一种基于行为特征的移动智能终端异常代码云检测方法
【专利摘要】本发明公开一种基于行为特征的移动智能终端异常代码云检测方法,是将静态检测和动态检测综合应用于移动智能终端检测异常代码检测中,用户在下载安装对应平台的客户端软件后,对第三方软件进行扫描检测;将采集到的样本数据发送到远程云服务器,云服务器将收集到的数据进行静态检测,首先与恶意程序数据库中的数据进行对比,若存在直接将检测结果返回客户端;由于云端服务器含有庞大的特征数据库,因此可对常见的恶意程序作出快速反应;若未有匹配数据,则采取动态行为检测方法进行对程序进行检测,对未知恶意代码在运行过程中的行为进行监控;能实现对恶意代码的检测,降低误报率;同时降低对系统资源的占用,减轻系统负担。
【专利说明】
一种基于行为特征的移动智能终端异常代码云检测方法
技术领域
[0001]本发明属于异常代码检测领域领域,尤其涉及一种基于行为特征的移动智能终端异常代码云检测方法。
【背景技术】
[0002]恶意代码从首次出现至今,经历了一系列的进化演变,正在向高隐蔽性、复合型、反查杀等方向发展。其攻击动机也不再只是为满足技术心理驱动的破坏欲望,而更多是为政治、军事、知识产权及经济目的发起的特定攻击。
[0003]本方法中涉及的主要技术有:
[0004]静态检测技术:静态检测技术是一种简单快速的检测方法。在静态检测的过程中,恶意代码不需要执行,而只是对恶代码的语法、文件结构和数据流进行分析。静态检测技术起步早,数据库丰富庞大,能够快速检测出已知恶意代码,并且在检测过程中恶意代码不需要执行,不会占用太多系统资源。因此,静态检测技术被当今各大杀毒软件生产商广为使用。然而,该技术只能对那些具有独特形式的已知恶意代码才有效,不能及时地检测到不断更新变化的未知恶意代码,具有相当的滞后性。此外,经试验表明,恶意代码编写者可以应用加壳、多态、变形等技术成功规避静态检测使其检测效率大大降低。
[0005]动态检测技术:动态检测技术的核心过程将应用程序运行在一个封闭的环境并进行监视,从而分析应用程序的行为特征。有很多的参数都可以被动态分析采集,如文件权限改变、进程和线程运行情况、系统调用情况、网络访问情况等。因为动态检测需要应用程序实时运行,并且需要较长的时间采集应用程序的动态数据,所以它比静态分析更复杂。
【发明内容】
[0006]为了实现上述目的,本发明是通过以下方案实现的:
[0007]用户根据移动智能终端的系统平台下载相应的客户端应用程序。
[0008]使用第三方应用程序对客户端进行检测:对常见的异常代码可得到确定性的结果则直接将结果展示给手机用户。
[0009]对未检测出结果的程序进行样本采集,并将采集的结果发送到云端服务器。
[0010]云端服务器根据收到的样本数据,首先采取静态检测的方法对样本数据进行检测。
[0011]静态检测时,根据客户端根据样本数据获得相应的程序特征码,这里特征码是程序的基本信息分析,通过语法特征分析获得。
[0012]根据数据库搜索引擎对可疑程序的特征码进行匹配。若匹配成功,则判定该可疑代码具有恶意性,向用户提交恶意报告;若匹配不成功,则暂时判定该可疑代码不具有恶意性,进行动态行为检测。
[0013]对应用程序进行动态行为检测,对未知恶意代码在运行过程中的行为进行监控记,并将监控数据发送到云端服务器。
[0014]云端服务器根据其行为做出是否具有恶意性的判断,若判断为恶意程序,将其特征码存入特征码数据库,并将结果反馈给用户。
本发明具有以下优点:
[0015]在客户端对异常代码进行轻量级的检测,将检测结果直接反馈给用户,对常见的异常代码能够实现快速检测。
