进行分析,以提取所述信息文件中的 有关恶意行为的数据。根据本发明的优选实施例,将提取的有关恶意行为的数据记录在XML 文件中。
[0064] 在步骤S630,云端服务器根据提取的有关恶意行为的数据生成键值对列表 〈sourcelD,threatvalue〉,其中,作为键值的sourcelD为所述信息文件的标识,threat value为所述恶意行为的特征值。
[0065] 在步骤S640,云端服务器对键值对列表〈sourcelD,threatvalue〉与病毒知识库 数据进行第一轮MapReduce计算及匹配,生成列表〈threatID,list(threatvalue) >,其 中,所述病毒知识库包括〈malwarefamilyID,threatID,至少一个threatvalue〉记录。 如果匹配出〈threatvalue,null〉,即匹配出的病毒家族列表为空,贝U说明该病毒威胁可能 是新的病毒家族,结束图6所述方法的处理。
[0066] 根据本发明的优选实施例,所述病毒知识库中的每个记录还包括所述threatID 所属的病毒分类的信息。
[0067] 通常,移动终端的病毒威胁分为数据泄露(dataleakage)、SMS盗取(SMS activities)、监控行为(spy)、文件操作活动(fileactivities)、网络活动(network activities)以及系统命令执行(codeexecution)。以下列出部分病毒威胁与所属的病毒 分类:
[0068]-数据泄露:泄露SMS/Contact/Phone/Call/GPS/Location信息
[0069]
【主权项】
1. 一种手机病毒分析和威胁关联的方法,包括,在云端执行w下步骤: A) 接收移动终端应用的信息文件; B) 对接收的信息文件进行分析,W提取所述信息文件中的有关恶意行为的数据; C) 根据提取的有关恶意行为的数据生成键值对列表 < 数据源标识,威胁值〉,其中,作 为键值的数据源标识为所述信息文件的标识,威胁值为所述恶意行为的特征值; D) 对键值对列表 < 数据源标识,威胁值〉与病毒知识库数据进行第一轮MapRe化ce计 算及匹配,生成列表 < 威胁标识,威胁值列表〉,其中,所述病毒知识库包括 < 病毒家族标识, 威胁标识,至少一个威胁值〉记录; E) 对列表 < 威胁标识,威胁值列表〉与病毒知识库数据进行第二轮第一阶段MapRe化ce 计算及匹配,生成列表 < 威胁值,病毒家族标识列表〉; F) 对列表 < 威胁值,病毒家族标识列表〉、键值对列表 < 数据源标识,威胁值〉、列表< 威胁标识,威胁值列表〉W及病毒知识库数据进行第二轮第二阶段MapRe化ce计算及匹配, 生成列表 < 数据源标识,病毒关联数据列表〉,其中,所述病毒关联数据列表中的每个项目 包括病毒家族标识W及威胁值列表; G) 输出所述列表 < 数据源标识,病毒关联数据列表〉。
2. 如权利要求1所述的方法,其特征在于,所述移动终端应用的信息文件是移动终端 应用的应用程序文件、移动终端应用的运行日志文件W及移动终端的流量数据文件中的至 少一个。
3. 如权利要求2所述的方法,其特征在于,在步骤B)中,将提取的有关恶意行为的数据 记录在XML文件中。
4. 如权利要求3所述的方法,还包括;在执行步骤E)前,对在步骤D)生成的列表 < 威 胁标识,威胁值列表〉执行过滤、去噪处理。
5. 如权利要求4所述的方法,其特征在于,所述病毒知识库中的每个记录还包括所述 威胁标识所属的病毒分类的信息。
6. 如权利要求5所述的方法,其特征在于,步骤G)包括;W图形的形式输出所述列表< 数据源标识,病毒关联数据列表〉。
7. 如权利要求6所述的方法,其特征在于,所述W图形的形式输出所述列表<数据源标 识,病毒关联数据列表〉包括:W所述数据源标识对应的信息文件为核也,绘制其病毒家族 标识对应的病毒家族信息W及威胁值。
8. 如权利要求7所述的方法,其特征在于,在步骤F)中,为每个数据源标识生成的病毒 关联数据列表还包括每个威胁值对应的威胁标识W及所述威胁标识所属的病毒分类。
9. 如权利要求8所述的方法,其特征在于,步骤G)还包括:绘制每个威胁值对应的威 胁标识所属的病毒分类的信息。
