手机病毒分析和威胁关联的方法和系统技术方案

提供了一种手机病毒分析和威胁关联的方法和系统。所述手机病毒分析和威胁关联的方法，包括：接收移动终端应用的信息文件；对接收的信息文件进行分析，以提取所述信息文件中的有关恶意行为的数据；从提取的有关恶意行为的数据提取键值对列表<数据源标识，威胁值>，其中，作为键值的数据源标识为所述信息文件的标识，威胁值为所述恶意行为的特征值；通过对键值对列表<数据源标识，威胁值>与病毒知识库数据进行多次MapReduce计算及匹配，生成列表<数据源标识，病毒关联数据列表>，其中，所述病毒关联数据列表中的每个项目包括病毒家族标识以及威胁值列表；以图形的形式输出所述列表<数据源标识，病毒关联数据列表>。

【技术实现步骤摘要】
手机病毒分析和威胁关联的方法和系统
本申请涉及一种手机病毒分析和威胁关联的方法和系统，尤其涉及一种通过对移动终端应用的多种信息数据进行分析及MapReduce计算来取得其深度的病毒威胁关联的技术。
技术介绍
随着例如智能手机、平板电脑等的智能移动终端的广泛使用以及各种移动终端应用的推广，智能移动终端的安全问题成为移动互联网行业以及移动互联网用户最为重视的问题之一。2012年手机病毒的指数级增长是移动互联网安全的一个爆发点。根据统计，在2012年10月，手机病毒只有22万，而2013年上半年已经突破了100万。病毒的快速变换使传统杀毒软件很难检测它们，而手机电池寿命短使得无法使用传统的基于病毒行为的检测方法，导致现有的手机杀毒方法无法适应大量即将出现的病毒，检测效果将会下降。另一方面，越来越多的用户使用自己的移动设备访问企业服务器、进行业务操作，甚至替换PC进行日常工作处理。此外，很多设备不受管理员的控制，这就意味着企业敏感数据没有受到企业现有遵从、安全及数据丢失防护等政策的约束。现有的企业手机应用保护方案仅仅检测手机应用商店里的软件是否有毒，然后让用户通过手机下载运行。然而目前普遍使用的安卓系统不是闭合的，比如中国手机应用不通过谷歌安卓商店，大家各自为营，造成病毒在开环的环境泛滥。上述的防范方法存在很大的漏洞。通常在对例如智能手机的应用进行恶意软件的分析时，是对所述应用的程序代码（即apk文件）进行分析，提取有安全风险的函数/方法调用、内容以及软件行为的关联数据。然而，这种对应用执行静态分析的方法能够分析出的恶意威胁数据较为有限，无法捕捉更多在使用的过程中产生安全风险的行为以及产生不合理流量的行为的信息，也无法获得深度的病毒威胁关联数据。
技术实现思路
本专利技术的目的在于提供一种用于手机病毒分析和威胁关联的方法和系统，通过对移动终端应用的多种信息数据进行分析及多次MapReduce计算来取得多层次、深度的病毒威胁关联数据，以便于准确地识别移动终端应用涉及的病毒威胁以及威胁关联，利于确保移动终端应用的安全性。根据本专利技术的一方面，提供一种手机病毒分析和威胁关联的方法，包括，在云端执行以下步骤：A）接收移动终端应用的信息文件；B）对接收的信息文件进行分析，以提取所述信息文件中的有关恶意行为的数据；C）根据提取的有关恶意行为的数据生成键值对列表<数据源标识，威胁值>，其中，作为键值的数据源标识为所述信息文件的标识，威胁值为所述恶意行为的特征值；D）对键值对列表<数据源标识，威胁值>与病毒知识库数据进行第一轮MapReduce计算及匹配，生成列表<威胁标识，威胁值列表>，其中，所述病毒知识库包括<病毒家族标识，威胁标识，至少一个威胁值>记录；E）对列表<威胁标识，威胁值列表>与病毒知识库数据进行第二轮第一阶段MapReduce计算及匹配，生成列表<威胁值，病毒家族标识列表>；F）对列表<威胁值，病毒家族标识列表>、键值对列表<数据源标识，威胁值>、列表<威胁标识，威胁值列表>以及病毒知识库数据进行第二轮第二阶段MapReduce计算及匹配，生成列表<数据源标识，病毒关联数据列表>，其中，所述病毒关联数据列表中的每个项目包括病毒家族标识以及威胁值列表；G）输出所述列表<数据源标识，病毒关联数据列表>。