CN105897807A - 一种基于行为特征的移动智能终端异常代码云检测方法 - Google Patents
一种基于行为特征的移动智能终端异常代码云检测方法 Download PDFInfo
- Publication number
- CN105897807A CN105897807A CN201510023257.3A CN201510023257A CN105897807A CN 105897807 A CN105897807 A CN 105897807A CN 201510023257 A CN201510023257 A CN 201510023257A CN 105897807 A CN105897807 A CN 105897807A
- Authority
- CN
- China
- Prior art keywords
- detection
- code
- intelligent terminal
- mobile intelligent
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开一种基于行为特征的移动智能终端异常代码云检测方法,是将静态检测和动态检测综合应用于移动智能终端检测异常代码检测中,用户在下载安装对应平台的客户端软件后,对第三方软件进行扫描检测;将采集到的样本数据发送到远程云服务器,云服务器将收集到的数据进行静态检测,首先与恶意程序数据库中的数据进行对比,若存在直接将检测结果返回客户端;由于云端服务器含有庞大的特征数据库,因此可对常见的恶意程序作出快速反应;若未有匹配数据,则采取动态行为检测方法进行对程序进行检测,对未知恶意代码在运行过程中的行为进行监控;能实现对恶意代码的检测,降低误报率;同时降低对系统资源的占用,减轻系统负担。
Description
技术领域
本发明属于异常代码检测领域领域,尤其涉及一种基于行为特征的移动智能终端异常代码云检测方法。
背景技术
恶意代码从首次出现至今,经历了一系列的进化演变,正在向高隐蔽性、复合型、反查杀等方向发展。其攻击动机也不再只是为满足技术心理驱动的破坏欲望,而更多是为政治、军事、知识产权及经济目的发起的特定攻击。
本方法中涉及的主要技术有:
静态检测技术:静态检测技术是一种简单快速的检测方法。在静态检测的过程中,恶意代码不需要执行,而只是对恶代码的语法、文件结构和数据流进行分析。静态检测技术起步早,数据库丰富庞大,能够快速检测出已知恶意代码,并且在检测过程中恶意代码不需要执行,不会占用太多系统资源。因此,静态检测技术被当今各大杀毒软件生产商广为使用。然而,该技术只能对那些具有独特形式的已知恶意代码才有效,不能及时地检测到不断更新变化的未知恶意代码,具有相当的滞后性。此外,经试验表明,恶意代码编写者可以应用加壳、多态、变形等技术成功规避静态检测使其检测效率大大降低。
动态检测技术:动态检测技术的核心过程将应用程序运行在一个封闭的环境并进行监视,从而分析应用程序的行为特征。有很多的参数都可以被动态分析采集,如文件权限改变、进程和线程运行情况、系统调用情况、网络访问情况等。因为动态检测需要应用程序实时运行,并且需要较长的时间采集应用程序的动态数据,所以它比静态分析更复杂。
发明内容
为了实现上述目的,本发明是通过以下方案实现的:
用户根据移动智能终端的系统平台下载相应的客户端应用程序。
使用第三方应用程序对客户端进行检测:对常见的异常代码可得到确定性的结果则直接将结果展示给手机用户。
对未检测出结果的程序进行样本采集,并将采集的结果发送到云端服务器。
云端服务器根据收到的样本数据,首先采取静态检测的方法对样本数据进行检测。
静态检测时,根据客户端根据样本数据获得相应的程序特征码,这里特征码是程序的基本信息分析,通过语法特征分析获得。
根据数据库搜索引擎对可疑程序的特征码进行匹配。若匹配成功,则判定该可疑代码具有恶意性,向用户提交恶意报告;若匹配不成功,则暂时判定该可疑代码不具有恶意性,进行动态行为检测。
对应用程序进行动态行为检测,对未知恶意代码在运行过程中的行为进行监控记,并将监控数据发送到云端服务器。
云端服务器根据其行为做出是否具有恶意性的判断,若判断为恶意程序,将其特征码存入特征码数据库,并将结果反馈给用户。
本发明具有以下优点:
在客户端对异常代码进行轻量级的检测,将检测结果直接反馈给用户,对常见的异常代码能够实现快速检测。
在云端对样本数据进行静态检测,即根据样本数据的特征码进行匹配检测,由于云端服务器含有庞大的特征数据库,因此可对常见的恶意程序作出快速反应。
对静态检测后未检测出的程序进行动态行为进行监控检测,并将具有恶意行为的异常代码特征码存入数据库,进一步丰富数据库,提升下一次静态检测的效率。
附图说明
图1是本发明所述方法的流程示意图。
具体实施方式
用户根据移动智能终端的系统平台下载相应的客户端应用程序;
使用第三方应用程序对客户端进行检测:对常见的异常代码可得到确定性的结果则直接将结果展示给手机用户;
对未检测出结果的程序进行样本采集,并将采集的结果发送到云端服务器;
云服务器根据收到的样本数据,首先采取静态检测的方法对样本数据进行检测;
静态检测时,根据客户端根据样本数据获得相应的程序特征码,这里特征码是程序的基本信息分析,通过语法特征分析获得;
根据数据库搜索引擎对可疑程序的特征码进行匹配。若匹配成功,则判定该可疑代码具有恶意性,向用户提交恶意报告;若匹配不成功,则暂时判定该可疑代码不具有恶意性,进行动态行为检测;
对应用程序进行动态行为检测,对未知恶意代码在运行过程中的行为进行监控记,并将监控数据发送到云端服务器;
云端服务器根据其行为做出是否具有恶意性的判断,若判断为恶意程序,将其特征码存入特征码数据库,并将结果反馈给用户。
Claims (5)
1.一种基于行为特征的移动智能终端异常代码云检测方法,其特征是:它包括以下步骤:
