程序的行为特征提取方法、恶意程序的检测方法及其装置的制造方法

程序的行为特征提取方法、恶意程序的检测方法及其装置的制造方法
【技术领域】
[0001]本发明涉及终端安全领域，尤其涉及一种程序的行为特征提取方法、装置和客户端以及恶意程序的检测方法、装置和客户端。
【背景技术】
[0002]随着智能移动终端的不断发展，针对智能移动终端的恶意程序也大幅增长。恶意程序可被添加至各种移动应用中，当移动终端安装了具有恶意程序的移动应用后，恶意程序会在后台运行，并根据接收到的短信指令进行相应的操作，如收集并上传用户位置信息或通讯录等数据、向固定号码拨打电话或更改用户设置等，给用户带来极大安全隐患。目前，可通过静态分析技术对程序包名以及其他静态特征进行分析，判断程序类型。还可通过动态分析技术获取程序在虚拟机中运行时产生的行为特征，并据此对恶意程序进行识别。
[0003]在实现本发明的过程中，发明人发现现有技术至少存在以下问题:当恶意程序被加密或者进行变种后，无法通过静态分析技术准确识别出该恶意程序。同时，对于远程控制的恶意程序，如通过短信指令控制的恶意程序，其行为特征会根据不同的远程控制指令而不同，现有的动态分析技术则无法对此种恶意程序的行为特征进行有效分析，用户的数据安全仍然存在安全隐患。

