本发明专利技术提供了一种APT攻击的检测方法和装置,该方法包括:判断待保护的目标应用程序的下载来源是否合法;若合法,则获取目标应用程序所调用的多个API;获取多个API的调用顺序;若目标应用程序处于运行状态,则按照多个API的调用顺序,将目标应用程序当前调用的API与多个API进行实时匹配;若存在不匹配的API,则禁止目标应用程序运行。本发明专利技术通过在该目标应用程序运行时,按照预先获取的该目标应用程序的多个API的调用顺序,将目标应用程序当前所调用的API实时的与预先获取的多个API进行实时匹配,如果存在当前调用的API与调用顺序中相应的API匹配不一致的情况,则可以说明该目标应用程序被病毒感染,实现了对未知新型病毒的检测,并能够检测到APT攻击。
【技术实现步骤摘要】
一种APT攻击的检测方法和装置
本专利技术涉及网络安全
,特别是涉及一种APT攻击的检测方法和装置。
技术介绍
目前,随着移动终端(例如手机、平板电脑)的广泛应用,越来越多具有支付功能的软件可以安装在移动终端上。而具有支付功能的软件普遍具有用户的敏感信息(例如银行卡号、支付密码等),那么为了保证用户对支付软件的使用安全,现有技术中普遍通过在手机上安装杀毒软件来对支付软件作安全防护。具体的病毒检测流程则是在支付软件运行过程中,将病毒库中的特征码与支付软件中的特征码进行匹配,如果存在一致的特征码,则对支付软件中匹配到的特征码进行删除,以达到杀毒效果。而对于高级持续性威胁(APT,AdvancedPersistentThreat)来说,APT可以利用先进的攻击手段对特定目标进行长期持续性网络攻击,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。而现有技术中的上述特征码匹配的杀毒方案并无法很好的检测到ATP攻击。由此可见,现有技术中的现阶段手机杀毒软件只能对应用程序中已知病毒行为进行检测,而对未知病毒尚没有有效的解决方案。
技术实现思路
本专利技术提供了一种APT攻击的检测方法和装置,以解决现有技术中无法对应用程序中的未知病毒进行检测的问题。为了解决上述问题,根据本专利技术的一个方面,本专利技术公开了一种APT攻击的检测方法,包括:判断待保护的目标应用程序的下载来源是否合法;若合法,则获取所述目标应用程序所调用的多个API;获取所述多个API的调用顺序;若所述目标应用程序处于运行状态,则按照所述多个API的调用顺序,将所述目标应用程序当前调用的API与所述多个API进行实时匹配;若存在不匹配的API,则禁止所述目标应用程序运行。根据本专利技术的另一方面,本专利技术还公开了一种APT攻击的检测装置,包括:判断模块,用于判断待保护的目标应用程序的下载来源是否合法;第一获取模块,用于若所述判断模块判断所述目标应用程序的下载来源合法,则获取所述目标应用程序所调用的多个API;第二获取模块,用于获取所述多个API的调用顺序;匹配模块,用于若所述目标应用程序处于运行状态,则按照所述多个API的调用顺序,将所述目标应用程序当前调用的API与所述多个API进行实时匹配;禁止模块,用于若存在不匹配的API,则禁止所述目标应用程序运行。与现有技术相比,本专利技术包括以下优点:本专利技术通过对下载来源合法的目标应用程序获取其所调用的多个API以及多个API的调用顺序,然后在该目标应用程序运行时,按照上述多个API的调用顺序,将目标应用程序当前所调用的API实时的与预先获取的多个API进行实时匹配,如果存在当前调用的API与调用顺序中相应的API匹配不一致的情况,则可以说明该目标应用程序被病毒感染,从而实现对应用程序中病毒的检测,即便该病毒为未知新型病毒,本专利技术也可以检测到,并及时的禁止该目标应用程序运行,实现了对应用程序中未知病毒的检测,能够检测到APT攻击。附图说明图1是本专利技术的一种APT攻击的检测方法实施例的步骤流程图;图2是本专利技术的另一种APT攻击的检测方法实施例的步骤流程图1;图3是本专利技术的另一种APT攻击的检测方法实施例的步骤流程图2;图4是本专利技术的一种APT攻击的检测装置实施例的结构框图。具体实施方式为使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本专利技术作进一步详细的说明。