(1)用户根据移动智能终端的系统平台下载相应的客户端应用程序;
(2)使用第三方应用程序对客户端进行检测:对常见的异常代码可得到确定性的结果则直接将结果展示给手机用户;
(3)对未检测出结果的程序进行样本采集,并将采集的结果发送到云端服务器;
(4)云服务器根据收到的样本数据,首先采取静态检测的方法对样本数据进行检测;
(5)静态检测时,根据客户端根据样本数据获得相应的程序特征码,这里特征码是程序的基本信息分析,通过语法特征分析获得;
(6)根据数据库搜索引擎对可疑程序的特征码进行匹配。若匹配成功,则判定该可疑代码具有恶意性,向用户提交恶意报告;若匹配不成功,则暂时判定该可疑代码不具有恶意性,进行动态行为检测;
(7)对应用程序进行动态行为检测,对未知恶意代码在运行过程中的行为进行监控记,并将监控数据发送到云端服务器;
(8)云端服务器根据其行为做出是否具有恶意性的判断,若判断为恶意程序,将其特征码存入特征码数据库,并将结果反馈给用户。
2.根据权利要求1所述的一种基于行为特征的移动智能终端异常代码云检测方法,其特征是:客户端下载应用程序后,首先进行轻量级的检测,将检测结果直接反馈给用户,对常见的异常代码能够实现快速检测。
3.根据权利要求1所述的一种基于行为特征的移动智能终端异常代码云检测方法,其特征是:进行轻量级的检测后,对未检测出的异常代码进行样本数据采集后发送到云端再次进行检测。
4.根据权利要求1所述的一种基于行为特征的移动智能终端异常代码云检测方法,其特征是:对样本数据进行静态检测,即根据样本数据的特征码进行匹配检测,由于云端服务器含有庞大的特征数据库,因此可对常见的恶意程序作出快速反应。
5.根据权利要求1所述的一种基于行为特征的移动智能终端异常代码云检测方法,其特征是:对静态检测后未检测出的程序进行动态行为进行监控检测,并将具有恶意行为的异常代码特征码存入数据库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510023257.3A CN105897807A (zh) | 2015-01-14 | 2015-01-14 | 一种基于行为特征的移动智能终端异常代码云检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510023257.3A CN105897807A (zh) | 2015-01-14 | 2015-01-14 | 一种基于行为特征的移动智能终端异常代码云检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105897807A true CN105897807A (zh) | 2016-08-24 |
Family
ID=56999468
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510023257.3A Pending CN105897807A (zh) | 2015-01-14 | 2015-01-14 | 一种基于行为特征的移动智能终端异常代码云检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105897807A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106384047A (zh) * | 2016-08-26 | 2017-02-08 | 青岛天龙安全科技有限公司 | App检测未知态样采集及判断方法 |
| CN106383768A (zh) * | 2016-09-14 | 2017-02-08 | 江苏北弓智能科技有限公司 | 基于移动设备操作行为的监管分析系统及其方法 |
| CN106708732A (zh) * | 2016-12-12 | 2017-05-24 | 中国航空工业集团公司西安航空计算技术研究所 | 一种基于特征码的软件运行检测方法 |
| CN106971106A (zh) * | 2017-03-30 | 2017-07-21 | 维沃移动通信有限公司 | 一种识别非法应用程序的方法、移动终端及服务器 |
| CN107169351A (zh) * | 2017-05-11 | 2017-09-15 | 北京理工大学 | 结合动态行为特征的Android未知恶意软件检测方法 |
| CN107402764A (zh) * | 2017-07-28 | 2017-11-28 | 南京南瑞继保电气有限公司 | 一种图形化页面程序功能特征码计算刷新方法 |
| CN108090348A (zh) * | 2017-12-14 | 2018-05-29 | 四川长虹电器股份有限公司 | 基于沙盒的Android恶意软件检测方法 |
| CN108810018A (zh) * | 2018-07-12 | 2018-11-13 | 南方电网科学研究院有限责任公司 | 一种移动应用检测云平台 |
| CN110287701A (zh) * | 2019-06-28 | 2019-09-27 | 深信服科技股份有限公司 | 一种恶意文件检测方法、装置、系统及相关组件 |
| CN113569241A (zh) * | 2021-07-28 | 2021-10-29 | 新华三技术有限公司 | 一种病毒检测方法及装置 |
| CN113792294A (zh) * | 2021-11-15 | 2021-12-14 | 北京升鑫网络科技有限公司 | 一种恶意类检测方法、系统、装置、设备及介质 |
| CN114679331A (zh) * | 2022-04-11 | 2022-06-28 | 北京国联天成信息技术有限公司 | 一种基于ai技术的恶意代码被动检测方法及系统 |
