移动操作系统的恶意软件检测方法和恶意软件检测系统技术方案

本发明专利技术提供了一种安卓移动操作系统的恶意软件检测方法。所述方法包括：敏感调用序列生成步骤，针对软件中的至少一个入口函数对软件进行代码分析，生成敏感系统调用序列；检测步骤，根据预定义的恶意软件特征库对所述敏感系统调用序列进行匹配并得到一恶意软件检测结果。本发明专利技术根据目前恶意软件主要依靠系统调用实现这一特点，对恶意软件所使用的系统调用进行有效的检测，这样可以有效的解决现有技术中检测技术所面临的问题，实现恶意软件本质行为的检测，提高了恶意软件的检测效率。

Malware detection method and malware detection system for mobile operating system

The invention provides a malware detection method for a Android mobile operating system. The method includes: sensitive call sequence generation step, according to at least one entrance function software in the software code analysis, generate sensitive system call sequence; the detection steps according to the predefined malicious software features were matched to the sensitive system call sequence and the detection results of a malicious software. According to the current malware mainly depends on the system call this feature, the system call used to detect malicious software, which can effectively solve the existing technology in detection technology faces problems, to detect malicious software behavior nature, improve the detection efficiency of malicious software.

【技术实现步骤摘要】

本专利技术涉及移动互联网安全领域，尤其涉及一种移动操作系统的恶意软件检测方法和系统。
技术介绍
近年来，以安卓（Android）为代表的开源智能移动操作系统得到了广泛的应用，同时伴随功能强大的智能移动终端一同出现的是各种恶意软件的攻击。目前，网络上针对安卓移动终端的恶意软件有上千种之多，其主要涉及垃圾短信、恶意扣费、窃取用户个人信息等诸多方面。虽然从危害程度和影响范围而言，针对安卓移动终端的恶意软件还无法和个人电脑安全隐患相比，但是从发展的角度来看，移动终端在社会领域的推广和普及必将进一步加深和扩大恶意软件的影响。目前，针对安卓移动终端平台的恶意软件的防范技术主要包括恶意软件的特征值扫描和虚拟机技术两种。特征值扫描是目前最常用的恶意软件防范技术，其基本原理在于分析已知恶意软件，识别出其中恶意部分的代码标识，将该代码标识存入一恶意代码特征库，而后对待检测的软件实行扫描匹配，查找其中是否有符合恶意软件的代码标识的部分。该技术从本质上说属于软件的静态检测，其不足之处是当恶意软件变形或参杂有其他成分后，特征值匹配会受到很大的影响；此外特征扫描需要有实时的恶意代码特征库的支持，移动终端需要消耗大量的通信流量下载最新的特征库数据。虚拟机技术则采用动态检测的方式，让需要检测的软件在特殊环境下被执行，以此来检测软件是否具备恶意的行为。该技术对恶意软件的检测率较高，特别适用于多态和变形的恶意软件，但由于软件执行过程中具有多分支的特点，虚拟机技术只能检查软件中一部分流程中恶意代码的存在与否，不能够实现对软件全部流程的恶意代码的检测。
技术实现思路
