手机病毒分析和威胁关联的方法和系统的制作方法
【技术领域】
[0001] 本申请涉及一种手机病毒分析和威胁关联的方法和系统,尤其涉及一种通过对移 动终端应用的多种信息数据进行分析及MapReduce计算来取得其深度的病毒威胁关联的 技术。
【背景技术】
[0002] 随着例如智能手机、平板电脑等的智能移动终端的广泛使用以及各种移动终端应 用的推广,智能移动终端的安全问题成为移动互联网行业以及移动互联网用户最为重视的 问题之一。2012年手机病毒的指数级增长是移动互联网安全的一个爆发点。根据统计,在 2012年10月,手机病毒只有22万,而2013年上半年已经突破了 100万。病毒的快速变换 使传统杀毒软件很难检测它们,而手机电池寿命短使得无法使用传统的基于病毒行为的检 测方法,导致现有的手机杀毒方法无法适应大量即将出现的病毒,检测效果将会下降。
[0003] 另一方面,越来越多的用户使用自己的移动设备访问企业服务器、进行业务操作, 甚至替换PC进行日常工作处理。此外,很多设备不受管理员的控制,这就意味着企业敏感 数据没有受到企业现有遵从、安全及数据丢失防护等政策的约束。现有的企业手机应用保 护方案仅仅检测手机应用商店里的软件是否有毒,然后让用户通过手机下载运行。然而目 前普遍使用的安卓系统不是闭合的,比如中国手机应用不通过谷歌安卓商店,大家各自为 营,造成病毒在开环的环境泛滥。上述的防范方法存在很大的漏洞。
[0004] 通常在对例如智能手机的应用进行恶意软件的分析时,是对所述应用的程序代码 (即apk文件)进行分析,提取有安全风险的函数/方法调用、内容以及软件行为的关联数 据。然而,这种对应用执行静态分析的方法能够分析出的恶意威胁数据较为有限,无法捕捉 更多在使用的过程中产生安全风险的行为以及产生不合理流量的行为的信息,也无法获得 深度的病毒威胁关联数据。
【发明内容】
[0005] 本发明的目的在于提供一种用于手机病毒分析和威胁关联的方法和系统,通过对 移动终端应用的多种信息数据进行分析及多次MapReduce计算来取得多层次、深度的病毒 威胁关联数据,以便于准确地识别移动终端应用涉及的病毒威胁以及威胁关联,利于确保 移动终端应用的安全性。
[0006] 根据本发明的一方面,提供一种手机病毒分析和威胁关联的方法,包括,在云端执 行以下步骤:A)接收移动终端应用的信息文件;B)对接收的信息文件进行分析,以提取所 述信息文件中的有关恶意行为的数据;C)根据提取的有关恶意行为的数据生成键值对列表 〈数据源标识,威胁值〉,其中,作为键值的数据源标识为所述信息文件的标识,威胁值为所 述恶意行为的特征值;D)对键值对列表〈数据源标识,威胁值〉与病毒知识库数据进行第 一轮MapReduce计算及匹配,生成列表〈威胁标识,威胁值列表〉,其中,所述病毒知识库包 括〈病毒家族标识,威胁标识,至少一个威胁值〉记录;E)对列表〈威胁标识,威胁值列表 >与病毒知识库数据进行第二轮第一阶段MapReduce计算及匹配,生成列表〈威胁值,病毒 家族标识列表〉;F)对列表〈威胁值,病毒家族标识列表〉、键值对列表〈数据源标识,威胁 值〉、列表〈威胁标识,威胁值列表〉以及病毒知识库数据进行第二轮第二阶段MapReduce 计算及匹配,生成列表〈数据源标识,病毒关联数据列表〉,其中,所述病毒关联数据列表中 的每个项目包括病毒家族标识以及威胁值列表;G)输出所述列表〈数据源标识,病毒关联 数据列表〉。
[0007] 所述移动终端应用的信息文件可以是移动终端应用的应用程序文件、移动终端应 用的运行日志文件以及移动终端的流量数据文件中的至少一个。
[0008] 优选地,在步骤B)中,将提取的有关恶意行为的数据记录在XML文件中。
[0009] 优选地,所述的方法还包括:在执行步骤E)前,对在步骤D)生成的列表〈威胁标 识,威胁值列表〉执行过滤、去噪处理。
[0010] 优选地,所述病毒知识库中的每个记录还包括所述威胁标识所属的病毒分类的信 肩、。
[0011] 优选地,步骤G)包括:以图形的形式输出所述列表〈数据源标识,病毒关联数据列 表〉。
[0012] 优选地,所述以图形的形式输出所述列表〈数据源标识,病毒关联数据列表〉包 括:以所述数据源标识对应的信息文件为核心,绘制其病毒家族标识对应的病毒家族信息 以及威胁值。
