基于android终端日志的恶意代码检测方法及系统的制作方法
【技术领域】
[0001]本发明涉及移动终端安全领域,特别涉及一种基于android终端日志的恶意代码检测方法及系统。
【背景技术】
[0002]对于Android操作系统的病毒检测,一般是由动态检测技术与静态检测技术完成的。动态检测实时性要求比较高,一般需要确保在恶意行为产生危害之前将其检测出来,由于动态检测技术必须通过执行程序来捕获应用代码运行行为轨迹,对硬件资源消耗较大,执行效率比较低。静态检测技术需要先利用反编译技术对软件进行反编译并获取代码,然后检测代码的控制流程与代码逻辑,静态检测的检测基于已知的恶意程序,使得它对抗未知恶意程序的能力相对较差。
【发明内容】
[0003]本发明提出了一种基于android终端日志的恶意代码检测方法及系统,通过针对Android系统日志的检测,避免了以上不足,进一步提高了检测能力、节约系统资源。
[0004]一种基于android终端日志的恶意代码检测方法,包括:
主进程启动日志获取进程;
日志获取进程通过运行时接口函数获取android系统自带日志进程的对象实例;
调用所述日志进程的对象实例的日志获取函数,获取已生成的所有日志记录;
对日志记录进行预处理;
将预处理后的日志记录与恶意代码库匹配,如果匹配成功,则存在恶意行为,并将结果反馈给主进程;否则不存在恶意行为。
[0005]所述的方法中,所述对日志记录进行预处理包括:正则过滤或哈希计算。
[0006]所述的方法中,所述将预处理后的日志记录与恶意代码库匹配的方式包括:字符串匹配或哈希相似性匹配。
[0007]一种基于android终端日志的恶意代码检测系统,包括:
主模块,用于主进程启动日志获取进程;
日志获取模块,用于日志获取进程通过运行时接口函数获取android系统自带日志进程的对象实例;调用所述日志进程的对象实例的日志获取函数,获取已生成的所有日志记录;
日志检测模块,用于对日志记录进行预处理;将预处理后的日志记录与恶意代码库匹配,如果匹配成功,则存在恶意行为,并将结果反馈给主进程;否则不存在恶意行为。
[0008]所述的系统中,所述对日志记录进行预处理包括:正则过滤或哈希计算。
[0009]所述的系统中,所述将预处理后的日志记录与恶意代码库匹配的方式包括:字符串匹配或哈希相似性匹配。
[0010]本发明的优势在于,通过运行时接口函数获取Android操作系统自带的日志进程的对象实例,并通过对象实例的日志获取函数获取日志,将日志与病毒库匹配定位恶意应用,并启动警告策略。
[0011]本发明提供了一种基于android终端日志的恶意代码检测方法及系统,包括:主进程启动日志获取进程;日志获取进程通过运行时接口函数获取android系统自带日志进程的对象实例;调用所述日志进程的对象实例的日志获取函数,获取已生成的所有日志记录;对日志记录进行预处理;将预处理后的日志记录与恶意代码库匹配,如果匹配成功,则存在恶意行为,并将结果反馈给主进程;否则不存在恶意行为。本发明还对应提供了系统,通过本
【发明内容】
,将程序运行过程中的附加信息作为检查点,解决静态分析的逆向成本以及动态检测成本过高的问题。
【附图说明】
[0012]为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0013]图1为本发明一种基于android终端日志的恶意代码检测方法实施例流程图;
图2为本发明一种基于android终端日志的恶意代码检测系统实施例结构示意图。
【具体实施方式】
[0014]为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
[0015]本发明提出了一种基于android终端日志的恶意代码检测方法及系统,通过针对Android系统日志的检测,进一步提高了检测能力、节约系统资源。
[0016]一种基于android终端日志的恶意代码检测方法,如图1所示,包括:
5101:主进程启动日志获取进程;
5102:日志获取进程通过运行时接口函数Runtime获取android系统自带日志进程1gcat的对象实例;logcat进程为系统进程,用于实时获取操作系统及应用程序产生的日志信息
5103:调用所述日志进程的对象实例的日志获取函数,获取已生成的所有日志记录;
5104:对日志记录进行预处理;
5105:将预处理后的日志记录与恶意代码库匹配,如果匹配成功,则存在恶意行为,并将结果反馈给主进程;否则不存在恶意行为。