10. 如权利要求9所述的方法,其特征在于,步骤G)还包括:为每个绘制的病毒分类的 信息设置用于显示所述病毒分类相应的威胁标识的名称的页面的链接。
11. 如权利要求1~10中任一项所述的方法,其特征在于,所述数据源标识包括企业标 识、用户标识W及文件标识。
12. 一种位于云端的手机病毒分析和威胁关联的系统,包括: 接收单元,用于接收移动终端应用的信息文件; 数据提取单元,用于对接收单元接收的信息文件进行分析,w提取所述信息文件中的 有关恶意行为的数据; 第一处理单元,用于从数据提取单元提取的有关恶意行为的数据提取键值对列表 < 数 据源标识,威胁值〉,其中,作为键值的数据源标识为所述信息文件的标识,威胁值为所述恶 意行为的特征值; 第二处理单元,用于对键值对列表 < 数据源标识,威胁值〉与病毒知识库数据进行第一 轮MapRe化ce计算及匹配,生成列表 < 威胁标识,威胁值列表〉,其中,所述病毒知识库包括 <病毒家族标识,威胁标识,至少一个威胁值〉记录; 第H处理单元,用于对列表 < 威胁标识,威胁值列表〉与病毒知识库数据进行第二轮第 一阶段MapRe化ce计算及匹配,生成列表 < 威胁值,病毒家族标识列表〉; 第四处理单元,用于对列表 < 威胁值,病毒家族标识列表〉、键值对列表 < 数据源标 识,威胁值〉、列表 < 威胁标识,威胁值列表〉W及病毒知识库数据进行第二轮第二阶段 MapRe化ce计算及匹配,生成列表 < 数据源标识,病毒关联数据列表〉,其中,所述病毒关联 数据列表中的每个项目包括病毒家族标识W及威胁值列表; 输出单元,用于输出所述列表 < 数据源标识,病毒关联数据列表〉。
13. 如权利要求12所述的系统,其特征在于,所述移动终端应用的信息文件是移动终 端应用的应用程序文件、移动终端应用的运行日志文件W及移动终端的流量数据文件中的 至少一个。
14. 如权利要求13所述的系统,其特征在于,数据提取单元将提取的有关恶意行为的 数据记录在XML文件中。
15. 如权利要求14所述的系统,其特征在于,第H处理单元在执行第二轮第一阶段 MapRe化ce计算及匹配前,对第二处理单元生成的列表 < 威胁标识,威胁值列表〉执行过滤、 去噪处理。
16. 如权利要求15所述的系统,其特征在于,所述病毒知识库中的每个记录还包括所 述威胁标识所属的病毒分类的信息。
17. 如权利要求16所述的系统,其特征在于,输出单元W图形的形式输出所述列表<数 据源标识,病毒关联数据列表〉。
18. 如权利要求17所述的系统,其特征在于,输出单元W所述数据源标识对应的信息 文件为核也,绘制其病毒家族标识对应的病毒家族信息W及威胁值。
19. 如权利要求18所述的系统,其特征在于,第四处理单元还为每个数据源标识生成 的病毒关联数据列表还包括每个威胁值对应的威胁标识W及所述威胁标识所属的病毒分 类。
20. 如权利要求19所述的系统,其特征在于,输出单元还绘制每个威胁值对应的威胁 标识所属的病毒分类的信息。
21. 如权利要求20所述的系统,其特征在于,输出单元还为每个绘制的病毒分类的信 息设置用于显示所述病毒分类相应的威胁标识的名称的页面的链接。
【专利摘要】提供了一种手机病毒分析和威胁关联的方法和系统。所述手机病毒分析和威胁关联的方法,包括:接收移动终端应用的信息文件;对接收的信息文件进行分析,以提取所述信息文件中的有关恶意行为的数据;从提取的有关恶意行为的数据提取键值对列表<数据源标识,威胁值>,其中,作为键值的数据源标识为所述信息文件的标识,威胁值为所述恶意行为的特征值;通过对键值对列表<数据源标识,威胁值>与病毒知识库数据进行多次MapReduce计算及匹配,生成列表<数据源标识,病毒关联数据列表>,其中,所述病毒关联数据列表中的每个项目包括病毒家族标识以及威胁值列表;以图形的形式输出所述列表<数据源标识,病毒关联数据列表>。
【IPC分类】G06F21-56, H04W12-00
【公开号】CN104640105
【申请号】CN201410016559
【发明人】严威
【申请人】严威
【公开日】2015年5月20日
【申请日】2014年1月14日