【发明内容】

[0004]本发明旨在至少解决上述技术问题之一。
[0005]为此，本发明的第一个目的在于提出一种程序的行为特征提取方法。该方法能够实现对恶意程序的行为特征进行快速有效的识别，同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。
[0006]本发明的第二个目的在于提出一种程序的行为特征提取装置。
[0007]本发明的第三个目的在于提出一种客户端。
[0008]本发明的第四个目的在于提出一种恶意程序的检测方法。
[0009]本发明的第五个目的在于提出一种恶意程序的检测装置。
[0010]本发明的第六个目的在于提出另一种客户端。
[0011]为了实现上述目的，本发明第一方面实施例的程序的行为特征提取方法包括以下步骤:运行待测程序；接收第一测试短信，并获取所述待测程序在匹配所述第一测试短信时调用的预置关键字；以及根据所述预置关键字生成第二测试短信，并提取所述程序根据所述第二测试短信产生的行为特征，并将所述行为特征添加至所述程序对应的行为特征集口 ο
[0012]根据本发明实施例的程序的行为特征提取方法，可获取待测程序在匹配第一测试短信是调用的预置关键字，进而根据预置关键字生成第二测试短信，并获取该待测程序根据第二测试短信产生的行为特征，因此，该方法能够获取恶意程序的行为特征以建立恶意行为特征库，从而实现对恶意程序的行为特征进行快速有效的识别，同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。
[0013]为了实现上述目的，本发明第二方面实施例的程序的行为特征提取装置，包括:程序运行模块，用于运行待测程序；接收模块，用于接收第一测试短信；获取模块，用于获取所述待测程序在匹配所述第一测试短信时调用的预置关键字；生成模块，用于根据所述预置关键字生成第二测试短信；以及提取模块，用于提取所述程序根据所述第二测试短信产生的行为特征，并将所述行为特征添加至所述程序对应的行为特征集合。
[0014]根据本发明实施例的程序的行为特征提取装置，可获取待测程序在匹配第一测试短信是调用的预置关键字，进而根据预置关键字生成第二测试短信，并获取该待测程序根据第二测试短信产生的行为特征，因此，该方法能够获取恶意程序的行为特征以建立恶意行为特征库，从而实现对恶意程序的行为特征进行快速有效的识别，同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。
[0015]为了实现上述目的，本发明第三方面实施例的客户端，包括:外壳，屏幕，处理器和电路板；所述屏幕安置在所述外壳上，所述电路板安置在所述外壳围成的空间内部，所述处理器设置在所述电路板上；所述处理器用于处理数据，并具体用于:运行待测程序；接收第一测试短信，并获取所述待测程序在匹配所述第一测试短信时调用的预置关键字；以及根据所述预置关键字生成第二测试短信，并提取所述程序根据所述第二测试短信产生的行为特征，并将所述行为特征添加至所述程序对应的行为特征集合。
[0016]根据本发明实施例的客户端，可获取待测程序在匹配第一测试短信是调用的预置关键字，进而根据预置关键字生成第二测试短信，并获取该待测程序根据第二测试短信产生的行为特征，因此，该方法能够获取恶意程序的行为特征以建立恶意行为特征库，从而实现对恶意程序的行为特征进行快速有效的识别，同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。
[0017]为了实现上述目的，本发明第四方面实施例的恶意程序的检测方法，包括一下步骤:运行待测程序；接收第一测试短信，其中，所述第一测试短信是由所述移动终端以外的设备发送的；获取所述待测程序在匹配所述第一测试短信时调用的预置关键字；根据所述预置关键字生成第二测试短信，并提取所述待测程序根据所述第二测试短信产生的行为特征，并将所述行为特征添加至所述待测程序对应的行为特征集合；以及将所述行为特征集合与恶意行为特征库进行匹配以检测所述待测程序是否为恶意程序。
[0018]根据本发明实施例的恶意程序的检测方法，可获取待测程序在匹配第一测试短信是调用的预置关键字，并进一步获取待测程序的行为特征，从而根据待测程序的行为特征动态分析待测程序是否恶意程序，实现了对恶意程序的行为特征的快速有效识别，同时为阻断和清除包含危害行为的恶意程序的提供了有利依据。
[0019]为了实现上述目的，本发明第五方面实施例的恶意程序的检测装置，包括:程序运行模块，用于运行待测程序；接收模块，用于接收第一测试短信，其中，所述第一测试短信是由所述移动终端以外的设备发送的；获取模块，用于获取所述待测程序在匹配所述第一测试短信时调用的预置关键字；生成模块，用于根据所述预置关键字生成所述第二测试短信；提取模块，用于提取所述待测程序根据所述第二测试短信产生的行为特征，并将所述行为特征添加至所述待测程序对应的行为特征集合；以及检测模块，用于将所述行为特征集合与恶意行为特征库进行匹配以检测所述待测程序是否为恶意程序。
[0020]根据本发明实施例的恶意程序的检测装置，可获取待测程序在匹配第一测试短信是调用的预置关键字，并进一步获取待测程序的行为特征，从而根据待测程序的行为特征动态分析待测程序是否恶意程序，实现了对恶意程序的行为特征的快速有效识别，同时为阻断和清除包含危害行为的恶意程序的提供了有利依据。
[0021]为了实现上述目的，本发明第六方面实施例的客户端，包括:外壳，屏幕，处理器和电路板；所述屏幕安置在所述外壳上，所述电路板安置在所述外壳围成的空间内部，所述处理器设置在所述电路板上；所述处理器用于处理数据，并具体用于:运行待测程序；接收第一测试短信，其中，所述第一测试短信是由所述移动终端以外的设备发送的；获取所述待测程序在匹配所述第一测试短信时调用的预置关键字；根据所述预置关键字生成第二测试短信，并提取所述待测程序根据所述第二测试短信产生的行为特征，并将所述行为特征添加至所述待测程序对应的行为特征集合；以及将所述行为特征集合与恶意行为特征库进行匹配以检测所述待测程序是否为恶意程序。
[0022]根据本发明实施例的客户端，可获取待测程序在匹配第一测试短信是调用的预置关键字，并进一步获取待测程序的行为特征，从而根据待测程序的行为特征动态分析待测程序是否恶意程序，实现了对恶意程序的行为特征的快速有效识别，同时为阻断和清除包含危害行为的恶意程序的提供了有利依据。
[0023]本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。
【附图说明】
[0024]本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中，
[0025]图1是根据本发明一个实施例的程序的行为特征提取方法；
[0026]图2是根据本发明一个具体实施例的获取待测程序中的预置关键字的流程图；
[0027]图3是根据本发明另一个实施例的程序的行为特征提取方法；
[0028]图4是根据本发明一个实施例的程序的行为特征提取装置的结构示意图；
[0029]图5是根据本发明另一个实施例的程序的行为特征提取装置的结构示意图；
[0030]图6是根据本发明一个实施例的恶意程序的检测方法；
[0031]图7是根据本发明另一个实施例的恶意程序的检测方法；
[0032]图8是根据本发明一个实施例的恶意程序的检测装置的结构示意图；
[0033]图9是根据本发明另一个实施例的恶意程序的检测装置的结构示意图。
【具体实施方式】
[0034]下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。相反，本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
[0035]在本发明的描述中，需要理解的是，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。此外，在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。
[0036]流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。
[0037]需要说明的是，本发明的实施例优选适用于移动设备，例如，1S操作系统(10S是由苹果公司开发的手持设备操作系统)、安卓操作系统(Android系统是一种基于Linux的自由及开放源代码的操作系统)、Windows Phone操作系统(Windows Phone是微软公司发布的一款手机操作系统)的移动设备，当然也适用于个人计算机以及其他智能移动设备，本发明对此不作限定。其中，，移动设备可以是手机、平板电脑、个人数字助理、电子书等具有各种操作系统的硬件设备。
[0038]下面参考附图描述根据本发明实施例的程序的行为特征提取方法、装置和客户端以及恶意程序的测试方法、装置和客户端。
[0039]目前，对于远程控制的恶意程序，现有的静态分析技术和动态分析技术无法有效识别，从而不能对其进行拦截，使得移动终端用户的数据安全受到威胁，为了对此类恶意程序的行为特征进行有效分析和拦截，以保障用户数据安全，本发明提出一种程序的行为特征提取方法。
[0040]图1是根据本发明一个实施例的程序的行为特征提取方法的流程图。
[0041]在本发明的实施例中，可通过测试设备对待测程序的行为特征进行提取，其中该测试设备包括第一终端模拟器和第二模拟器。其中，第一终端模拟器可为虚拟机，用于运行待测程序；第二模拟器可为短信生成模拟器，可存在于终端设备或者服务器端，用于生成提取待测程序的行为特征时所需的测试短信，本发明对此不做