一种恶意代码情报检测分析方法及系统的制作方法

一种恶意代码情报检测分析方法及系统的制作方法
【技术领域】
[0001]本发明属于互联网安全技术领域，更为具体的讲，涉及一种基于安卓基于安卓的恶意代码情报检测分析系统。
【背景技术】
[0002]随着计算机网络在生活和工作中的大量应用，互联网给人们的生活带来了各种便利。于此同时，恶意网页逐渐成为恶意代码传播或攻击的主要渠道。恶意网页的实质是一个隐藏攻击代码的网页，用户一旦访问该网页，恶意攻击代码就会自动对浏览器、插件等带有漏洞的软件进行攻击，最终在用户不知情的情况下下载、安装和执行恶意代码，这种攻击方式使客户端系统就可能遭到不同程度的破坏，甚至造成隐私信息泄漏，给使用者造成非常大的损失，更严重的可能会影响国家的安全。
[0003]对于PC端，集成在各种安全卫士上的恶意代码检测模块效率很低，且准确性较差，极易造成漏报、误报，并且无法提供给用户针对恶意代码的专业性的处理建议。而移动端恶意代码防范领域几乎是一片空白，随着用户对手机上网的依赖程度逐年上升，如何有效防范移动端恶意代码攻击成为一个亟待解决的重要问题。
[0004]综上所述，不论是移动端还是PC端，目前针对恶意网站检查机制还比较匮乏，还不够有效。这样的准备下对于未来移动端浏览器攻击爆发的风险显然是不够的。如何检测浏览器恶意网站攻击并对用户提供有效的提示和建议是一个重要问题，对保障用户的信息安全、严厉打击网络犯罪都具有相当重要的意义，因此当今市场急需一种能够有效地检测和分析恶意网页的检测系统。

【发明内容】

[0005]本作品设计实现的基于安卓的恶意代码情报检测分析系统，采用基于抽象语法树的特征码检测技术和低交互客户端蜜罐检测技术相结合，先进行特征码检测技术排除掉大量的正常网站，并在可疑处设置断点。恶意网页送入低交互客户端蜜罐后模拟浏览器环境，同时执行代码，从而发现网页的恶意攻击行为。系统采用C/S模式，服务器端为恶意代码检测分析系统，客户端为安卓移动端或者PC端的浏览器插件。
[0006]系统分为一下几个核心模块:
[0007]1.低交互客户端蜜罐模块
[0008]低交互客户端蜜罐中，采用网页动态视图重构的方法，将网页在蜜罐中模拟运行的浏览器环境进行执行，从而发现恶意攻击行为。网页动态视图重构方法在脚本动态执行中能自动对抗网页木马的混淆，其重构出的网页动态视图保障了网页木马检测的完备性。蜜罐以脚本解释引擎为核心进行网页脚本的动态解释执行来对抗混淆，本系统采用GOOGLE公司的V8脚本解释执行引擎。通过解释引擎来实现模拟浏览器环境执行网页代码。
[0009]2.基于抽象语法树特征码匹配模块
[0011]本系统采用基于抽象语法树特征码匹配，当用户访问网页时，系统就会将网页的文本解析并把关键的特征码与恶意网页特征码库中做匹配，本系统中使用趋势科技的恶意库，如果匹配，则此网页是恶意网站。通过抽象语法树特征码检测，能把很大一部分正常网页过滤掉，同时能把一些能成功匹配恶意特征码的网页认定为恶意网站，减轻了接下来低交互客户端蜜罐的工作量，使其能更好检测那些暗藏恶意代码危险的网页。
[0012]3.客户端与服务器通信模块
[0013]客户端本系统采用较软件更轻量级的浏览器插件，支持移动设备端的浏览器也支持电脑端的浏览器，浏览器类型基本覆盖当今市场上的主流浏览器。由于各个浏览器产商有着不同的浏览器插件标准，所以要依据每个浏览器插件不同的标准来编写系统所需的浏览器插件，主要采用Javascript技术来实现与后台服务器的通信，将用户输入网址的网址传过去，将系统检测后的检测结果通过浏览器弹出提示窗口来提示用户该网页是否安全。
【附图说明】
[0014]1.图1是本发明基于客户端-服务器结构的【具体实施方式】结构图。
[0015]2.图2是本发明在服务器端基于低交互蜜罐和抽象语法树匹配算法的【具体实施方式】流程图。
[0016]3.图3是本发明基于抽象语法树匹配算法的【具体实施方式】流程图。
[0017]4.图4是本发明基于低交互蜜罐的【具体实施方式】流程图。
[0018]5.图5是安装了恶意代码情报检测客户端的谷歌浏览器访问正常网页返回的安全消息图。
[0019]6.图6是在安卓手机上安装了恶意代码情报检测客户端的手机谷歌浏览器访问正常网页返回的安全消息图。
[0020]7.图7是安装了恶意代码情报检测客户端的谷歌浏览器访问恶意网页返回的警告消息图。
【具体实施方式】
[0021]下面结合附图对本发明的【具体实施方式】进行描述，以便本领域的技术人员更好地理解本发明。需要特别注意的是，在以下的描述中，当已知功能和设计的详细描述也许会淡化本发明的主要内容时，这些描述在这里将被忽略。
[0022]图1是本发明基于客户端-服务器结构的【具体实施方式】结构图。
在本实施例中，如图1所示，网页木马的检测被客户端和服务器两方协作完成。又用户发送当下正在浏览的网页地址至服务器端，此标志着一项检测任务的开始。服务器端接收到客户发送的请求后进入如图2所示的服务器端检测流程，最终将检测好的报告发送给用户。
[0023]虽然检测软件会定期从服务器更新病毒库列表，但传统的网页木马检测活动基本完全在本地进行。这样的检测势必将占用本地的处理资源，不能适应移动端降低功耗、延长续航的要求。
[0024]我们所提出的客户端-服务器的检测模式将检测任务交到处理能力强、受功耗限制不明显的服务器端进行，客户端(也就是实际使用中的移动端)在此过程中只负责少量信息的接收发送，可以适应更严格的功耗要求。
[0025]完成上述客户端任务的主体是浏览器插件，其功能基本相同，实现也较为简单一一发送检测要求并接收检测报告。这样的设计也使得该系统拥有了更灵活的使用范围，可以对不同平台上的多种浏览器进行适配，再开发成本较低。
[0026]图2是本发明在服务器端基于低交互蜜罐和抽象语法树匹配算法的【具体实施方式】流程图。
[0027]步骤201:用户在输入网页URL地址后出发情报系统，将信息在后台发送至服务器端开始检测。
[0028]步骤202:服务器端在接收到用户发来的URL地址。
[0029]步骤203::启动抽象语法树匹配算法检测模块，并将检测结果按照匹配程度分为高低匹配率两种分类。
[0030]步骤204:当匹配率较高时，已经说明该网页有很大可能是含有恶意代码的网页，该系统将直接向用户回传风险评估报告。
[0031]步骤205:当匹配率较低，说明该网页有可能是安全的，但还需进一步检测，此时系统在少数可能含有恶意代码的位置设置断点并进入低交互客户端蜜罐检测模块。
[0032]低交互客户端蜜罐模块在接收到含有断点标记的