包括去噪模块、序列数据生成模块；所述去噪模块，用于接收所述挂钩模块获取的应用程序编程接口信息并进行去噪处理，获得去噪处理后的应用程序编程接口信息；所述序列数据生成模块，用于对所述去噪处理后的应用程序编程接口信息，进行序列化处理并生成序列数据。 [权利要求 11] 如权利要求 7所述的一种应用程序编程接口异常使用的检测装置，其中，所述序列模式生成模块包括统计序列生成模块、确认模块、序列数据统计表生成模块；

所述统计序列生成模块，用于对所述序列抓取模块的序列数据进行统计，并生成统计序列；

所述确认模块，用于对所述统计序列的生成数量进行确认是否达到预设的生成数量，若达到预设的生成数量，则将达到预设生成数量的信息发送给所述序列数据统计表生成模块；否则将没有达到预设生成数量的信息发送给所述序列抓取模块；

所述序列数据统计表生成模块，用于对达到预设生成数量的统计序列，生成序列模式的序列数据统计表。

[权利要求 12] 如权利要求 7所述的一种应用程序编程接口异常使用的检测装置，其中，所述序列模式生成模块还包括序列数据级联模块；

所述序列数据级联模块，用于对所述序列抓取模块的序列数据进行级联，生成级联后的序列数据。

[权利要求 13] 如权利要求 7-12任一所述的一种应用程序编程接口异常使用的检测装置，其中，所述应用程序编程接口信息包括应用程序编程接口的调用信息、调用参数、调用吋间中的一种或多种。