一種基于權重的安卓惡意代碼檢測系統及方法
【技術領域】
[0001] 本發明設及檢測系統及方法,具體設及一種基于權重的安卓惡意代碼檢測系統及 方法,主要應用于移動通信領域的數據安全,屬于無線通信網絡領域。
【背景技術】
[0002] 傳統的惡意代碼檢測是一種基于簽名的靜態檢測方法,靜態簽名的檢測方法的實 現原理是提取已知病毒樣本的特征,通過捜索的惡意代碼特征庫查找相匹配的惡意代碼特 征。匹配出是否是惡意代碼,運種方法有較高的檢測率,但同樣的運樣的檢測方法有一很明 顯的缺點就是無法檢測新出現的病毒,W及根據已有的病毒變異的種類。同時根據已經提 取的病毒特征無法避免的會出現比較高的誤報率。
【發明內容】
[0003] 為了解決上述技術問題,針對現有產品的不足,提供一種基于權重的安卓惡意代 碼檢測系統,該系統根據權重賦值計算法解決靜態代碼特征匹配無法對代碼混淆,加密,已 有惡意代碼變種的問題;此外,還能避免靜態代碼特征匹配,動態分析行為特征匹配存在誤 報,最大限度檢測代碼的安全性。
[0004] 本發明的另一個目的在于提供一種基于權重的安卓惡意代碼檢測方法。
[0005] 本發明的技術方案如下:
[0006] -種基于權重的安卓惡意代碼檢測系統,包括權重賦值模塊、數據庫模塊、靜態代 碼分析模塊、動態行為分析模塊、判定模塊W及記錄模塊;所述權重賦值模塊根據權重賦值 計算法,對待檢測代碼的數據包名和數字簽名的匹配是否匹配賦值,當完全匹配賦值為0, 不匹配賦值為1;所述數據庫模塊包括惡意代碼特征數據庫、權限數據庫W及惡意行為特征 數據庫;所述靜態分析模炔基于已有的惡意代碼特征數據庫的樣本XI,從APK結構、APK文件 的權限W及API函數調用序列、組件和資源構建待檢測代碼的特征向量yi;所述權重賦值模 塊根據變形、base64和代碼的相關性匹配程度匹配賦值Ei,所述
所述動態行 為分析模塊根據已有的權限數據庫檢測當前的待檢測代碼的行為的權限設置是否合理W 及當前的待檢測代碼的行為對安卓平臺是否存在威脅;采用模擬器的方式對文件的讀寫、 網絡連接、短信發送W及電話撥打的行為進行監控,并由所述權重賦值模炔基于已有的惡 意行為特征數據庫的樣本Zi及當前的待檢測代碼的行為數m進行權重賦值&,所娃
所 述權重賦值模塊根據得到的61^及&的值計算待檢測代碼的權重賦值
所述判定 模塊根據E的大小判定待檢測代碼;所述記錄模塊將判定結果寫入惡意代碼特征數據庫W 及惡意行為特征數據庫中進行記錄預警。
[0007] -種基于權重的安卓惡意代碼檢測方法,包括W上所述的基于權重的安卓惡意代 碼檢測系統,其包括W下依次進行的步驟:
[0008] 步驟SI:所述權重賦值模塊根據權重賦值計算法,對數據包名和數字簽名是否匹 配賦值,當完全匹配賦值為0,不匹配賦值為1;
[0009] 步驟S2:所述靜態分析模炔基于已有的惡意代碼特征數據庫的樣本XI,從APK結 構、APK文件的權限W及API函數調用序列、組件和資源構建待檢測代碼的特征向量yi;所述 權重賦值模塊根據變形、base64和代碼的相關性匹配程度匹配賦值Ei,所述
[0010] 步驟S3:所述動態行為分析模塊根據已有的權限數據庫檢測當前的待檢測代碼的 行為的權限設置是否合理W及當前的待檢測代碼的行為對安卓平臺是否存在威脅;采用模 擬器的方式對文件的讀寫、網絡連接、短信發送W及電話撥打的行為進行監控,并由所述權 重賦值模炔基于已有的惡意行為特征數據庫23的樣本Zi及當前的待檢測代碼的行為數m進 行權重賦值Ej,所述
[0011] 步驟S4:所述權重賦值模塊根據得到的EiW及Ej的值計算待檢測代碼的權重賦值
[0012] 步驟S5:所述判定模塊判定待檢測代碼是否惡意代碼;
[001引當0如<2時,一般認為不是惡意代碼,威脅可W忽略;
[0014]當2 ^<5時,疑似惡意代碼,威脅低;
[001引當5如<10時,極有可能是惡意代碼,威脅中;
[0016] 當E> 10時,認為是惡意代碼,威脅高;
[0017] 步驟S6:所述記錄模塊將判定結果寫入惡意代碼特征數據庫W及惡意行為特征數 據庫中進行記錄預警。
[0018] 本發明具有如下有益效果:
[0019] (1)根據權重賦值計算法解決靜態代碼特征匹配無法對代碼混淆,加密,已有惡意 代碼變種的問題。
[0020] (2)根據權重賦值計算法解決靜態代碼特征匹配,動態分析行為特征匹配存在誤 報,最大限度檢測代碼的安全性,發現未知的惡意代碼。
【附圖說明】
[0021] 圖1為本發明的一種基于權重的安卓惡意代碼檢測系統的結構示意圖;
[0022] 圖2為本發明的一種基于權重的安卓惡意代碼檢測方法的流程示意圖;
[0023] 圖中附圖標記表示為:
[0024] 1-權重賦值模塊、2-數據庫模塊、21-惡意代碼特征數據庫、22-權限數據庫、23-惡 意行為特征數據庫、3-靜態代碼分析模塊、4-動態行為分析模塊、5-判定模塊、6-記錄模塊。
【具體實施方式】
[0025] 下面結合附圖和具體實施例來對本發明進行詳細的說明。
[0026] 如圖1所示:一種基于權重的安卓惡意代碼檢測系統,包括權重賦值模塊1、數據庫 模塊2、靜態代碼分析模塊3、動態行為分析模塊4、判定模塊5W及記錄模塊6;
[0027] 所述權重賦值模塊1根據權重賦值計算法,對待檢測代碼的數據包名和數字簽名 的匹配是否匹配賦值,當完全匹配賦值為0,不匹配賦值為1;
[0028] 所述數據庫模塊2包括惡意代碼特征數據庫21、權限數據庫22W及惡意行為特征 數據庫23;
[0029] 所述靜態分析模塊3基于已有的惡意代碼特征數據庫21的樣本XI,從APK結構、APK 文件的權限W及API函數調用序列、組件和資源構建待檢測代碼的特征向量yi;所述靜態分 析模塊討良據已有惡意代碼特征數據庫21匹配,提取待檢測代碼的特征匹配,所述權重賦值 模塊1根據變形、base64和代碼的相關性匹配程度匹配賦值El-一靜態代碼檢測,所述
[0030] 安卓有嚴格的權限管理機制,與很多用戶相關的應用的權限都采取最小權限原 貝1J,所述動態行為分析模塊4根據已有的權限數據庫22檢測當前的待檢測代碼的行為的權 限設置是否合理W及當前的待檢測代碼的行為對安卓平臺是否存在威脅;采用模擬器的方 式對文件的讀寫、網絡連接、短信發送W及電話撥打的行為進行監控,并由所述權重賦值模 塊1基于已有的惡意行為特征數據庫23的樣本Zi及當前的待檢測代碼的行為數m進行權重 賦值&一一動態代碼檢測,所述
[0031] 例