一种基于apk证书相似性的恶意代码检测方法及系统的制作方法
【专利摘要】本发明提出了一种基于apk证书相似性的恶意代码检测方法及系统,所述方法包括:提取所述待检测应用程序文件中的证书文件;提取所述证书文件中的证书信息;解析证书信息,获取所述证书信息中的关键字段信息;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。通过对证书具体内容相似性的识别匹配,能够解决大批量脚本化生成的恶意应用的识别和检测问题。相对于静态检测,能够极大提高检测效果。
【专利说明】
一种基于apk证书相似性的恶意代码检测方法及系统
技术领域
[0001]本发明涉及移动终端安全技术领域,特别涉及一种基于apk证书相似性的恶意代码检测方法及系统。
【背景技术】
[0002]随着Android系统等智能移动平台的兴起,移动终端的恶意代码逐渐成为信息安全领域的又一重大威胁。目前,Android中的恶意代码数量正呈现出爆炸式增长的趋势,且恶意应用较多的呈现批量化,脚本化生成的趋势,同时更多的采用加密混淆和动态加载等手段,当前的移动终端恶意代码主要基于静态符号信息、Api调用序列及相应的代码片段来进行识别和检测,相应的检测相对比较耗时且效率低,此外传统的证书检测也只是单纯的检测整个证书文件,证书内容只要稍微变动,检测即会失效,当前Android移动恶意代码,同一类恶意代码可能会有大量不同的证书,只是纯粹的传统证书检测不能做到这类恶意代码的有效识别。
【发明内容】
[0003]本发明公开了一种基于apk证书相似性的恶意代码检测方法及系统,该方法基于Apk的证书信息提取,通过进行相似性的比较提取特征,能够有效识别检测大量批量脚本化生成的恶意代码。
[0004]一种基于apk证书相似性的恶意代码检测方法,包括:
接收待检测应用程序文件,提取所述待检测应用程序文件中的证书文件;
提取所述证书文件中的证书信息,所述证书信息包括Subject、Issuer、StartTime、EndTime、PublicKey 及 Vers1n 信息;
解析证书信息,获取所述证书信息中的关键字段信息,所述关键字段包括CN、0U、0、L、ST、C字段;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;
将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
[0005]所述的方法中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配包括,字符串完全匹配或部分匹配。
[0006]所述的方法中,所述字符串部分匹配时,根据相似性算法计算字符串的相似度,如果相似度超过预设值,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
[0007]所述的方法中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,还包括,判断所述证书信息中是否包含或不包含指定字符串,如果是,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
[0008]所述的方法中,恶意证书信息库为根据已知恶意代码文件的证书信息提取的关键字段信息组成。
[0009]本发明还提供一种基于apk证书相似性的恶意代码检测系统,包括:
文件接收模块,用于接收待检测应用程序文件,提取所述待检测应用程序文件中的证书文件;
信息提取模块,用于提取所述证书文件中的证书信息,所述证书信息包括Subject、Issuer、StartTime、EndTime、PublicKey 及 Vers1n 信息;
信息解析模块,用于解析证书信息,获取所述证书信息中的关键字段信息,所述关键字段包括CN、0U、0、L、ST、C字段;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;
匹配模块,用于将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
[0010]所述的系统中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配包括,字符串完全匹配或部分匹配。
[0011 ] 所述的系统中,所述字符串部分匹配时,根据相似性算法计算字符串的相似度,如果相似度超过预设值,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
[0012]所述的系统中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,还包括,过滤模块,判断所述证书信息中是否包含或不包含指定字符串,如果是,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
[0013]所述的系统中,恶意证书信息库为根据已知恶意代码文件的证书信息提取的关键字段信息组成。
[0014]本发明提出了一种基于apk证书相似性的恶意代码检测方法及系统,所述方法包括:提取所述待检测应用程序文件中的证书文件;提取所述证书文件中的证书信息;解析证书信息,获取所述证书信息中的关键字段信息;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。通过对证书具体内容相似性的识别匹配,能够解决大批量脚本化生成的恶意应用的识别和检测问题。相对于静态检测,能够极大提高检测效果。
【附图说明】
[0015]为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0016]图1为一种基于apk证书相似性的恶意代码检测方法实施例流程图;
图2为一种基于apk证书相似性的恶意代码检测系统实施例结构示意图。
【具体实施方式】
[0017]为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
[0018]本发明公开了一种基于apk证书相似性的恶意代码检测方法及系统,该方法基于Apk的证书信息提取,通过进行相似性的比较提取特征,能够有效识别检测大量批量脚本化生成的恶意代码。
[0019]一种基于apk证书相似性的恶意代码检测方法,如图1所示,包括:
5101:接收待检测应用程序文件,提取所述待检测应用程序文件中的证书文件;应用程序文件一般为可执行文件,如APK文件,ZIP格式;证书文件一般位于NETA-1NF目录下,#W.DSA、.RSA、.D(^*M ;
5102:提取所述证书文件中的证书信息,所述证书信息包括Subject、Issuer、StartTime、EndTime、PublicKey 及 Vers1n 信息;
5103:解析证书信息,获取所述证书信息中的关键字段信息,所述关键字段包括CN、0U、0、L、ST、C字段;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;
Android应用程序在进行签名时会输入如下信息:CN、0U、0、L、ST、C,分别对应为First and Last Name、Organizat1nal Unit、Organizat1n、City or Locality、Stateor Province、Country Code,这些信息具有一定标示性作用,而脚本化批量生成签名的应用,这些信息更是具有一定的规律性的特点,所以进行以上字段的提取,证书内容信息可根据一般证书格式提取来实现;
