1.一种针对应用恶意代码检测与定位的方法,其特征在于,包括:
通过对应用执行产生的流量的特征分析进行异常流量检测;
对检测到的异常流量的特征进行应用行为分析,找出对应的可疑恶意代码并进行标记及分类;
根据对所述可疑恶意代码的分类和各标记点间执行结果之间的关联,对所述恶意代码进行定位。
2.根据权利要求1所述的针对应用恶意代码检测与定位的方法,其特征在于,对应用进行异常流量检测包括:
通过包内容分析、包头分析和异常ip检测的方式对异常流量进行检测,区分出异常流量。
3.根据权利要求2所述的针对应用恶意代码检测与定位的方法,其特征在于,对应用进行异常流量检测还包括:
使用白名单对应用运行时的流量进行识别和筛选,筛除特殊情况的正常流量,区分出异常流量。
4.根据权利要求1所述的针对应用恶意代码检测与定位的方法,其特征在于,对所述恶意代码进行定位还包括:
根据所述可疑恶意代码的恶意行为与特定应用程序编程接口调用的关系,对所述恶意代码进行定位。
5.根据权利要求1所述的针对应用恶意代码检测与定位的方法,其特征在于,对检测到的异常流量的特征进行应用行为分析,找出对应的可疑恶意代码并进行标记及分类,包括:
通过数据库聚类缩小恶意代码的标记范围,精确标记可疑恶意代码并对所述可疑恶意代码分类。
6.根据权利要求5所述的针对应用恶意代码检测与定位的方法,其特征在于,对所述可疑恶意代码进行分类,其类型包括:
隐私窃取类恶意代码、远程控制类恶意代码和恶意传播类恶意代码。
7.根据权利要求1所述的针对应用恶意代码检测与定位的方法,其特征在于,对所述可疑恶意代码进行标记,还包括:
对所述可疑恶意代码进行标记时,记录所述可疑恶意代码的位置并生成日志。
8.根据权利要求1所述的针对应用恶意代码检测与定位的方法,其特征在于,根据对所述可疑恶意代码的分类和各标记点间执行结果之间的关联,对所述恶意代码进行定位之后,还包括:
配合程序控制流图进行恶意代码段及运行路径的定位,提取出所述恶意代码的完整执行逻辑。
9.根据权利要求8所述的针对应用恶意代码检测与定位的方法,其特征在于,配合程序控制流图进行恶意代码段及运行路径的定位,提取出所述恶意代码的完整执行逻辑,还包括:
对基础的所述程序控制流图加以修改、添加对多线程和各组件间通信产生的控制流图路径的补充。
10.一种针对应用恶意代码检测与定位的装置,其特征在于,包括:
异常流量检测模块,用于通过对应用执行产生的流量的特征分析进行异常流量检测;
应用行为分析模块,对检测到的异常流量的特征进行应用行为分析,找出对应的可疑恶意代码并进行标记及分类;
恶意代码定位模块,根据对所述可疑恶意代码的分类和各标记点间执行结果之间的关联,对所述恶意代码进行定位。