| CN115334078A (zh) * | 2022-08-10 | 2022-11-11 | 重庆电子工程职业学院 | 一种信息处理方法及设备 |
| CN117278290A (zh) * | 2023-10-07 | 2023-12-22 | 广东励通信息技术有限公司 | 一种互联网下的分布式数据检测系统及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090077544A1 (en) * | 2007-09-14 | 2009-03-19 | International Business Machines Corporation | Method, system and program product for optimizing emulation of a suspected malware |
| CN103281301A (zh) * | 2013-04-28 | 2013-09-04 | 上海海事大学 | 云安全恶意程序判断系统及方法 |
| CN103500305A (zh) * | 2013-09-04 | 2014-01-08 | 中国航天科工集团第二研究院七〇六所 | 一种基于云计算的恶意代码分析系统和方法 |
| CN103839003A (zh) * | 2012-11-22 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| CN103942491A (zh) * | 2013-12-25 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 一种互联网恶意代码处置方法 |
| CN104200155A (zh) * | 2014-08-12 | 2014-12-10 | 中国科学院信息工程研究所 | 基于苹果手机操作系统iOS保护用户隐私的监测装置和方法 |
-
2015
- 2015-01-14 CN CN201510023257.3A patent/CN105897807A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090077544A1 (en) * | 2007-09-14 | 2009-03-19 | International Business Machines Corporation | Method, system and program product for optimizing emulation of a suspected malware |
| CN103839003A (zh) * | 2012-11-22 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| CN103281301A (zh) * | 2013-04-28 | 2013-09-04 | 上海海事大学 | 云安全恶意程序判断系统及方法 |
| CN103500305A (zh) * | 2013-09-04 | 2014-01-08 | 中国航天科工集团第二研究院七〇六所 | 一种基于云计算的恶意代码分析系统和方法 |
| CN103942491A (zh) * | 2013-12-25 | 2014-07-23 | 国家计算机网络与信息安全管理中心 | 一种互联网恶意代码处置方法 |
| CN104200155A (zh) * | 2014-08-12 | 2014-12-10 | 中国科学院信息工程研究所 | 基于苹果手机操作系统iOS保护用户隐私的监测装置和方法 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106384047A (zh) * | 2016-08-26 | 2017-02-08 | 青岛天龙安全科技有限公司 | App检测未知态样采集及判断方法 |
| CN106384047B (zh) * | 2016-08-26 | 2019-11-15 | 青岛天龙安全科技有限公司 | App检测未知行为采集及判断方法 |
| CN106383768A (zh) * | 2016-09-14 | 2017-02-08 | 江苏北弓智能科技有限公司 | 基于移动设备操作行为的监管分析系统及其方法 |
| CN106708732A (zh) * | 2016-12-12 | 2017-05-24 | 中国航空工业集团公司西安航空计算技术研究所 | 一种基于特征码的软件运行检测方法 |
| CN106971106A (zh) * | 2017-03-30 | 2017-07-21 | 维沃移动通信有限公司 | 一种识别非法应用程序的方法、移动终端及服务器 |
| CN107169351A (zh) * | 2017-05-11 | 2017-09-15 | 北京理工大学 | 结合动态行为特征的Android未知恶意软件检测方法 |
| CN107402764B (zh) * | 2017-07-28 | 2020-09-08 | 南京南瑞继保电气有限公司 | 一种图形化页面程序功能特征码计算刷新方法 |
| CN107402764A (zh) * | 2017-07-28 | 2017-11-28 | 南京南瑞继保电气有限公司 | 一种图形化页面程序功能特征码计算刷新方法 |
| CN108090348A (zh) * | 2017-12-14 | 2018-05-29 | 四川长虹电器股份有限公司 | 基于沙盒的Android恶意软件检测方法 |
| CN108810018A (zh) * | 2018-07-12 | 2018-11-13 | 南方电网科学研究院有限责任公司 | 一种移动应用检测云平台 |
