惡意軟件審核方法和系統的制作方法

惡意軟件審核方法和系統的制作方法
【專利摘要】本發明涉及一種惡意軟件審核方法和系統。所述方法包括以下步驟：將第一被審核軟件進行可識別格式轉化得到第二被審核軟件；根據惡意行為特征庫對所述第二被審核軟件進行惡意行為審核，得到審核結果；當所述審核結果為不包含惡意行為時，則根據敏感行為特征庫對所述第二被審核軟件進行敏感行為審核；當所述敏感行為審核的審核結果為包含敏感行為時，則根據軟件行為模型對所述第二被審核軟件進行行為模式分析；當所述行為模式分析的結果為行為不合理時，則判定所述第一被審核軟件為惡意軟件。本發明實現了軟件是否存在惡意或者潛在威脅的審核。
【專利說明】惡意軟件審核方法和系統
【技術領域】
[0001]本發明涉及信息安全領域，具體涉及一種惡意軟件審核方法和系統。
【背景技術】
[0002]隨著IT技術的高速發展，大量的IT產品快速蔓延、擴張到日常生活的各個方面。同時，IT產品的智能化也越來越高，并且顛覆了各種產品的傳統使用方式。例如，手機不再僅僅用于打電話，看電影、玩游戲等也成了手機的必備功能之一。新的產品，新的使用方式，新的功能，給大眾帶來了新的體驗，也帶來了新的問題。當前的惡意軟件不再像傳統的惡意軟件(例如，蠕蟲，熊貓燒香)那樣以破壞性為主，而是為了盜取用戶賬號，銀行卡號，密碼等重要信息。因此，當前用戶的重要信息面臨著嚴重的安全問題。而且，僅僅通過分析軟件的代碼或者文件已經不能夠準確地檢測出所有惡意軟件。

【發明內容】

[0003]本發明的目的是提供一種惡意軟件審核方法和系統，通過對軟件行為的分析判斷是否具有惡意或者潛在威脅，實現了對惡意軟件的審核工作，提高了惡意軟件審核的有效性和準確性，保護了用戶的信息安全。
[0004]為實現上述目的，本發明提供了一種惡意軟件審核方法，所述方法包括以下步驟:
[0005]將第一被審核軟件進行可識別格式轉化得到第二被審核軟件；
[0006]根據惡意行為特征庫對所述第二被審核軟件進行惡意行為審核，得到審核結果；
[0007]當所述審核結果為不包含惡意行為時，則根據敏感行為特征庫對所述第二被審核軟件進行敏感行為審核；
[0008]當所述敏感行為審核的審核結果為包含敏感行為時，則根據軟件行為模型對所述第二被審核軟件進行行為模式分析；
[0009]當所述行為模式分析的結果為行為不合理時，則判定所述第一被審核軟件為惡意軟件。
[0010]優選地，所述方法還包括:當所述審核結果為包含惡意行為時，則判定所述第一被審核軟件為惡意軟件。
[0011]優選地，所述方法還包括:當所述敏感行為審核的審核結果為不包含敏感行為時，則判定所述第一被審核軟件為非惡意軟件。
[0012]優選地，所述方法還包括:當所述行為模式分析的結果為行為合理時，則判定所述第一被審核軟件為非惡意軟件。
[0013]優選地，所述惡意行為特征庫具體為包含已知惡意軟件的惡意行為特征和/或自定義的惡意行為特征的樣本庫。
[0014]優選地，所述敏感行為特征庫具體為包含已知惡意軟件的敏感行為特征和/或自定義的敏感行為特征的樣本庫。[0015]優選地，所述軟件行為模型具體為通過現有軟件的類型、用途、編程語言、運行環境和運行權限的特征來分析軟件行為的模型。
[0016]本發明還提供了一種惡意軟件審核系統，所述系統包括:
[0017]格式轉換模塊，用于將第一被審核軟件進行可識別格式轉化得到第二被審核軟件；
[0018]惡意行為審核模塊，用于根據惡意行為特征庫對所述第二被審核軟件進行惡意行為審核，得到審核結果；
[0019]敏感行為審核模塊，用于當所述審核結果為不包含惡意行為時，則根據敏感行為特征庫對所述第二被審核軟件進行敏感行為審核；
[0020]行為模式分析模塊，用于當所述敏感行為審核的審核結果為包含敏感行為時，則根據軟件行為模型對所述第二被審核軟件進行行為模式分析；
