检测移动装置上的恶意文件的系统及方法制造方法及图纸

公开了用于检测移动装置上的恶意文件的系统、方法和计算机程序产品。示例性方法包括：分析文件来识别类别和包含在所述类别中的方法；识别各个识别的方法的字节码数组；通过从各个方法的字节码数组识别对应的操作代码来确定各个方法中包含的指令；基于所述指令间的功能性的相似性来将各个方法的确定的指令分成多个群组；基于将指令分成多个群组的结果来形成各个方法的矢量；将形成的矢量与已知恶意文件的多个矢量相比较来确定比较矢量之间的相似性；以及基于比较矢量的相似性确定分析的文件是恶意的或干净的。

【技术实现步骤摘要】

本专利技术大体上涉及计算机安全领域，并且更具体地涉及检测移动装置上的恶意文件的系统及方法。
技术介绍
移动计算装置(下文称为移动装置)已经在现代社会中变为生活的不可或缺的部分。此类装置的实例为移动电话、智能电话、个人通信器、平板计算机和笔记本计算机。大多数移动装置大体上包含日常活动所需的各种用户数据。此类数据可为隐私(如，照片和视频)、个人的(如，全名、出生年、电话号码)和机密的(如，银行网站的登录名和密码、信号卡卡号)。用于移动装置上的大多数主流的移动平台中的一个是谷歌安卓(安卓OS)操作系统。首先，安卓OS由于其开放和免费性质而使其赢得流行度，导致其广泛用于各种硬件平台，且因此大量不同应用程序已经由想要在安卓OS下工作的那些人开发出。目前，已经针对安卓OS创造出几百万应用程序，且已经安装在全球超过十亿个移动装置上。同时，针对使用安卓OS的移动装置创造出了日益增多的恶意程序。用语\移动装置的恶意程序\大体上包括设计成获得未授权访问移动装置的计算资源或储存在其上的本文档来自技高网...

【技术保护点】
一种检测恶意文件的方法，所述方法包括：由硬件处理器分析文件来识别至少一个或多个类别和包含在所述一个或多个类别中的一个或多个方法；由所述硬件处理器识别各个识别的方法的字节码数组；由所述硬件处理器通过从各个方法的所述字节码数组识别对应的操作码来确定各个方法中包含的指令；由所述硬件处理器基于所述指令间的功能性的相似性来将各个方法的所确定的指令分成多个群组；由所述硬件处理器基于将所述指令分成所述多个群组的结果来形成各个方法的矢量；由所述硬件处理器将所分析的文件的所述方法的所形成矢量与储存在数据库中的已知恶意文件的多个矢量相比较来确定所比较的矢量之间的相似性；以及由所述硬件处理器基于所比较矢量之间的相似...

【技术特征摘要】
2015.06.30 RU 2015125969;2015.09.09 US 14/849,0441.一种检测恶意文件的方法，所述方法包括：
由硬件处理器分析文件来识别至少一个或多个类别和包含在所述一个或多
个类别中的一个或多个方法；
由所述硬件处理器识别各个识别的方法的字节码数组；
由所述硬件处理器通过从各个方法的所述字节码数组识别对应的操作码来
确定各个方法中包含的指令；
由所述硬件处理器基于所述指令间的功能性的相似性来将各个方法的所确
定的指令分成多个群组；
由所述硬件处理器基于将所述指令分成所述多个群组的结果来形成各个方
法的矢量；
由所述硬件处理器将所分析的文件的所述方法的所形成矢量与储存在数据
库中的已知恶意文件的多个矢量相比较来确定所比较的矢量之间的相似性；以及
由所述硬件处理器基于所比较矢量之间的相似性确定所分析的文件是恶意
的或是干净的。
2.根据权利要求1所述的方法，其中分析文件包括反汇编和反编译所述文
件中的一个或多个。
3.根据权利要求1所述的方法，其中所述指令基于所述字节码数组的语义
值分成群组。
4.根据权利要求1所述的方法，其中所述多个群组包括以下的一个或多个
群组：没有逻辑意义的指令、以常数工作的指令、以字段工作的指令、属于呼叫
或拦截的指令。
5.根据权利要求1所述的方法，其中比较矢量包括比较n维欧几里得空间
中的其两个相关联的点之间的所述距离。
6.根据权利要求1所述的方法，其中比较矢量包括执行以下的一个或多个：
从所述比较中排除属于标准库程序包的类别和方法；
从所述比较中排除不包含单个方法的类别；
从所述比较中排除包含两个指令或更少的方法；
如果这些文件的类别和方法的总数与检查的文件的类别和方法的总数的比
较相差超过25％，则从进一步比较中排除其矢量保存在所述数据库中的文件；
如果正在比较的类别或方法的大小相差超过25％，则从所...

【专利技术属性】
技术研发人员：A·A·基瓦，N·A·布什卡，M·Y·库辛，V·V·切比舍夫，
申请(专利权)人：卡巴斯基实验室股份制公司，
类型：发明
国别省市：俄罗斯;RU