基於應用圖標的移動終端惡意代碼檢測方法及系統的製作方法

2023-09-16 14:40:20 3

基於應用圖標的移動終端惡意代碼檢測方法及系統的製作方法
【專利摘要】本發明提供了一種基於應用程式圖標的移動終端惡意代碼檢測方法及系統。所述方法為，對移動終端應用程式安裝包進行結構解析；提取出所述應用程式的圖標文件數據；從所述應用程式代碼文件中提取出所調用的系統API；將圖標文件數據在應用圖標功能規則庫中匹配，檢索到所述圖標文件數據對應的功能規則，將所述應用程式調用的系統API與圖標文件數據對應的功能規則比對，如果一致，則所述應用程式正常；否則所述應用程式為欺詐類移動終端惡意代碼。通過本
【發明內容】
，能夠結合欺詐類惡意代碼的特點和行為規律，有效檢測欺詐型移動終端惡意代碼。
【專利說明】基於應用圖標的移動終端惡意代碼檢測方法及系統
【技術領域】
[0001]本發明涉及移動終端安全領域，特別涉及一種基於應用圖標的移動終端惡意代碼檢測方法及系統。
【背景技術】
[0002]隨著移動網際網路的快速發展，智能終端作業系統平臺也在快速的發展和不斷的優化。隨著智能移動終端作業系統的快速發展，出現了大量的移動智能終端應用軟體，與之伴隨的也出現了很多相應的惡意代碼。而對於其中就有一種類型的惡意代碼，即屬於欺詐型的惡意代碼，其通常通過簡單的偽裝來達到安裝之後模仿正常應用的效果，但實際上，沒有真實的功能。其通過欺詐用戶點擊來達到惡意扣費，消耗流浪等目的，進而對用戶造成一些經濟損失。
[0003]目前常見的惡意代碼檢測方法，主要是針對應用程式進行靜態檢測或動態檢測。對於這種欺詐類型的手機惡意代碼，其代碼結構，應用程式所包含的數據非常簡單，採用大量的模仿和偽裝代碼數據片段，同時其行為也非常簡單，通常為普通正常行為的組合，例如發送簡訊，訪問網絡，彈出提示窗口等等。和正常應用並沒有直接的區別，也不具備其它類型惡意代碼的許多典型特徵。這種情況，傳統的檢測方法，如靜態檢測方法，容易出現大量的誤報和漏報，同時也難以進行有效的啟發式檢測，而另一方面，通過動態行為檢測，也難以將其同正常應用的行為區分開，並形成有效的檢測方法。

【發明內容】

[0004]本發明提供了一種基於應用圖標的移動終端惡意代碼檢測方法及系統，解決了欺詐類惡意代碼難以有效檢測的問題，能夠在控制漏報誤報的基礎上，達到高效檢出的效果。
[0005]一種基於應用圖標的移動終端惡意代碼檢測方法，包括:
對移動終端應用程式安裝包進行結構解析；從安裝包中解析出手機應用程式代碼文件，資源文件等不同數據文件資源；
提取出所述應用程式的圖標文件數據；
從所述應用程式代碼文件中提取出所調用的系統API ；
將圖標文件數據在應用圖標功能規則庫中匹配，檢索到所述圖標文件數據對應的功能規則，將所述應用程式調用的系統API與圖標文件數據對應的功能規則比對，如果一致，則所述應用程式正常；否則所述應用程式為欺詐類移動終端惡意代碼。
[0006]所述的方法中，所述圖標文件數據至少為:圖標文件的hash，或圖標文件的相似性hash,或圖標文件部分內容片斷的hash。
[0007]所述的方法中，所述的從所述應用程式代碼文件中提取出所調用的系統API至少為:系統AP1、系統功能API調用序列，或系統功能代碼片段特徵。
[0008]所述的方法中，所述應用圖標功能規則庫中至少包括:圖標文件數據及對應的功能規則。[0009]一種基於應用圖標的移動終端惡意代碼檢測系統，包括:
解析模塊，用於對移動終端應用程式安裝包進行結構解析；
圖標提取模塊，用於提取出所述應用程式的圖標文件數據；
功能提取模塊，用於從所述應用程式代碼文件中提取出所調用的系統API ；
匹配模塊，用於將圖標文件數據在應用圖標功能規則庫中匹配，檢索到所述圖標文件數據對應的功能規則，將所述應用程式調用的系統API與圖標文件數據對應的功能規則比對，如果一致，則所述應用程式正常；否則所述應用程式為欺詐類移動終端惡意代碼。
[0010]所述的系統中，所述圖標文件數據至少為:圖標文件的hash，或圖標文件的相似性hash,或圖標文件部分內容片斷的hash。
[0011]所述的系統中，所述的從所述應用程式代碼文件中提取出所調用的系統API至少為:系統AP1、系統功能API調用序列，或系統功能代碼片段特徵。
[0012]所述的系統中，所述應用圖標功能規則庫中至少包括:圖標文件數據及對應的功能規則。
[0013]本發明提供了一種基於應用程式圖標的移動終端惡意代碼檢測方法及系統。所述方法為，對移動終端應用程式安裝包進行結構解析；提取出所述應用程式的圖標文件數據；從所述應用程式代碼文件中提取出所調用的系統API ;將圖標文件數據在應用圖標功能規則庫中匹配，檢索到所述圖標文件數據對應的功能規則，將所述應用程式調用的系統API與圖標文件數據對應的功能規則比對，如果一致，則所述應用程式正常；否則所述應用程式為欺詐類移動終端惡意代碼。通過本
【發明內容】
，能夠結合欺詐類惡意代碼的特點和行為規律，有效檢測欺詐型移動終端惡意代碼。
【專利附圖】