| CN110287701A (zh) * | 2019-06-28 | 2019-09-27 | 深信服科技股份有限公司 | 一种恶意文件检测方法、装置、系统及相关组件 |
| CN113569241A (zh) * | 2021-07-28 | 2021-10-29 | 新华三技术有限公司 | 一种病毒检测方法及装置 |
| CN113792294A (zh) * | 2021-11-15 | 2021-12-14 | 北京升鑫网络科技有限公司 | 一种恶意类检测方法、系统、装置、设备及介质 |
| CN113792294B (zh) * | 2021-11-15 | 2022-03-08 | 北京升鑫网络科技有限公司 | 一种恶意类检测方法、系统、装置、设备及介质 |
| CN114679331A (zh) * | 2022-04-11 | 2022-06-28 | 北京国联天成信息技术有限公司 | 一种基于ai技术的恶意代码被动检测方法及系统 |
| CN114679331B (zh) * | 2022-04-11 | 2024-02-02 | 北京国联天成信息技术有限公司 | 一种基于ai技术的恶意代码被动检测方法及系统 |
| CN115334078A (zh) * | 2022-08-10 | 2022-11-11 | 重庆电子工程职业学院 | 一种信息处理方法及设备 |
| CN117278290A (zh) * | 2023-10-07 | 2023-12-22 | 广东励通信息技术有限公司 | 一种互联网下的分布式数据检测系统及方法 |
| CN117278290B (zh) * | 2023-10-07 | 2024-03-08 | 广东励通信息技术有限公司 | 一种互联网下的分布式数据检测系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105897807A (zh) | 一种基于行为特征的移动智能终端异常代码云检测方法 | |
| US9680848B2 (en) | Apparatus, system and method for detecting and preventing malicious scripts using code pattern-based static analysis and API flow-based dynamic analysis | |
| CN105069355B (zh) | webshell变形的静态检测方法和装置 | |
| US9525706B2 (en) | Apparatus and method for diagnosing malicious applications | |
| CN108664793B (zh) | 一种检测漏洞的方法和装置 | |
| CN112906010A (zh) | 一种自动化攻击测试方法及基于此的自动化安全测试方法 | |
| KR20160125960A (ko) | 바이러스 처리 방법, 장치, 시스템 및 기기, 및 컴퓨터 저장 매체 | |
| US9830452B2 (en) | Scanning device, cloud management device, method and system for checking and killing malicious programs | |
| KR101972825B1 (ko) | 하이브리드 분석 기술을 이용한 임베디드 기기 취약점 자동 분석 방법, 장치 및 그 방법을 실행하는 컴퓨터 프로그램 | |
| CN112906011B (zh) | 漏洞发现方法、测试方法、安全测试方法及相关装置、平台 | |
| CN106709336A (zh) | 识别恶意软件的方法和装置 | |
| CN110879889A (zh) | Windows平台的恶意软件的检测方法及系统 | |
| CN103942491A (zh) | 一种互联网恶意代码处置方法 | |
| CN104700029A (zh) | 一种软件在线检测方法、装置和服务器 | |
| Long et al. | An efficient algorithm and tool for detecting dangerous website vulnerabilities | |
| KR20160031590A (ko) | 악성 앱 분류 장치 및 악성 앱 분류 방법 | |
| CN105262720A (zh) | web机器人流量识别方法及装置 | |
| CN108040036A (zh) | 一种行业云Webshell安全防护方法 | |
| US12067120B2 (en) | Classifier generator | |
| CN117648262B (zh) | 模糊测试方法、存储介质和电子装置 | |
| KR101625890B1 (ko) | 인터넷 응용 트래픽 프로토콜의 시그니처 변경 탐지를 위한 테스트 자동화 방법 및 시스템 | |
| CN115065510B (zh) | 登录方法、装置、系统、电子设备及可读存储介质 | |
| CN108959931B (zh) | 漏洞检测方法及装置、信息交互方法及设备 | |
| CN118036009A (zh) | 处理安全漏洞的方法、装置及电子设备 | |
| KR20200092508A (ko) | IoT 기기 악성코드 분석을 위한 대규모 허니팟 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160824 |
|
| WD01 | Invention patent application deemed withdrawn after publication |