5104:将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
[0020]所述的方法中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配包括,字符串完全匹配或部分匹配。
[0021]所述的方法中,所述字符串部分匹配时,根据相似性算法计算字符串的相似度,如果相似度超过预设值,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
[0022]所述的方法中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,还包括,判断所述证书信息中是否包含或不包含指定字符串,如果是,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
[0023]所述的方法中,恶意证书信息库为根据已知恶意代码文件的证书信息提取的关键字段信息组成。证书信息的提取方式同样按本发明方法进行提取。
[0024]本发明还提供一种基于apk证书相似性的恶意代码检测系统,如图2所示,包括: 文件接收模块201,用于接收待检测应用程序文件,提取所述待检测应用程序文件中的证书文件;
信息提取模块202,用于提取所述证书文件中的证书信息,所述证书信息包括Subject、Issuer、StartTime、EndTime、PublicKey 及 Vers1n 信息;
信息解析模块203,用于解析证书信息,获取所述证书信息中的关键字段信息,所述关键字段包括CN、0U、0、L、ST、C字段;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;
匹配模块204,用于将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
[0025]所述的系统中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配包括,字符串完全匹配或部分匹配。
[0026]所述的系统中,所述字符串部分匹配时,根据相似性算法计算字符串的相似度,如果相似度超过预设值,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
[0027]所述的系统中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,还包括,过滤模块,判断所述证书信息中是否包含或不包含指定字符串,如果是,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
[0028]所述的系统中,恶意证书信息库为根据已知恶意代码文件的证书信息提取的关键字段信息组成。
[0029]本发明提出了一种基于apk证书相似性的恶意代码检测方法及系统,所述方法包括:提取所述待检测应用程序文件中的证书文件;提取所述证书文件中的证书信息;解析证书信息,获取所述证书信息中的关键字段信息;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。通过对证书具体内容相似性的识别匹配,能够解决大批量脚本化生成的恶意应用的识别和检测问题。相对于静态检测,能够极大提高检测效果。
[0030]通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中。
[0031]本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。以上所述,仅为本发明的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。
[0032]虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
【主权项】
1.一种基于apk证书相似性的恶意代码检测方法,其特征在于,包括: 接收待检测应用程序文件,提取所述待检测应用程序文件中的证书文件; 提取所述证书文件中的证书信息,所述证书信息包括Subject、Issuer、StartTime、EndTime、PublicKey 及 Vers1n 信息; 解析证书信息,获取所述证书信息中的关键字段信息,关键字段包括CN、0U、0、L、ST、C字段;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息; 将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。2.如权利要求1所述的方法,其特征在于,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配包括,字符串完全匹配或部分匹配。3.如权利要求2所述的方法,其特征在于,所述字符串部分匹配时,根据相似性算法计算字符串的相似度,如果相似度超过预设值,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。4.如权利要求1或3所述的方法,其特征在于,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,还包括,判断所述证书信息中是否包含或不包含指定字符串,如果是,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。5.如权利要求4所述的方法,其特征在于,恶意证书信息库为根据已知恶意代码文件的证书?目息提取的关键字段?目息组成。6.一种基于apk证书相似性的恶意代码检测系统,其特征在于,包括: 文件接收模块,用于接收待检测应用程序文件,提取所述待检测应用程序文件中的证书文件; 信息提取模块,用于提取所述证书文件中的证书信息,所述证书信息包括Subject、Issuer、StartTime、EndTime、PublicKey 及 Vers1n 信息; 信息解析模块,用于解析证书信息,获取所述证书信息中的关键字段信息,所述关键字段包括CN、0U、0、L、ST、C字段;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息; 匹配模块,用于将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。7.如权利要求6所述的系统,其特征在于,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配包括,字符串完全匹配或部分匹配。8.如权利要求7所述的系统,其特征在于,所述字符串部分匹配时,根据相似性算法计算字符串的相似度,如果相似度超过预设值,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。9.如权利要求6或8所述的系统,其特征在于,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,还包括,过滤模块,判断所述证书信息中是否包含或不包含指定字符串,如果是,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。10.如权利要求9所述的系统,其特征在于,恶意证书信息库为根据已知恶意代码文件的证书彳目息提取的关键字段彳目息组成D
【文档编号】G06F21/56GK105975855SQ201510538054
【公开日】2016年9月28日
【申请日】2015年8月28日
【发明人】李勤涛, 乔伟, 潘宣辰
【申请人】武汉安天信息技术有限责任公司