所述移动终端应用的信息文件可以是移动终端应用的应用程序文件、移动终端应用的运行日志文件以及移动终端的流量数据文件中的至少一个。优选地，在步骤B）中，将提取的有关恶意行为的数据记录在XML文件中。优选地，所述的方法还包括：在执行步骤E）前，对在步骤D）生成的列表<威胁标识，威胁值列表>执行过滤、去噪处理。优选地，所述病毒知识库中的每个记录还包括所述威胁标识所属的病毒分类的信息。优选地，步骤G）包括：以图形的形式输出所述列表<数据源标识，病毒关联数据列表>。优选地，所述以图形的形式输出所述列表<数据源标识，病毒关联数据列表>包括：以所述数据源标识对应的信息文件为核心，绘制其病毒家族标识对应的病毒家族信息以及威胁值。优选地，在步骤F）中，为每个数据源标识生成的病毒关联数据列表还包括每个威胁值对应的威胁标识以及所述威胁标识所属的病毒分类。优选地，步骤G）还包括：绘制每个威胁值对应的威胁标识所属的病毒分类的信息。优选地，步骤G）还包括：为每个绘制的病毒分类的信息设置用于显示所述病毒分类相应的威胁标识的名称的页面的链接。优选地，所述数据源标识包括企业标识、用户标识以及文件标识。根据本专利技术的另一方面，提供一种位于云端的用于手机病毒分析和威胁关联的系统，包括：接收单元，用于接收移动终端应用的信息文件；数据提取单元，用于对接收单元接收的信息文件进行分析，以提取所述信息文件中的有关恶意行为的数据；第一处理单元，用于从数据提取单元提取的有关恶意行为的数据提取键值对列表<数据源标识，威胁值>，其中，作为键值的数据源标识为所述信息文件的标识，威胁值为所述恶意行为的特征值；第二处理单元，用于对键值对列表<数据源标识，威胁值>与病毒知识库数据进行第一轮MapReduce计算及匹配，生成列表<威胁标识，威胁值列表>，其中，所述病毒知识库包括<病毒家族标识，威胁标识，至少一个威胁值>记录；第三处理单元，用于对列表<威胁标识，威胁值列表>与病毒知识库数据进行第二轮第一阶段MapReduce计算及匹配，生成列表<威胁值，病毒家族标识列表>；第四处理单元，用于对列表<威胁值，病毒家族标识列表>、键值对列表<数据源标识，威胁值>、列表<威胁标识，威胁值列表>以及病毒知识库数据进行第二轮第二阶段MapReduce计算及匹配，生成列表<数据源标识，病毒关联数据列表>，其中，所述病毒关联数据列表中的每个项目包括病毒家族标识以及威胁值列表；输出单元，用于输出所述列表<数据源标识，病毒关联数据列表>。所述移动终端应用的信息文件可以是，但不限于，移动终端应用的应用程序文件、移动终端应用的运行日志文件以及移动终端的流量数据文件中的至少一个。优选地，数据提取单元将提取的有关恶意行为的数据记录在XML文件中。优选地，第三处理单元在执行第二轮第一阶段MapReduce计算及匹配前，对第二处理单元生成的列表<威胁标识，威胁值列表>执行过滤、去噪处理。优选地，所述病毒知识库中的每个记录还包括所述威胁标识所属的病毒分类的信息。优选地，输出单元以图形的形式输出所述列表<数据源标识，病毒关联数据列表>。优选地，输出单元以所述数据源标识对应的信息文件为核心，绘制其病毒家族标识对应的病毒家族信息以及威胁值。优选地，第四处理单元还为每个数据源标识生成的病毒关联数据列表还包括每个威胁值对应的威胁标识以及所述威胁标识所属的病毒分类。优选地，输出单元还绘制每个威胁值对应的威胁标识所属的病毒分类的信息。优选地，输出单元还为每个绘制的病毒分类的信息设置用于显示所述病毒分类相应的本文档来自技高网...

