本发明专利技术提出了一种基于apk证书相似性的恶意代码检测方法及系统,所述方法包括:提取所述待检测应用程序文件中的证书文件;提取所述证书文件中的证书信息;解析证书信息,获取所述证书信息中的关键字段信息;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。通过对证书具体内容相似性的识别匹配,能够解决大批量脚本化生成的恶意应用的识别和检测问题。相对于静态检测,能够极大提高检测效果。
【技术实现步骤摘要】
本专利技术涉及移动终端安全
,特别涉及一种基于apk证书相似性的恶意代码检测方法及系统。
技术介绍
随着Android系统等智能移动平台的兴起,移动终端的恶意代码逐渐成为信息安全领域的又一重大威胁。目前,Android中的恶意代码数量正呈现出爆炸式增长的趋势,且恶意应用较多的呈现批量化,脚本化生成的趋势,同时更多的采用加密混淆和动态加载等手段,当前的移动终端恶意代码主要基于静态符号信息、Api调用序列及相应的代码片段来进行识别和检测,相应的检测相对比较耗时且效率低,此外传统的证书检测也只是单纯的检测整个证书文件,证书内容只要稍微变动,检测即会失效,当前Android移动恶意代码,同一类恶意代码可能会有大量不同的证书,只是纯粹的传统证书检测不能做到这类恶意代码的有效识别。
技术实现思路
本专利技术公开了一种基于apk证书相似性的恶意代码检测方法及系统,该方法基于Apk的证书信息提取,通过进行相似性的比较提取特征,能够有效识别检测大量批量脚本化生成的恶意代码。一种基于apk证书相似性的恶意代码检测方法,包括:接收待检测应用程序文件,提取所述待检测应用程序文件中的证书文件;提取所述证书文件中的证书信息,所述证书信息包括Subject、Issuer、StartTime、EndTime、PublicKey及Version信息;解析证书信息,获取所述证书信息中的关键字段信息,所述关键字段包括CN、OU、O、L、ST、C字段;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。所述的方法中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配包括,字符串完全匹配或部分匹配。所述的方法中,所述字符串部分匹配时,根据相似性算法计算字符串的相似度,如果相似度超过预设值,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。所述的方法中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,还包括,判断所述证书信息中是否包含或不包含指定字符串,如果是,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。所述的方法中,恶意证书信息库为根据已知恶意代码文件的证书信息提取的关键字段信息组成。本专利技术还提供一种基于apk证书相似性的恶意代码检测系统,包括:文件接收模块,用于接收待检测应用程序文件,提取所述待检测应用程序文件中的证书文件;信息提取模块,用于提取所述证书文件中的证书信息,所述证书信息包括Subject、Issuer、StartTime、EndTime、PublicKey及Version信息;信息解析模块,用于解析证书信息,获取所述证书信息中的关键字段信息,所述关键字段包括CN、OU、O、L、ST、C字段;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;匹配模块,用于将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。所述的系统中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配包括,字符串完全匹配或部分匹配。所述的系统中,所述字符串部分匹配时,根据相似性算法计算字符串的相似度,如果相似度超过预设值,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。所述的系统中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,还包括,过滤模块,判断所述证书信息中是否包含或不包含指定字符串,如果是,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。所述的系统中,恶意证书信息库为根据已知恶意代码文件的证书信息提取的关键字段信息组成。本专利技术提出了一种基于apk证书相似性的恶意代码检测方法及系统,所述方法包括:提取所述待检测应用程序文件中的证书文件;提取所述证书文件中的证书信息;解析证书信息,获取所述证书信息中的关键字段信息;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。通过对证书具体内容相似性的识别匹配,能够解决大批量脚本化生成的恶意应用的识别和检测问题。相对于静态检测,能够极大提高检测效果。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为一种基于apk证书相似性的恶意代码检测方法实施例流程图;图2为一种基于apk证书相似性的恶意代码检测系统实施例结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术中技术方案作进一步详细的说明。本专利技术公开了一种基于apk证书相似性的恶意代码检测方法及系统,该方法基于Apk的证书信息提取,通过进行相似性的比较提取特征,能够有效识别检测大量批量脚本化生成的恶意代码。一种基于apk证书相似性的恶意代码检测方法,如图1所示,包括:S101:接收待检测应用程序文件,提取所述待检测应用程序文件中的证书文件;应用程序文件一般为可执行文件,如APK文件,ZIP格式;证书文件一般位于NETA-INF目录下,多以.DSA、.RSA、.DC结尾;S102:提取所述证书文件中的证书信息,所述证书信息包括Subject、Issuer、StartTime、EndTime、PublicKey及Version信息;S103:解析证书信息,获取所述证书信息中的关键字段信息,所述关键字段包括CN、OU、O、L、ST、C字段;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;Android应用程序在进行签名时会输入如下信息:CN、OU、O、L、ST、C,分别对应为First and Last Name、Organizational Unit、Organization、City or Locality、State or Province、Country Code,这些信息具有一定标示性作用,而脚本化批量生成签名的应用,这些信息更是具有一定的规律性的特点,所以进行以上字段的提取,证书内容信息可根据一般证书格式提取来实现;S104:将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。所述的方法中,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配包括,字符串完全匹配或部分匹配。所述的方法中,所述字符串部分匹配时,根据相似性算法计算字符串的相似度,如果相似度超过预设值,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。所述的方法中,所述将获取的证书信息的关键字段信息与恶意证书信息库本文档来自技高网...
【技术保护点】
一种基于apk证书相似性的恶意代码检测方法,其特征在于,包括:接收待检测应用程序文件,提取所述待检测应用程序文件中的证书文件;提取所述证书文件中的证书信息,所述证书信息包括Subject、Issuer、StartTime、EndTime、PublicKey及Version信息;解析证书信息,获取所述证书信息中的关键字段信息,关键字段包括CN、OU、O、L、ST、C字段;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。
【技术特征摘要】
1.一种基于apk证书相似性的恶意代码检测方法,其特征在于,包括:接收待检测应用程序文件,提取所述待检测应用程序文件中的证书文件;提取所述证书文件中的证书信息,所述证书信息包括Subject、Issuer、StartTime、EndTime、PublicKey及Version信息;解析证书信息,获取所述证书信息中的关键字段信息,关键字段包括CN、OU、O、L、ST、C字段;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。2.如权利要求1所述的方法,其特征在于,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配包括,字符串完全匹配或部分匹配。3.如权利要求2所述的方法,其特征在于,所述字符串部分匹配时,根据相似性算法计算字符串的相似度,如果相似度超过预设值,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。4.如权利要求1或3所述的方法,其特征在于,所述将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,还包括,判断所述证书信息中是否包含或不包含指定字符串,如果是,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。5.如权利要求4所述的方法,其特征在于,恶意证书信息库为根据已知恶意代码文件的证书信息提取的关键字段信息组成。6.一种基于apk证书相似性的恶意代码检测...
【专利技术属性】
技术研发人员:李勤涛,乔伟,潘宣辰,
申请(专利权)人:武汉安天信息技术有限责任公司,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。