The invention provides a malware detection method for a Android mobile operating system. The method includes: sensitive call sequence generation step, according to at least one entrance function software in the software code analysis, generate sensitive system call sequence; the detection steps according to the predefined malicious software features were matched to the sensitive system call sequence and the detection results of a malicious software. According to the current malware mainly depends on the system call this feature, the system call used to detect malicious software, which can effectively solve the existing technology in detection technology faces problems, to detect malicious software behavior nature, improve the detection efficiency of malicious software.
【技术实现步骤摘要】
本专利技术涉及移动互联网安全领域,尤其涉及一种移动操作系统的恶意软件检测方法和系统。
技术介绍
近年来,以安卓(Android)为代表的开源智能移动操作系统得到了广泛的应用,同时伴随功能强大的智能移动终端一同出现的是各种恶意软件的攻击。目前,网络上针对安卓移动终端的恶意软件有上千种之多,其主要涉及垃圾短信、恶意扣费、窃取用户个人信息等诸多方面。虽然从危害程度和影响范围而言,针对安卓移动终端的恶意软件还无法和个人电脑安全隐患相比,但是从发展的角度来看,移动终端在社会领域的推广和普及必将进一步加深和扩大恶意软件的影响。目前,针对安卓移动终端平台的恶意软件的防范技术主要包括恶意软件的特征值扫描和虚拟机技术两种。特征值扫描是目前最常用的恶意软件防范技术,其基本原理在于分析已知恶意软件,识别出其中恶意部分的代码标识,将该代码标识存入一恶意代码特征库,而后对待检测的软件实行扫描匹配,查找其中是否有符合恶意软件的代码标识的部分。该技术从本质上说属于软件的静态检测,其不足之处是当恶意软件变形或参杂有其他成分后,特征值匹配会受到很大的影响;此外特征扫描需要有实时的恶意代码特征库的支持,移动终端需要消耗大量的通信流量下载最新的特征库数据。虚拟机技术则采用动态检测的方式,让需要检测的软件在特殊环境下被执行,以此来检测软件是否具备恶意的行为。该技术对恶意软件的检测率较高,特别适用于多态和变 ...
【技术保护点】
一种安卓移动操作系统的恶意软件检测方法,其特征在于,所述方法包括:敏感调用序列生成步骤,针对软件中的至少一个入口函数对软件进行代码分析,生成敏感系统调用序列;检测步骤,根据预定义的恶意软件特征库对所述敏感系统调用序列进行匹配并得到一恶意软件检测结果。
【技术特征摘要】
1.一种安卓移动操作系统的恶意软件检测方法,其特征在于,
所述方法包括:
敏感调用序列生成步骤,针对软件中的至少一个入口函数对软件
进行代码分析,生成敏感系统调用序列;
检测步骤,根据预定义的恶意软件特征库对所述敏感系统调用序
列进行匹配并得到一恶意软件检测结果。
2.根据权利要求1所述的方法,其特征在于,所述敏感调用序列
生成步骤进一步包括:
调用关系图生成步骤,针对软件中的至少一个入口函数,分析对
软件中各功能模块的顺序调用关系,生成描述软件运行流程的功能模
块调用关系图;
序列生成步骤,根据预定义的敏感系统调用库,基于所述功能模
块调用关系图来生成所述敏感系统调用序列。
3.根据权利要求2所述的方法,其特征在于,所述调用关系图
生成步骤进一步包括:
获取所述软件的源代码;
抽取所述软件中的所述入口函数;
确定每个所述入口函数所调用的功能模块以及相应的调用顺序;
以及
生成所述功能模块调用关系图。
4.根据权利要求2所述的方法,其特征在于,所述序列生成步
骤进一步包括:
查找所述功能模块调用关系图中各功能模块中出现的系统调用;
根据所述敏感系统调用库,确定所查找出的各系统调用中的敏感
系统调用,并标识敏感系统调用在所述功能模块调用关系图的出现位
置;以及
根据所述敏感系统调用的出现位置的顺序生成所述敏感系统调
用序列。
5.根据权利要求2所述的方法,其特征在于,所述方法进一步
包括定义所述敏感系统调用库的步骤。
6.根据权利要求1所述的方法,其特征在于,在所述检测步骤
中,将所述敏感系统调用序列与所述恶意软件特征库中的恶意调用序
列样本进行匹配并得到匹配结果,作为所述恶意软件检测结果。
7.根据权利要求1所述的方法,其特征在于,所述方法进一步
包括定义所述恶意软件特征库的步骤。
8.根据权利要求4所述的方法,其特征在于,在所述序列生成
步骤中,还提取出各敏感系统调用所调用的参数。
9.根据权利要求8所述的方法,其特征在于,所述恶意软件特
征库包括系统调用所调用的参数,
在所述检测步骤中,将所述敏感系统调用序列以及所调用的参数
与所述恶意软件特征库中的恶意调用序列样本以及所调用的参数同
时进行匹配以得到匹配结果,作为所述恶意软件检测结果。
10.一种安卓移动操作系统的恶意软件检测系统,其特征在于,
所述系统包括:
敏感调用序列生成设备,用于针对软件中的至少一个入口函数对
软件进行代码分析,生成敏感系统调用序列;以及
检测设备,用于根据预定义的恶意软件特征库对所述敏感系统调
用序列进行匹配并得到一恶意软件检测结果。
11.一种安卓移动操作系统的恶意软件检测方法,其特征在于,
所述方法在移动终端执行,包括如下步骤:
敏感调用序列生成步骤,针对软件中的至少一个入口函数对软件
进行代码分析,生成敏感系统调用序列;以及
敏感调用序列发送步骤,发送所述敏感系统调用序列。
12.根据权利要求11所述的方法,其特征在于,所述敏感调用序
列生成步骤进一步包括:
调用关系图生成步骤,针对软件中的至少一个入口函数,分析对
软件中各功能模块的顺序调用关系,生成描...
【专利技术属性】
技术研发人员:焦健,
申请(专利权)人:北京智谷睿拓技术服务有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。