本专利技术的目的是要提供一种针对安卓移动操作系统的恶意软件检测技术，以解决现有技术中采用的恶意软件检测技术所面临的诸多技术问题中的至少一个。为解决上述技术问题，根据本专利技术的一个方面，提供一种安卓移动操作系统的恶意软件检测方法，所述方法包括：敏感调用序列生成步骤，针对软件中的至少一个入口函数对软件进行代码分析，生成敏感系统调用序列；检测步骤，根据预定义的恶意软件特征库对所述敏感系统调用序列进行匹配并得到一恶意软件检测结果。根据本专利技术的另一个方面，还提供一种安卓移动操作系统的恶意软件检测系统，所述系统包括：敏感调用序列生成设备，用于针对软件中的至少一个入口函数对软件进行代码分析，生成敏感系统调用序列；以及检测设备，用于根据预定义的恶意软件特征库对所述敏感系统调用序列进行匹配并得到一恶意软件检测结果。根据本专利技术的另一个方面，还提供一种安卓移动操作系统的恶意软件检测方法，所述方法在移动终端执行，包括如下步骤：敏感调用序列生成步骤，针对软件中的至少一个入口函数对软件进行代码分析，生成敏感系统调用序列；以及敏感调用序列发送步骤，发送所述敏感系统调用序列。根据本专利技术的另一个方面，还提供一种安卓移动操作系统的恶意软件检测系统，所述系统包括：敏感调用序列生成设备，用于针对软件中的至少一个入口函数对软件进行代码分析，生成敏感系统调用序列；以及敏感调用序列发送设备，用于发送所述敏感系统调用序列。根据本专利技术的另一个方面，还提供一种安卓移动操作系统的恶意代码检测方法，所述方法在服务器执行，包括如下步骤：敏感调用序列接收步骤，接收敏感系统调用序列；检测步骤，根据预定义的恶意软件特征库对所述敏感系统调用序列进行匹配并得到一恶意软件检测结果；以及检测结果发送步骤，发送所述恶意软件检测结果。根据本专利技术的另一个方面，还提供一种安卓移动操作系统的恶意代码检测系统，所述系统包括：敏感调用序列接收设备，用于接收敏感系统调用序列；检测设备，用于根据预定义的恶意软件特征库对所述敏感系统调用序列进行匹配并得到一恶意软件检测结果；以及检测结果发送设备，用于发送所述恶意软件检测结果。本专利技术的方法和系统根据目前恶意软件主要依靠系统调用实现这一特点，对恶意软件所使用的系统调用进行有效的检测，这样可以有效的解决现有技术中检测技术所面临的问题，实现恶意软件本质行为的检测，提高了恶意软件的检测效率。提供上述
技术实现思路
是为了以简化的形式介绍将在以下具体实施方式中进一步描述的一些概念。本
技术实现思路
并非旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护的主题的范围。此外，所要求保护的主题不限于解决在本专利技术的任一部分中提及的任何或所有技术问题的实现。附图说明图1是本专利技术一个具体实施方式中恶意软件检测方法的步骤流程图；图2是本专利技术一个具体实施方式的恶意软件检测方法中敏感调用序列生成步骤的具体流程图；图3是本专利技术一个具体实施方式的恶意软件检测方法中调用关系图生成步骤的具体流程图；图4是本专利技术中一个功能模块调用关系子图的示意图；图5是本专利技术一个具体实施方式的恶意软件检测方法中序列生成步骤的具体流程图；图6是本专利技术中一个标识了敏感系统调用的功能模块调用关系子图的示意图；图7是本专利技术一个具体实施方式中恶意软件检测系统的结构图；图8是本专利技术另一个具体实施方式中恶意软件检测方法的步骤流程图；图9是本专利技术中对系统调用序列进行编码的协议格式示意图；图10是本专利技术另一个具体实施方式中恶意软件检测方法的步骤流程图；图11是本专利技术中一个恶意软件检测结果的格式示意图；图12是本专利技术另一个具体实施方式中恶意软件检测系统的结构图；图13是本专利技术另一个具体实施方式中恶意软件检测系统的结构图；图14是本专利技术另一个具体实施方式中恶意软件检测系统的硬件结构示意图。具体实施方式下面结合附图（若干附图中相同的标号表示相同的元素）和实施例，对本专利技术的具体实施方式作进一步详细说明。以下实施例用于说明本专利技术，但不用来限制本专利技术的范围。本领域技术人员可以理解，本专利技术中的“第一”、“第二”等术语仅用于区别不同步骤、设备或模块等，既不代表任何特定技术含义，也不表示它们之间的必然逻辑顺序。在本专利技术中，“入口函数”是指软件中的初始化函数和触发函数，这两部分函数一般会声明软件所使用的对象和所调用的系统函数。在本专利技术中，“功能模块”是指软件中除入口函数之外的其他程序模块，其各自实现特定功能。在本专利技术中，“功能模块调用关系图”是指从入口函数开始，分别对功能模块中的内容进行调用，依照其调用的顺序来描述软件运本文档来自技高网...

