基于应用图标的移动终端恶意代码检测方法及系统的制作方法
【专利摘要】本发明提供了一种基于应用程序图标的移动终端恶意代码检测方法及系统。所述方法为,对移动终端应用程序安装包进行结构解析;提取出所述应用程序的图标文件数据;从所述应用程序代码文件中提取出所调用的系统API;将图标文件数据在应用图标功能规则库中匹配,检索到所述图标文件数据对应的功能规则,将所述应用程序调用的系统API与图标文件数据对应的功能规则比对,如果一致,则所述应用程序正常;否则所述应用程序为欺诈类移动终端恶意代码。通过本
【发明内容】
,能够结合欺诈类恶意代码的特点和行为规律,有效检测欺诈型移动终端恶意代码。
【专利说明】基于应用图标的移动终端恶意代码检测方法及系统
【技术领域】
[0001]本发明涉及移动终端安全领域,特别涉及一种基于应用图标的移动终端恶意代码检测方法及系统。
【背景技术】
[0002]随着移动互联网的快速发展,智能终端操作系统平台也在快速的发展和不断的优化。随着智能移动终端操作系统的快速发展,出现了大量的移动智能终端应用软件,与之伴随的也出现了很多相应的恶意代码。而对于其中就有一种类型的恶意代码,即属于欺诈型的恶意代码,其通常通过简单的伪装来达到安装之后模仿正常应用的效果,但实际上,没有真实的功能。其通过欺诈用户点击来达到恶意扣费,消耗流浪等目的,进而对用户造成一些经济损失。
[0003]目前常见的恶意代码检测方法,主要是针对应用程序进行静态检测或动态检测。对于这种欺诈类型的手机恶意代码,其代码结构,应用程序所包含的数据非常简单,采用大量的模仿和伪装代码数据片段,同时其行为也非常简单,通常为普通正常行为的组合,例如发送短信,访问网络,弹出提示窗口等等。和正常应用并没有直接的区别,也不具备其它类型恶意代码的许多典型特征。这种情况,传统的检测方法,如静态检测方法,容易出现大量的误报和漏报,同时也难以进行有效的启发式检测,而另一方面,通过动态行为检测,也难以将其同正常应用的行为区分开,并形成有效的检测方法。
【发明内容】
[0004]本发明提供了一种基于应用图标的移动终端恶意代码检测方法及系统,解决了欺诈类恶意代码难以有效检测的问题,能够在控制漏报误报的基础上,达到高效检出的效果。
[0005]一种基于应用图标的移动终端恶意代码检测方法,包括:
对移动终端应用程序安装包进行结构解析;从安装包中解析出手机应用程序代码文件,资源文件等不同数据文件资源;
提取出所述应用程序的图标文件数据;
从所述应用程序代码文件中提取出所调用的系统API ;
将图标文件数据在应用图标功能规则库中匹配,检索到所述图标文件数据对应的功能规则,将所述应用程序调用的系统API与图标文件数据对应的功能规则比对,如果一致,则所述应用程序正常;否则所述应用程序为欺诈类移动终端恶意代码。
[0006]所述的方法中,所述图标文件数据至少为:图标文件的hash,或图标文件的相似性hash,或图标文件部分内容片断的hash。
[0007]所述的方法中,所述的从所述应用程序代码文件中提取出所调用的系统API至少为:系统AP1、系统功能API调用序列,或系统功能代码片段特征。
[0008]所述的方法中,所述应用图标功能规则库中至少包括:图标文件数据及对应的功能规则。[0009]一种基于应用图标的移动终端恶意代码检测系统,包括:
解析模块,用于对移动终端应用程序安装包进行结构解析;
图标提取模块,用于提取出所述应用程序的图标文件数据;
功能提取模块,用于从所述应用程序代码文件中提取出所调用的系统API ;
匹配模块,用于将图标文件数据在应用图标功能规则库中匹配,检索到所述图标文件数据对应的功能规则,将所述应用程序调用的系统API与图标文件数据对应的功能规则比对,如果一致,则所述应用程序正常;否则所述应用程序为欺诈类移动终端恶意代码。
[0010]所述的系统中,所述图标文件数据至少为:图标文件的hash,或图标文件的相似性hash,或图标文件部分内容片断的hash。
[0011]所述的系统中,所述的从所述应用程序代码文件中提取出所调用的系统API至少为:系统AP1、系统功能API调用序列,或系统功能代码片段特征。