[0017]所述的方法中,所述对日志记录进行预处理包括:正则过滤或哈希计算。
[0018]所述的方法中,所述将预处理后的日志记录与恶意代码库匹配的方式包括:字符串匹配或哈希相似性匹配。
[0019]一种基于android终端日志的恶意代码检测系统,如图2所示,包括:
主模块201,用于主进程启动日志获取进程;
日志获取模块202,用于日志获取进程通过运行时接口函数获取android系统自带日志进程的对象实例;调用所述日志进程的对象实例的日志获取函数,获取已生成的所有日志记录;
日志检测模块203,用于对日志记录进行预处理;将预处理后的日志记录与恶意代码库匹配,如果匹配成功,则存在恶意行为,并将结果反馈给主进程;否则不存在恶意行为。
[0020]所述的系统中,所述对日志记录进行预处理包括:正则过滤或哈希计算。
[0021]所述的系统中,所述将预处理后的日志记录与恶意代码库匹配的方式包括:字符串匹配或哈希相似性匹配。
[0022]本发明的优势在于,通过运行时接口函数获取Android操作系统自带的日志进程的对象实例,并通过对象实例的日志获取函数获取日志,将日志与病毒库匹配定位恶意应用,并启动警告策略。
[0023]本发明提供了一种基于android终端日志的恶意代码检测方法及系统,包括:主进程启动日志获取进程;日志获取进程通过运行时接口函数获取android系统自带日志进程的对象实例;调用所述日志进程的对象实例的日志获取函数,获取已生成的所有日志记录;对日志记录进行预处理;将预处理后的日志记录与恶意代码库匹配,如果匹配成功,则存在恶意行为,并将结果反馈给主进程;否则不存在恶意行为。本发明还对应提供了系统,通过本
【发明内容】
,将程序运行过程中的附加信息作为检查点,解决静态分析的逆向成本以及动态检测成本过高的问题。
[0024]本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0025]虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
【主权项】
1.一种基于android终端日志的恶意代码检测方法,其特征在于,包括: 主进程启动日志获取进程; 日志获取进程通过运行时接口函数获取android系统自带日志进程的对象实例; 调用所述日志进程的对象实例的日志获取函数,获取已生成的所有日志记录; 对日志记录进行预处理; 将预处理后的日志记录与恶意代码库匹配,如果匹配成功,则存在恶意行为,并将结果反馈给主进程;否则不存在恶意行为。2.如权利要求1所述的方法,其特征在于,所述对日志记录进行预处理包括:正则过滤或哈希计算。3.如权利要求2所述的方法,其特征在于,所述将预处理后的日志记录与恶意代码库匹配的方式包括:字符串匹配或哈希相似性匹配。4.一种基于android终端日志的恶意代码检测系统,其特征在于,包括: 主模块,用于主进程启动日志获取进程; 日志获取模块,用于日志获取进程通过运行时接口函数获取android系统自带日志进程的对象实例;调用所述日志进程的对象实例的日志获取函数,获取已生成的所有日志记录; 日志检测模块,用于对日志记录进行预处理;将预处理后的日志记录与恶意代码库匹配,如果匹配成功,则存在恶意行为,并将结果反馈给主进程;否则不存在恶意行为。5.如权利要求4所述的系统,其特征在于,所述对日志记录进行预处理包括:正则过滤或哈希计算。6.如权利要求5所述的系统,其特征在于,所述将预处理后的日志记录与恶意代码库匹配的方式包括:字符串匹配或哈希相似性匹配。
【专利摘要】本发明提供了一种基于android终端日志的恶意代码检测方法及系统,包括:主进程启动日志获取进程;日志获取进程通过运行时接口函数获取android系统自带日志进程的对象实例;调用所述日志进程的对象实例的日志获取函数,获取已生成的所有日志记录;对日志记录进行预处理;将预处理后的日志记录与恶意代码库匹配,如果匹配成功,则存在恶意行为,并将结果反馈给主进程;否则不存在恶意行为。本发明还对应提供了系统,通过本
【发明内容】
,将程序运行过程中的附加信息作为检查点,解决静态分析的逆向成本以及动态检测成本过高的问题。
【IPC分类】G06F21/56
【公开号】CN105488412
【申请号】CN201510343505
【发明人】袁海涛, 耿进, 马志远
【申请人】哈尔滨安天科技股份有限公司
【公开日】2016年4月13日
【申请日】2015年6月19日