【技术保护点】
一种手机病毒分析和威胁关联的方法，包括，在云端执行以下步骤：A）接收移动终端应用的信息文件；B）对接收的信息文件进行分析，以提取所述信息文件中的有关恶意行为的数据；C）根据提取的有关恶意行为的数据生成键值对列表<数据源标识，威胁值>，其中，作为键值的数据源标识为所述信息文件的标识，威胁值为所述恶意行为的特征值；D）对键值对列表<数据源标识，威胁值>与病毒知识库数据进行第一轮MapReduce计算及匹配，生成列表<威胁标识，威胁值列表>，其中，所述病毒知识库包括<病毒家族标识，威胁标识，至少一个威胁值>记录；E）对列表<威胁标识，威胁值列表>与病毒知识库数据进行第二轮第一阶段MapReduce计算及匹配，生成列表<威胁值，病毒家族标识列表>；F）对列表<威胁值，病毒家族标识列表>、键值对列表<数据源标识，威胁值>、列表<威胁标识，威胁值列表>以及病毒知识库数据进行第二轮第二阶段MapReduce计算及匹配，生成列表<数据源标识，病毒关联数据列表>，其中，所述病毒关联数据列表中的每个项目包括病毒家族标识以及威胁值列表；G）输出所述列表<数据源标识，病毒关联数据列表>。...

【技术特征摘要】
2013.11.12 CN 20131055953051.一种手机病毒分析和威胁关联的方法，包括，在云端执行以下步骤：A）接收移动终端应用的信息文件；B）对接收的信息文件进行分析，以提取所述信息文件中的有关恶意行为的数据；C）根据提取的有关恶意行为的数据生成键值对列表<数据源标识，威胁值>，其中，作为键值的数据源标识为所述信息文件的标识，威胁值为所述恶意行为的特征值；D）对键值对列表<数据源标识，威胁值>与病毒知识库数据进行第一轮MapReduce计算及匹配，生成列表<威胁标识，威胁值列表>，其中，所述病毒知识库包括<病毒家族标识，威胁标识，至少一个威胁值>记录；E）对列表<威胁标识，威胁值列表>与病毒知识库数据进行第二轮第一阶段MapReduce计算及匹配，生成列表<威胁值，病毒家族标识列表>；F）对列表<威胁值，病毒家族标识列表>、键值对列表<数据源标识，威胁值>、列表<威胁标识，威胁值列表>以及病毒知识库数据进行第二轮第二阶段MapReduce计算及匹配，生成列表<数据源标识，病毒关联数据列表>，其中，所述病毒关联数据列表中的每个项目包括病毒家族标识以及威胁值列表；G）输出所述列表<数据源标识，病毒关联数据列表>。2.如权利要求1所述的方法，其特征在于，所述移动终端应用的信息文件是移动终端应用的应用程序文件、移动终端应用的运行日志文件以及移动终端的流量数据文件中的至少一个。3.如权利要求2所述的方法，其特征在于，在步骤B）中，将提取的有关恶意行为的数据记录在XML文件中。4.如权利要求3所述的方法，还包括：在执行步骤E）前，对在步骤D）生成的列表<威胁标识，威胁值列表>执行过滤、去噪处理。5.如权利要求4所述的方法，其特征在于，所述病毒知识库中的每个记录还包括所述威胁标识所属的病毒分类的信息。6.如权利要求5所述的方法，其特征在于，步骤G）包括：以图形的形式输出所述列表<数据源标识，病毒关联数据列表>。7.如权利要求6所述的方法，其特征在于，所述以图形的形式输出所述列表<数据源标识，病毒关联数据列表>包括：以所述数据源标识对应的信息文件为核心，绘制其病毒家族标识对应的病毒家族信息以及威胁值。8.如权利要求7所述的方法，其特征在于，在步骤F）中，为每个数据源标识生成的病毒关联数据列表还包括每个威胁值对应的威胁标识以及所述威胁标识所属的病毒分类。9.如权利要求8所述的方法，其特征在于，步骤G）还包括：绘制每个威胁值对应的威胁标识所属的病毒分类的信息。10.如权利要求9所述的方法，其特征在于，步骤G）还包括：为每个绘制的病毒分类的信息设置用于显示所述病毒分类相应的威胁标识的名称的页面的链接。11.如权利要求1～10中任一项所述的方法，其...

【专利技术属性】
技术研发人员：严威，
申请(专利权)人：严威，
类型：发明
国别省市：美国;US