[0012]所述的系统中,所述应用图标功能规则库中至少包括:图标文件数据及对应的功能规则。
[0013]本发明提供了一种基于应用程序图标的移动终端恶意代码检测方法及系统。所述方法为,对移动终端应用程序安装包进行结构解析;提取出所述应用程序的图标文件数据;从所述应用程序代码文件中提取出所调用的系统API ;将图标文件数据在应用图标功能规则库中匹配,检索到所述图标文件数据对应的功能规则,将所述应用程序调用的系统API与图标文件数据对应的功能规则比对,如果一致,则所述应用程序正常;否则所述应用程序为欺诈类移动终端恶意代码。通过本
【发明内容】
,能够结合欺诈类恶意代码的特点和行为规律,有效检测欺诈型移动终端恶意代码。
【专利附图】
【附图说明】
[0014]为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0015]图1为基于应用图标的移动终端恶意代码检测方法流程图;
图2为基于应用图标的移动终端恶意代码检测系统结构示意图。
【具体实施方式】
[0016]为了使本【技术领域】的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
[0017]本发明提供了一种基于应用图标的移动终端恶意代码检测方法及系统,解决了欺诈类恶意代码难以有效检测的问题,能够在控制漏报误报的基础上,达到高效检出的效果。
[0018]一种基于应用图标的移动终端恶意代码检测方法,如图1所示,包括:
SlOl:对移动终端应用程序安装包进行结构解析;从安装包中解析出手机应用程序代码文件,资源文件等不同数据文件资源;可以采取目前通用的各种应用安装包的解析和识别技术,如Android系统的应用安装包,则是解析出程序代码文件classes, dex,解析出资源图片等文件;
S102:提取出所述应用程序的图标文件数据;
主要实现方法是根据不同平台应用的程序包的结构,结合上述对安装包结构的解析,从中提取出对应的图标文件数据。例如Android平台可以对APK中的资源文件resources,arse进行解析,从中寻找到对应的图标文件的ID等信息,并从resource资源文件中提取出图标文件数据资源。
[0019]S103:从所述应用程序代码文件中提取出所调用的系统API ;
通过对程序代码文件的二进制解析和分析,从中提取出应用程序所依赖的系统功能API或系统功能代码数据片段,例如Android平台通过对APK中的classes, dex进行解析可以获取所有其调用的系统API的类,函数名称和调用位置,功能代码片段等数据;
S104:将图标文件数据在应用图标功能规则库中匹配,检索到所述图标文件数据对应的功能规则,将所述应用程序调用的系统API与图标文件数据对应的功能规则比对,如果一致,则所述应用程序正常;否则所述应用程序为欺诈类移动终端恶意代码。
[0020]可以为,通过对提取出的图标文件数据进行计算图表文件片段摘要hash,然后在应用图标功能规则库中找到对应的系统API信息,然后利用提取的目标应用程序的系统功能API或系统功能代码数据片段进行比对,例如,可以采取的策略为,提取出的目标应用的系统功能API中没有包含应用图标功能规则库中所记录的系统功能API信息,则可以认为其实目标应用并不具备图标所对应的应用功能和行为,则为某种欺诈型的手机应用程序。
[0021]所述的方法中,所述图标文件数据至少为:图标文件的hash,或图标文件的相似性hash,或图标文件部分内容片断的hash。
[0022]所述的方法中,所述的从所述应用程序代码文件中提取出所调用的系统API至少为:系统AP1、系统功能API调用序列,或系统功能代码片段特征。
[0023]所述的方法中,所述应用图标功能规则库中至少包括:图标文件数据及对应的功能规则。
[0024]一种基于应用图标的移动终端恶意代码检测系统,如图2所示,包括:
解析模块201,用于对移动终端应用程序安装包进行结构解析;
图标提取模块202,用于提取出所述应用程序的图标文件数据;
功能提取模块203,用于从所述应用程序代码文件中提取出所调用的系统API ;