[0021]當所述行為模式分析的結果為行為不合理時，則判定所述第一被審核軟件為惡意軟件。
[0022]本發明提供的惡意軟件審核方法和系統通過收集已知惡意軟件行為建立惡意行為特征庫，可以有效檢測出已知的具有惡意或者威脅的軟件。并且根據被審核軟件類型的自身特點以及參數，建立敏感行為特征庫，利用軟件行為模型，來分析判斷敏感行為是否合理或者具有潛在威脅。從而能夠檢測出未知的惡意軟件。提高了惡意軟件審核結果的有效性和準確性，提高了用戶信息的安全。
【專利附圖】

【附圖說明】
[0023]圖1為本發明實施例提供的一種惡意軟件審核方法的流程圖；
[0024]圖2為本發明實施例提供的一種惡意軟件審核系統的示意圖；
[0025]圖3為本發明實施例提供的一種惡意軟件審核系統的系統運行圖。
【具體實施方式】
[0026]下面通過附圖和實施例，對本發明的技術方案做進一步的詳細描述。
[0027]圖1為本發明實施例提供的惡意軟件審核方法流程圖，下面以圖1為例詳細說明本發明實施例提供的一種惡意軟件審核方法，該方法包括以下步驟:
[0028]步驟101，將第一被審核軟件進行可識別格式轉化得到第二被審核軟件。
[0029]具體的，需要將被審核軟件轉化成惡意軟件審核系統所需的文件格式，例如，將android系統的apk格式的應用軟件進行反編譯從而得到惡意軟件審核系統所需的文件格式。
[0030]進一步地，在步驟101之前，該方法還包括建立惡意行為特征庫，惡意行為特征庫是包含已知惡意軟件的惡意行為特征和/或自定義惡意行為特征的樣本庫。例如通過后門或者系統漏洞非法獲得系統權限、竊取用戶資料、惡意扣費、無提示下載或者卸載軟件、監視監聽等所有侵犯用戶權利的行為都可作為惡意行為樣本，納入惡意行為特征庫。
[0031]進一步地，在步驟101之前，該方法還包括建立敏感行為特征庫，敏感行為特征庫是包含已知惡意軟件的敏感行為特征和/或自定義敏感行為特征的樣本庫。例如訪問用戶重要信息，如電話簿、通話記錄，瀏覽器歷史記錄等，要求更高權限，后臺運行等所有具有潛在可能會對用戶造成損害的行為都可作為敏感行為樣本，納入敏感行為特征庫。
[0032]進一步地，在步驟101之前，該方法還包括建立軟件行為模型，軟件行為模型具體為通過現有軟件的類型、用途、編程語言、運行環境和運行權限的特征來分析軟件行為的模型。軟件行為模型用于判斷被審核軟件的敏感行為是否合理。
[0033]步驟102，根據惡意行為特征庫對第二被審核軟件進行惡意行為審核。
[0034]步驟103，當審核結果為不包含惡意行為時，則根據敏感行為特征庫對第二被審核軟件進行敏感行為審核。
[0035]進一步地，當審核結果為包含惡意行為時，審核結果為拒絕，則判定第一被審核軟件為惡意軟件。
[0036]步驟104，當敏感行為審核的審核結果為包含敏感行為時，則根據軟件行為模型對第二被審核軟件進行行為模式分析。
[0037]進一步地，當敏感行為審核的審核結果為不包含敏感行為時，審核結果為通過，則判定第一被審核軟件為非惡意軟件。
[0038]步驟105，當行為模式分析的結果為行為不合理時，則判定第一被審核軟件為惡意軟件。
[0039]進一步地，當行為模式分析的結果為行為合理時，則判定第一被審核軟件為非惡意軟件。
[0040]例如，步驟104中被審核軟件做出了訪問用戶電話簿的敏感行為，惡意軟件審核系統審核到該敏感行為，繼續進行步驟105，如果被審核軟件是社交類軟件或者個人信息管理助手類軟件，社交類軟件訪問電話簿是一個正常的行為，則根據軟件行為模型分析出該敏感行為可以認定為合理。如果被審核軟件是游戲類軟件或者視頻類軟件，訪問電話簿可以判定為一個非正常行為。因為視頻類和游戲類軟件沒有足夠的理由去訪問電話簿，則根據軟件行為模型分析出該敏感行為可以認定為不合理，從而確定被審核軟件為惡意軟件。
