This invention aims at the situation that there are too many malware in mobile intelligent platform and easy to be poisoned by mobile phone. By analyzing the behavior similarity of malicious software, a behavior based clustering detection method for mobile terminal malware is proposed. The method constructs the feature set of software behavior characterization, by customizing the ROM method. The behavior capture mechanism is built and the behavior log of malware is collected, and the malicious software feature set is extracted based on the behavior log. This method can protect the security of the mobile phone by the family classification of malware.
【技术实现步骤摘要】
一种移动端的恶意软件聚类检测方法
本专利技术属于移动端
,是一种检查恶意软件聚类的方法。
技术介绍
随着移动互联网高速发展,智能终端设备已成为人们生活、工作的重要部分;智能终端设备的广泛使用导致其恶意程序急剧增加;智能终端恶意应用主要通过恶意扣费、隐私窃取、诱骗欺诈等方式实施恶意行为,对用户的隐私和经济利益构成了严重威胁。
技术实现思路
本方法具体如下:1.行为监控包括了ROM定制,行为触发和行为日志;(1)ROM定制:为了获取API函数调用及其上下文环境,在ROM定制中,我们对需要监控的API函数的实现代码内部中添加了监控模块;当恶意应用在定制ROM中运行时,一旦恶意应用调用了这些API函数,监控代码就会将该函数的名称及其上下文环境输出到日志中;(2)行为触发:在定制的ROM中测试恶意应用时,需要模拟用户的操作和外部广播事件来尽量触发恶意应用的功能操作;对于行为触发使用了事件触发和启发式探索来达到智能执行,提高了行为触发的覆盖率;(3)行为日志:在定制的ROM中通过行为触发可以得到行为日志,包含调用时间、调用该函数的程序进程id、线程id、调用函数名、返回值、调用参数和调用堆栈;2.家族分类:通过行为监控部分,可以得到每一个恶意样本的行为日志在家族分类部分中,需要对行为日志进行分析,从中提取行为特征,然后使用聚类算法将每一个恶意样本进行聚类;(1)特征提取:从行为日志中可以提取出两个特征,分别为API函数名和函数堆栈;由于同一种家族恶意软件的行为大致相同或相似,因而它们分别调用的API函数重复率较高;而函数堆栈不仅包含调用的API函数,还包含着程序人口...
【技术保护点】
1.一种移动端的恶意软件聚类检测方法,其特征在于:本方法由行为监控和家族分类两部分构成,通过模拟用户点击行为和广播事件尽可能触发恶意软件的行为,从而生成恶意软件的行为日志; 通过行为日志提取出恶意软件的行为特征,然后使用DBSCAN算法对其进行聚类计算,得到的分类结果可用于新样本的家族归属预测。
【技术特征摘要】
1.一种移动端的恶意软件聚类检测方法,其特征在于:本方法由行为监控和家族分类两部分构成,通过模拟用户点击行为和广播事件尽可能触发恶意软件的行为,从...
【专利技术属性】
技术研发人员:不公告发明人,
申请(专利权)人:长沙云昊信息科技有限公司,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。