匹配模块204,用于将图标文件数据在应用图标功能规则库中匹配,检索到所述图标文件数据对应的功能规则,将所述应用程序调用的系统API与图标文件数据对应的功能规则比对,如果一致,则所述应用程序正常;否则所述应用程序为欺诈类移动终端恶意代码。
[0025]所述的系统中,所述图标文件数据至少为:图标文件的hash,或图标文件的相似性hash,或图标文件部分内容片断的hash。
[0026]所述的系统中,所述的从所述应用程序代码文件中提取出所调用的系统API至少为:系统AP1、系统功能API调用序列,或系统功能代码片段特征。
[0027]所述的系统中,所述应用图标功能规则库中至少包括:图标文件数据及对应的功能规则。
[0028]本发明的优势在于,针对欺诈型移动终端恶意代码难以有效检测的现象,结合这种类型的恶意代码的特点和行为规律,创造性的发明了一种方法及系统,能够有效的对欺诈类的移动终端恶意代码进行高效的检出。
[0029]本发明提供了一种基于应用程序图标的移动终端恶意代码检测方法及系统。所述方法为,对移动终端应用程序安装包进行结构解析;提取出所述应用程序的图标文件数据;从所述应用程序代码文件中提取出所调用的系统API ;将图标文件数据在应用图标功能规则库中匹配,检索到所述图标文件数据对应的功能规则,将所述应用程序调用的系统API与图标文件数据对应的功能规则比对,如果一致,则所述应用程序正常;否则所述应用程序为欺诈类移动终端恶意代码。通过本
【发明内容】
,能够结合欺诈类恶意代码的特点和行为规律,有效检测欺诈型移动终端恶意代码。
[0030]虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
【权利要求】
1.一种基于应用图标的移动终端恶意代码检测方法,其特征在于,包括: 对移动终端应用程序安装包进行结构解析; 提取出所述应用程序的图标文件数据; 从所述应用程序代码文件中提取出所调用的系统API ; 将图标文件数据在应用图标功能规则库中匹配,检索到所述图标文件数据对应的功能规则,将所述应用程序调用的系统API与图标文件数据对应的功能规则比对,如果一致,则所述应用程序正常;否则所述应用程序为欺诈类移动终端恶意代码。
2.如权利要求1所述的方法,其特征在于,所述图标文件数据至少为:图标文件的hash,或图标文件的相似性hash,或图标文件部分内容片断的hash。
3.如权利要求1所述的方法,其特征在于,所述的从所述应用程序代码文件中提取出所调用的系统API至少为:系统AP1、系统功能API调用序列,或系统功能代码片段特征。
4.如权利要求1所述的方法,其特征在于,所述应用图标功能规则库中至少包括:图标文件数据及对应的功能规则。
5.一种基于应用图标的移动终端恶意代码检测系统,其特征在于,包括: 解析模块,用于对移动终端应用程序安装包进行结构解析; 图标提取模块,用于提 取出所述应用程序的图标文件数据; 功能提取模块,用于从所述应用程序代码文件中提取出所调用的系统API ; 匹配模块,用于将图标文件数据在应用图标功能规则库中匹配,检索到所述图标文件数据对应的功能规则,将所述应用程序调用的系统API与图标文件数据对应的功能规则比对,如果一致,则所述应用程序正常;否则所述应用程序为欺诈类移动终端恶意代码。
6.如权利要求5所述的系统,其特征在于,所述图标文件数据至少为:图标文件的hash,或图标文件的相似性hash,或图标文件部分内容片断的hash。
7.如权利要求5所述的系统,其特征在于,所述的从所述应用程序代码文件中提取出所调用的系统API至少为:系统AP1、系统功能API调用序列,或系统功能代码片段特征。
8.如权利要求5所述的系统,其特征在于,所述应用图标功能规则库中至少包括:图标文件数据及对应的功能规则。
【文档编号】G06F21/56GK103902906SQ201310724266
【公开日】2014年7月2日 申请日期:2013年12月25日 优先权日:2013年12月25日
【发明者】潘宣辰, 肖新光 申请人:武汉安天信息技术有限责任公司