[0016]在云端对样本数据进行静态检测,即根据样本数据的特征码进行匹配检测,由于云端服务器含有庞大的特征数据库,因此可对常见的恶意程序作出快速反应。
[0017]对静态检测后未检测出的程序进行动态行为进行监控检测,并将具有恶意行为的异常代码特征码存入数据库,进一步丰富数据库,提升下一次静态检测的效率。
【附图说明】
[0018]图1是本发明所述方法的流程示意图。
【具体实施方式】
[0019]用户根据移动智能终端的系统平台下载相应的客户端应用程序;
[0020]使用第三方应用程序对客户端进行检测:对常见的异常代码可得到确定性的结果则直接将结果展示给手机用户;
[0021]对未检测出结果的程序进行样本采集,并将采集的结果发送到云端服务器;
[0022]云服务器根据收到的样本数据,首先采取静态检测的方法对样本数据进行检测;
[0023]静态检测时,根据客户端根据样本数据获得相应的程序特征码,这里特征码是程序的基本信息分析,通过语法特征分析获得;
[0024]根据数据库搜索引擎对可疑程序的特征码进行匹配。若匹配成功,则判定该可疑代码具有恶意性,向用户提交恶意报告;若匹配不成功,则暂时判定该可疑代码不具有恶意性,进彳丁动态彳丁为检测;
[0025]对应用程序进行动态行为检测,对未知恶意代码在运行过程中的行为进行监控记,并将监控数据发送到云端服务器;
[0026]云端服务器根据其行为做出是否具有恶意性的判断,若判断为恶意程序,将其特征码存入特征码数据库,并将结果反馈给用户。
【主权项】
1.一种基于行为特征的移动智能终端异常代码云检测方法,其特征是:它包括以下步骤: (1)用户根据移动智能终端的系统平台下载相应的客户端应用程序; (2)使用第三方应用程序对客户端进行检测:对常见的异常代码可得到确定性的结果则直接将结果展示给手机用户; (3)对未检测出结果的程序进行样本采集,并将采集的结果发送到云端服务器; (4)云服务器根据收到的样本数据,首先采取静态检测的方法对样本数据进行检测; (5)静态检测时,根据客户端根据样本数据获得相应的程序特征码,这里特征码是程序的基本信息分析,通过语法特征分析获得; (6)根据数据库搜索引擎对可疑程序的特征码进行匹配。若匹配成功,则判定该可疑代码具有恶意性,向用户提交恶意报告;若匹配不成功,则暂时判定该可疑代码不具有恶意性,进彳丁动态彳丁为检测; (7)对应用程序进行动态行为检测,对未知恶意代码在运行过程中的行为进行监控记,并将监控数据发送到云端服务器; (8)云端服务器根据其行为做出是否具有恶意性的判断,若判断为恶意程序,将其特征码存入特征码数据库,并将结果反馈给用户。2.根据权利要求1所述的一种基于行为特征的移动智能终端异常代码云检测方法,其特征是:客户端下载应用程序后,首先进行轻量级的检测,将检测结果直接反馈给用户,对常见的异常代码能够实现快速检测。3.根据权利要求1所述的一种基于行为特征的移动智能终端异常代码云检测方法,其特征是:进行轻量级的检测后,对未检测出的异常代码进行样本数据采集后发送到云端再次进行检测。4.根据权利要求1所述的一种基于行为特征的移动智能终端异常代码云检测方法,其特征是:对样本数据进行静态检测,即根据样本数据的特征码进行匹配检测,由于云端服务器含有庞大的特征数据库,因此可对常见的恶意程序作出快速反应。5.根据权利要求1所述的一种基于行为特征的移动智能终端异常代码云检测方法,其特征是:对静态检测后未检测出的程序进行动态行为进行监控检测,并将具有恶意行为的异常代码特征码存入数据库。
【文档编号】H04L29/08GK105897807SQ201510023257
【公开日】2016年8月24日
【申请日】2015年1月14日
【发明人】傅涛, 傅德胜, 经正俊
【申请人】江苏博智软件科技有限公司