【附圖說明】
[0014]為了更清楚地說明本發明或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明中記載的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。
[0015]圖1為基於應用圖標的移動終端惡意代碼檢測方法流程圖；
圖2為基於應用圖標的移動終端惡意代碼檢測系統結構示意圖。
【具體實施方式】
[0016]為了使本【技術領域】的人員更好地理解本發明實施例中的技術方案，並使本發明的上述目的、特徵和優點能夠更加明顯易懂，下面結合附圖對本發明中技術方案作進一步詳細的說明。
[0017]本發明提供了一種基於應用圖標的移動終端惡意代碼檢測方法及系統，解決了欺詐類惡意代碼難以有效檢測的問題，能夠在控制漏報誤報的基礎上，達到高效檢出的效果。
[0018]一種基於應用圖標的移動終端惡意代碼檢測方法，如圖1所示，包括:
SlOl:對移動終端應用程式安裝包進行結構解析；從安裝包中解析出手機應用程式代碼文件，資源文件等不同數據文件資源；可以採取目前通用的各種應用安裝包的解析和識別技術，如Android系統的應用安裝包,則是解析出程序代碼文件classes, dex,解析出資源圖片等文件；
S102:提取出所述應用程式的圖標文件數據；
主要實現方法是根據不同平臺應用的程序包的結構，結合上述對安裝包結構的解析，從中提取出對應的圖標文件數據。例如Android平臺可以對APK中的資源文件resources,arse進行解析,從中尋找到對應的圖標文件的ID等信息,並從resource資源文件中提取出圖標文件數據資源。
[0019]S103:從所述應用程式代碼文件中提取出所調用的系統API ；
通過對程序代碼文件的二進位解析和分析，從中提取出應用程式所依賴的系統功能API或系統功能代碼數據片段,例如Android平臺通過對APK中的classes, dex進行解析可以獲取所有其調用的系統API的類，函數名稱和調用位置，功能代碼片段等數據；
S104:將圖標文件數據在應用圖標功能規則庫中匹配，檢索到所述圖標文件數據對應的功能規則，將所述應用程式調用的系統API與圖標文件數據對應的功能規則比對，如果一致，則所述應用程式正常；否則所述應用程式為欺詐類移動終端惡意代碼。
[0020]可以為，通過對提取出的圖標文件數據進行計算圖表文件片段摘要hash，然後在應用圖標功能規則庫中找到對應的系統API信息，然後利用提取的目標應用程式的系統功能API或系統功能代碼數據片段進行比對，例如，可以採取的策略為，提取出的目標應用的系統功能API中沒有包含應用圖標功能規則庫中所記錄的系統功能API信息，則可以認為其實目標應用並不具備圖標所對應的應用功能和行為，則為某種欺詐型的手機應用程式。
[0021]所述的方法中，所述圖標文件數據至少為:圖標文件的hash，或圖標文件的相似性hash,或圖標文件部分內容片斷的hash。
[0022]所述的方法中，所述的從所述應用程式代碼文件中提取出所調用的系統API至少為:系統AP1、系統功能API調用序列，或系統功能代碼片段特徵。
[0023]所述的方法中，所述應用圖標功能規則庫中至少包括:圖標文件數據及對應的功能規則。
[0024]一種基於應用圖標的移動終端惡意代碼檢測系統，如圖2所示，包括:
解析模塊201，用於對移動終端應用程式安裝包進行結構解析；
圖標提取模塊202，用於提取出所述應用程式的圖標文件數據；
功能提取模塊203，用於從所述應用程式代碼文件中提取出所調用的系統API ；
匹配模塊204，用於將圖標文件數據在應用圖標功能規則庫中匹配，檢索到所述圖標文件數據對應的功能規則，將所述應用程式調用的系統API與圖標文件數據對應的功能規則比對，如果一致，則所述應用程式正常；否則所述應用程式為欺詐類移動終端惡意代碼。