[0041]圖2為本發明實施例提供的一種惡意軟件審核系統示意圖，如圖2所示，該系統包括以下功能模塊:
[0042]格式轉化模塊201，用于將第一被審核軟件進行可識別格式轉化得到第二被審核軟件。
[0043]具體的，將被審核軟件轉化成惡意軟件審核系統所需的文件格式。
[0044]惡意行為審核模塊202，用于根據惡意行為特征庫對第二被審核軟件進行惡意行為審核，得到審核結果。
[0045]具體的，根據惡意行為特征庫審核軟件是否含有惡意行為特征。惡意行為審核結果為拒絕的被審核軟件判定為惡意軟件。
[0046]敏感行為審核模塊203，用于當審核結果為不包含惡意行為時，則根據敏感行為特征庫對第二被審核軟件進行敏感行為審核。
[0047]具體的，根據敏感行為特征庫審核軟件是否含有敏感行為特征。
[0048]行為模式分析模塊204，用于當敏感行為審核的審核結果為包含敏感行為時，則根據軟件行為模型對第二被審核軟件進行行為模式分析；
[0049]當行為模式分析的結果為行為不合理時，則判定第一被審核軟件為惡意軟件。
[0050]具體的，根據行為模式模型對被審核軟件的敏感行為進行分析，判斷得出該敏感行為是否合理或者是否具有潛在威脅，從而進一步判定被審核軟件是否是惡意軟件。
[0051]圖3為本發明實施例提供的一種惡意軟件審核系統的系統運行圖，本發明實施例中，執行以下步驟的執行主體為惡意軟件審核系統。如圖3所示，系統運行包括以下步驟:
[0052]步驟301，軟件格式轉化。
[0053]具體的，首先將被審核軟件轉換成惡意軟件審核系統所需的文件格式。
[0054]步驟302，惡意行為審核。
[0055]具體的，根據惡意行為特征庫里的惡意行為特征，對被審核軟件進行惡意行為審核。
[0056]步驟303，判斷是否包含惡意行為。
[0057]具體的，經過上一步驟302，當被審核軟件包含有惡意行為特征時，則被審核軟件的審核結果為拒絕；當被審核軟件沒有包含惡意行為特征時，則繼續進行步驟304。
[0058]步驟304，敏感行為審核。
[0059]具體的，根據敏感行為特征庫里的敏感行為特征，對被審核軟件進行敏感行為審核。
[0060]步驟305，判斷是否包含敏感行為。
[0061]具體的，經過上一步驟304，當被審核軟件包含有敏感行為特征，則繼續進行步驟306 ;當被審核軟件沒有包含敏感行為特征，則被審核軟件的審核結果為通過。
[0062]例如，軟件訪問了用戶照片、聯絡人名單等容易造成信息泄露的地方，但是沒有發送此類信息的行為。如果軟件具有類似的敏感行為特征，就需要對這些敏感行為進行行為模式分析。
[0063]步驟306,行為模式分析。
[0064]具體的，根據軟件行為模型對被審核軟件的敏感行為進行行為模式分析。其中，軟件行為模型用于判斷被審核軟件的敏感行為是否屬于正常、合理范圍內。
[0065]步驟307，判斷是否具有潛在威脅。
[0066]具體的，經過上一步驟306，根據軟件行為模型，對被審核軟件的敏感行為進行行為模式分析。當行為模式分析的結果為行為不合理時，分析得出被審核軟件的敏感行為對用戶具有潛在威脅，則審核結果為拒絕，該被審核軟件確定為惡意軟件；當行為模式分析的結果為行為合理時，分析得出被審核軟件的敏感行為對用戶不具有潛在威脅，則審核結果為通過。
[0067]本發明實施例提供的惡意軟件審核方法和系統利用建立的惡意行為特征庫、敏感行為特征庫和軟件行為模型，對被審核軟件的一些行為或者動作進行分析判斷是否合理或者是否具有潛在威脅，從而能夠檢測出未知的惡意軟件。實現了對惡意軟件的全面審核，提高了惡意軟件審核結果的有效性和準確性，保證了用戶信息的安全。