[0013] 优选地,在步骤F)中,为每个数据源标识生成的病毒关联数据列表还包括每个威 胁值对应的威胁标识以及所述威胁标识所属的病毒分类。
[0014] 优选地,步骤G)还包括:绘制每个威胁值对应的威胁标识所属的病毒分类的信 肩、。
[0015] 优选地,步骤G)还包括:为每个绘制的病毒分类的信息设置用于显示所述病毒分 类相应的威胁标识的名称的页面的链接。
[0016] 优选地,所述数据源标识包括企业标识、用户标识以及文件标识。
[0017] 根据本发明的另一方面,提供一种位于云端的用于手机病毒分析和威胁关联的系 统,包括:接收单元,用于接收移动终端应用的信息文件;数据提取单元,用于对接收单元 接收的信息文件进行分析,以提取所述信息文件中的有关恶意行为的数据;第一处理单元, 用于从数据提取单元提取的有关恶意行为的数据提取键值对列表〈数据源标识,威胁值〉, 其中,作为键值的数据源标识为所述信息文件的标识,威胁值为所述恶意行为的特征值; 第二处理单元,用于对键值对列表〈数据源标识,威胁值 > 与病毒知识库数据进行第一轮 MapReduce计算及匹配,生成列表〈威胁标识,威胁值列表〉,其中,所述病毒知识库包括〈 病毒家族标识,威胁标识,至少一个威胁值〉记录;第三处理单元,用于对列表〈威胁标识, 威胁值列表〉与病毒知识库数据进行第二轮第一阶段MapReduce计算及匹配,生成列表〈 威胁值,病毒家族标识列表〉;第四处理单元,用于对列表〈威胁值,病毒家族标识列表〉、键 值对列表〈数据源标识,威胁值〉、列表〈威胁标识,威胁值列表〉以及病毒知识库数据进行 第二轮第二阶段MapReduce计算及匹配,生成列表〈数据源标识,病毒关联数据列表〉,其 中,所述病毒关联数据列表中的每个项目包括病毒家族标识以及威胁值列表;输出单元,用 于输出所述列表〈数据源标识,病毒关联数据列表〉。
[0018] 所述移动终端应用的信息文件可以是,但不限于,移动终端应用的应用程序文件、 移动终端应用的运行日志文件以及移动终端的流量数据文件中的至少一个。
[0019] 优选地,数据提取单元将提取的有关恶意行为的数据记录在XML文件中。
[0020] 优选地,第三处理单元在执行第二轮第一阶段MapReduce计算及匹配前,对第二 处理单元生成的列表〈威胁标识,威胁值列表〉执行过滤、去噪处理。
[0021] 优选地,所述病毒知识库中的每个记录还包括所述威胁标识所属的病毒分类的信 肩、。
[0022] 优选地,输出单元以图形的形式输出所述列表〈数据源标识,病毒关联数据列表 >〇
[0023] 优选地,输出单元以所述数据源标识对应的信息文件为核心,绘制其病毒家族标 识对应的病毒家族信息以及威胁值。
[0024] 优选地,第四处理单元还为每个数据源标识生成的病毒关联数据列表还包括每个 威胁值对应的威胁标识以及所述威胁标识所属的病毒分类。
[0025] 优选地,输出单元还绘制每个威胁值对应的威胁标识所属的病毒分类的信息。
[0026] 优选地,输出单元还为每个绘制的病毒分类的信息设置用于显示所述病毒分类相 应的威胁标识的名称的页面的链接。
[0027] 有益效果
[0028] 本发明的用于手机病毒分析和威胁关联的方法和系统可通过对移动终端应用的 多种信息数据进行分析及多次MapReduce计算来取得多层次、深度的病毒威胁关联数据, 以便于准确地识别移动终端应用涉及的病毒威胁以及威胁关联,并且检测出最新的病毒变 种和零日攻击;此外,还以图形的形式直观地呈现分析出的病毒威胁关联数据。
【附图说明】
[0029] 通过下面结合附图进行的描述,本发明的上述和其他目的和特点将会变得更加清 楚,其中:
[0030] 图1是示出根据本发明的示例性实施例通过多种数据源执行移动终端病毒威胁 关联的分析的总体示意图;
[0031] 图2示例性地示出智能手机的运行日志;
[0032] 图3A~图3C分别示出根据本发明的示例性实施例的提取的有关恶意行为的数据 的示例;
[0033] 图4是示出根据本发明的示例性实施例对整理过的恶意行为数据执行多次 MapReduce计算以生成病毒关联数据的示意图;
[0034] 图5示意性地示出根据本发明的示例性实施例对整理过的恶意行为数据执行多 次MapReduce计算以生成病毒关联数据的数据变换;
[0035] 图6是示出根据