[0025]所述的系統中，所述圖標文件數據至少為:圖標文件的hash，或圖標文件的相似性hash,或圖標文件部分內容片斷的hash。
[0026]所述的系統中，所述的從所述應用程式代碼文件中提取出所調用的系統API至少為:系統AP1、系統功能API調用序列，或系統功能代碼片段特徵。
[0027]所述的系統中，所述應用圖標功能規則庫中至少包括:圖標文件數據及對應的功能規則。
[0028]本發明的優勢在於，針對欺詐型移動終端惡意代碼難以有效檢測的現象，結合這種類型的惡意代碼的特點和行為規律，創造性的發明了一種方法及系統，能夠有效的對欺詐類的移動終端惡意代碼進行高效的檢出。
[0029]本發明提供了一種基於應用程式圖標的移動終端惡意代碼檢測方法及系統。所述方法為，對移動終端應用程式安裝包進行結構解析；提取出所述應用程式的圖標文件數據；從所述應用程式代碼文件中提取出所調用的系統API ;將圖標文件數據在應用圖標功能規則庫中匹配，檢索到所述圖標文件數據對應的功能規則，將所述應用程式調用的系統API與圖標文件數據對應的功能規則比對，如果一致，則所述應用程式正常；否則所述應用程式為欺詐類移動終端惡意代碼。通過本
【發明內容】
，能夠結合欺詐類惡意代碼的特點和行為規律，有效檢測欺詐型移動終端惡意代碼。
[0030]雖然通過實施例描繪了本發明，本領域普通技術人員知道，本發明有許多變形和變化而不脫離本發明的精神，希望所附的權利要求包括這些變形和變化而不脫離本發明的精神。
【權利要求】
1.一種基於應用圖標的移動終端惡意代碼檢測方法，其特徵在於，包括: 對移動終端應用程式安裝包進行結構解析； 提取出所述應用程式的圖標文件數據； 從所述應用程式代碼文件中提取出所調用的系統API ； 將圖標文件數據在應用圖標功能規則庫中匹配，檢索到所述圖標文件數據對應的功能規則，將所述應用程式調用的系統API與圖標文件數據對應的功能規則比對，如果一致，則所述應用程式正常；否則所述應用程式為欺詐類移動終端惡意代碼。
2.如權利要求1所述的方法，其特徵在於，所述圖標文件數據至少為:圖標文件的hash,或圖標文件的相似性hash,或圖標文件部分內容片斷的hash。
3.如權利要求1所述的方法，其特徵在於，所述的從所述應用程式代碼文件中提取出所調用的系統API至少為:系統AP1、系統功能API調用序列，或系統功能代碼片段特徵。
4.如權利要求1所述的方法，其特徵在於，所述應用圖標功能規則庫中至少包括:圖標文件數據及對應的功能規則。
5.一種基於應用圖標的移動終端惡意代碼檢測系統，其特徵在於，包括: 解析模塊，用於對移動終端應用程式安裝包進行結構解析； 圖標提取模塊，用於提 取出所述應用程式的圖標文件數據； 功能提取模塊，用於從所述應用程式代碼文件中提取出所調用的系統API ； 匹配模塊，用於將圖標文件數據在應用圖標功能規則庫中匹配，檢索到所述圖標文件數據對應的功能規則，將所述應用程式調用的系統API與圖標文件數據對應的功能規則比對，如果一致，則所述應用程式正常；否則所述應用程式為欺詐類移動終端惡意代碼。
6.如權利要求5所述的系統，其特徵在於，所述圖標文件數據至少為:圖標文件的hash,或圖標文件的相似性hash,或圖標文件部分內容片斷的hash。
7.如權利要求5所述的系統，其特徵在於，所述的從所述應用程式代碼文件中提取出所調用的系統API至少為:系統AP1、系統功能API調用序列，或系統功能代碼片段特徵。
8.如權利要求5所述的系統，其特徵在於，所述應用圖標功能規則庫中至少包括:圖標文件數據及對應的功能規則。
【文檔編號】G06F21/56GK103902906SQ201310724266
【公開日】2014年7月2日 申請日期:2013年12月25日 優先權日:2013年12月25日
【發明者】潘宣辰, 肖新光 申請人:武漢安天信息技術有限責任公司