[0068]專業人員應該還可以進一步意識到，結合本文中所公開的實施例描述的各示例的單元及算法步驟，能夠以電子硬件、計算機軟件或者二者的結合來實現，為了清楚地說明硬件和軟件的可互換性，在上述說明中已經按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來執行，取決于技術方案的特定應用和設計約束條件。專業技術人員可以對每個特定的應用來使用不同方法來實現所描述的功能，但是這種實現不應認為超出本發明的范圍。[0069]結合本文中所公開的實施例描述的方法或算法的步驟可以用硬件、處理器執行的軟件模塊，或者二者的結合來實施。軟件模塊可以置于隨機存儲器(RAM)、內存、只讀存儲器(ROM)、電可編程ROM、電可擦除可編程ROM、寄存器、硬盤、可移動磁盤、CD-ROM、或【技術領域】內所公知的任意其它形式的存儲介質中。
[0070]以上所述的【具體實施方式】，對本發明的目的、技術方案和有益效果進行了進一步詳細說明，所應理解的是，以上所述僅為本發明的【具體實施方式】而已，并不用于限定本發明的保護范圍，凡在本發明的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本發明的保護范圍之內。
【權利要求】
1.一種惡意軟件審核方法，其特征在于，所述方法包括以下步驟: 將第一被審核軟件進行可識別格式轉化得到第二被審核軟件； 根據惡意行為特征庫對所述第二被審核軟件進行惡意行為審核，得到審核結果； 當所述審核結果為不包含惡意行為時，則根據敏感行為特征庫對所述第二被審核軟件進行敏感行為審核； 當所述敏感行為審核的審核結果為包含敏感行為時，則根據軟件行為模型對所述第二被審核軟件進行行為模式分析； 當所述行為模式分析的結果為行為不合理時，則判定所述第一被審核軟件為惡意軟件。
2.根據權利要求1所述的惡意軟件審核方法，其特征在于，所述方法還包括:當所述審核結果為包含惡意行為時，則判定所述第一被審核軟件為惡意軟件。
3.根據權利要求1所述的惡意軟件審核方法，其特征在于，所述方法還包括:當所述敏感行為審核的審核結果為不包含敏感行為時，則判定所述第一被審核軟件為非惡意軟件。
4.根據權利要求1所述的惡意軟件審核方法，其特征在于，所述方法還包括:當所述行為模式分析的結果為行為合理時，則判定所述第一被審核軟件為非惡意軟件。
5.根據權利要求1所述的惡意軟件審核方法，其特征在于，所述惡意行為特征庫具體為包含已知惡意軟件的惡意行為特征和/或自定義的惡意行為特征的樣本庫。
6.根據權利要求1所述的惡意軟件審核方法，其特征在于，所述敏感行為特征庫具體為包含已知惡意軟件的敏感行為特征和/或自定義的敏感行為特征的樣本庫。
7.根據權利要求1所述的惡意軟件審核方法，其特征在于，所述軟件行為模型具體為通過現有軟件的類型、用途、編程語言、運行環境和運行權限的特征來分析軟件行為的模型。
8.—種惡意軟件審核系統，其特征在于，所述系統包括: 格式轉換模塊，用于將第一被審核軟件進行可識別格式轉化得到第二被審核軟件；惡意行為審核模塊，用于根據惡意行為特征庫對所述第二被審核軟件進行惡意行為審核，得到審核結果； 敏感行為審核模塊，用于當所述審核結果為不包含惡意行為時，則根據敏感行為特征庫對所述第二被審核軟件進行敏感行為審核； 行為模式分析模塊，用于當所述敏感行為審核的審核結果為包含敏感行為時，則所述根據軟件行為模型對第二被審核軟件進行行為模式分析； 當所述行為模式分析的結果為行為不合理時，則判定所述第一被審核軟件為惡意軟件。
【文檔編號】G06F21/56GK103942494SQ201410129211
【公開日】2014年7月23日 申請日期:2014年4月1日 優先權日:2014年4月1日
【發明者】田野, 周學志 申請人:中國科學院聲學研究所