【技术保护点】
一种安卓移动操作系统的恶意软件检测方法，其特征在于，所述方法包括：敏感调用序列生成步骤，针对软件中的至少一个入口函数对软件进行代码分析，生成敏感系统调用序列；检测步骤，根据预定义的恶意软件特征库对所述敏感系统调用序列进行匹配并得到一恶意软件检测结果。

【技术特征摘要】
1.一种安卓移动操作系统的恶意软件检测方法，其特征在于，
所述方法包括：
敏感调用序列生成步骤，针对软件中的至少一个入口函数对软件
进行代码分析，生成敏感系统调用序列；
检测步骤，根据预定义的恶意软件特征库对所述敏感系统调用序
列进行匹配并得到一恶意软件检测结果。
2.根据权利要求1所述的方法，其特征在于，所述敏感调用序列
生成步骤进一步包括：
调用关系图生成步骤，针对软件中的至少一个入口函数，分析对
软件中各功能模块的顺序调用关系，生成描述软件运行流程的功能模
块调用关系图；
序列生成步骤，根据预定义的敏感系统调用库，基于所述功能模
块调用关系图来生成所述敏感系统调用序列。
3.根据权利要求2所述的方法，其特征在于，所述调用关系图
生成步骤进一步包括：
获取所述软件的源代码；
抽取所述软件中的所述入口函数；
确定每个所述入口函数所调用的功能模块以及相应的调用顺序；
以及
生成所述功能模块调用关系图。
4.根据权利要求2所述的方法，其特征在于，所述序列生成步
骤进一步包括：
查找所述功能模块调用关系图中各功能模块中出现的系统调用；
根据所述敏感系统调用库，确定所查找出的各系统调用中的敏感
系统调用，并标识敏感系统调用在所述功能模块调用关系图的出现位
置；以及
根据所述敏感系统调用的出现位置的顺序生成所述敏感系统调
用序列。
5.根据权利要求2所述的方法，其特征在于，所述方法进一步
包括定义所述敏感系统调用库的步骤。
6.根据权利要求1所述的方法，其特征在于，在所述检测步骤
中，将所述敏感系统调用序列与所述恶意软件特征库中的恶意调用序
列样本进行匹配并得到匹配结果，作为所述恶意软件检测结果。
7.根据权利要求1所述的方法，其特征在于，所述方法进一步
包括定义所述恶意软件特征库的步骤。
8.根据权利要求4所述的方法，其特征在于，在所述序列生成
步骤中，还提取出各敏感系统调用所调用的参数。
9.根据权利要求8所述的方法，其特征在于，所述恶意软件特
征库包括系统调用所调用的参数，
在所述检测步骤中，将所述敏感系统调用序列以及所调用的参数
与所述恶意软件特征库中的恶意调用序列样本以及所调用的参数同
时进行匹配以得到匹配结果，作为所述恶意软件检测结果。
10.一种安卓移动操作系统的恶意软件检测系统，其特征在于，
所述系统包括：
敏感调用序列生成设备，用于针对软件中的至少一个入口函数对
软件进行代码分析，生成敏感系统调用序列；以及
检测设备，用于根据预定义的恶意软件特征库对所述敏感系统调
用序列进行匹配并得到一恶意软件检测结果。
11.一种安卓移动操作系统的恶意软件检测方法，其特征在于，
所述方法在移动终端执行，包括如下步骤：
敏感调用序列生成步骤，针对软件中的至少一个入口函数对软件
进行代码分析，生成敏感系统调用序列；以及
敏感调用序列发送步骤，发送所述敏感系统调用序列。
12.根据权利要求11所述的方法，其特征在于，所述敏感调用序
列生成步骤进一步包括：
调用关系图生成步骤，针对软件中的至少一个入口函数，分析对
软件中各功能模块的顺序调用关系，生成描...

【专利技术属性】
技术研发人员：焦健，
申请(专利权)人：北京智谷睿拓技术服务有限公司，
类型：发明
国别省市：北京;11