参照图1,示出了本专利技术的一种APT攻击的检测方法实施例的步骤流程图,具体可以包括如下步骤:步骤101,判断待保护的目标应用程序的下载来源是否合法;其中,对于需要防止APT攻击的目标应用程序(App,application),本专利技术实施例在对其进行保护时,首先需要判断该目标APP是否从官方商店下载,如果是,则下载来源合法,否则不合法。若合法,则步骤102,获取所述目标应用程序所调用的多个API;其中,如果该目标APP的下载来源合法,则需要获取该目标APP所调用的所有API,该API为操作系统的API,而操作系统则是运行该APP的操作系统,例如该目标APP安装在安卓系统的移动终端上,则该操作系统为安装系统,操作系统具有很多API,而目标APP的使用可能会调用很多操作系统的API,这里,本专利技术实施例需要将该目标APP所调用的所有操作系统API都获取到。步骤103,获取所述多个API的调用顺序;那么,在确定了该目标APP所调用的各个操作系统API后,还需要获取各个操作系统API的调用顺序。其中,由于步骤102中确定该目标APP的下载来源合法,因此,可以确定该目标APP中所调用的各个API以及API的调用顺序均是未被病毒感染的,所以,步骤103可以获取到未被病毒感染状态的目标APP所调用的多个API的调用顺序。这样,本专利技术实施例在目标APP运行之前首先获取到其合法的多个API的调用顺序,以便于后续对其是否被病毒感染进行判断。步骤104,若所述目标应用程序处于运行状态,则按照所述多个API的调用顺序,将所述目标应用程序当前调用的API与所述多个API进行实时匹配;那么当该目标APP处于运行状态时,本专利技术实施例的方法就可以按照步骤103所获取到的多个API的调用顺序,来将该目标APP在运行过程中所调用的API与步骤102中获取到的多个API进行实时匹配,也就是说,实时匹配的目的在于检测该目标APP在运行过程中在调用API时是否是按照步骤103中的调用顺序进行调用的,如果存在调用顺序不一致的情况,也即在匹配时出现当前调用的API无法与调用顺序中的对应API相匹配的情况,则说明当前调用的API为病毒设定的API,在调用该API时会跳转到病毒设定的链接,改变了目标APP的数据处理流程。步骤105,若存在不匹配的API,则禁止所述目标应用程序运行。因此,这里需要对该目标APP禁止运行。借助于本专利技术上述实施例的技术方案,本专利技术通过对下载来源合法的目标应用程序获取其所调用的多个API以及多个API的调用顺序,然后在该目标应用程序运行时,按照上述多个API的调用顺序,将目标应用程序当前所调用的API实时的与预先获取的多个API进行实时匹配,如果存在当前调用的API与调用顺序中相应的API匹配不一致的情况,则可以说明该目标应用程序被病毒感染,从而实现对应用程序中病毒的检测,即便该病毒为未知新型病毒,本专利技术也可以检测到,并及时的禁止该目标应用程序运行,实现了对应用程序中未知病毒的检测,能够检测到APT攻击。为了便于理解本专利技术上述实施例的技术方案,下面结合图2和图3来对本专利技术实施例的上述检测方法进行详细阐述。如图2所示:首先,将需要保护的APP添加到本专利技术实施例的APT防护列表中;然后,对于APT防护列表中的APP判断其下载来源合法性;若不合法,则将该APP从APT防护列表中删除,并将该APP加入黑名单。其中,由于下载来源不合法的APP其本身所引用的各个API就无法保证合法,有可能已经被病毒感染,因此,针对这种下载来源不合法的APP无法实现对其APT防本文档来自技高网...
【技术保护点】
一种APT攻击的检测方法,其特征在于,包括:判断待保护的目标应用程序的下载来源是否合法;若合法,则获取所述目标应用程序所调用的多个API;获取所述多个API的调用顺序;若所述目标应用程序处于运行状态,则按照所述多个API的调用顺序,将所述目标应用程序当前调用的API与所述多个API进行实时匹配;若存在不匹配的API,则禁止所述目标应用程序运行。
【技术特征摘要】
1.一种APT攻击的检测方法,其特征在于,包括:判断待保护的目标应用程序的下载来源是否合法;若合法,则获取所述目标应用程序所调用的多个API;获取所述多个API的调用顺序;若所述目标应用程序处于运行状态,则按照所述多个API的调用顺序,将所述目标应用程序当前调用的API与所述多个API进行实时匹配;若存在不匹配的API,则禁止所述目标应用程序运行。2.根据权利要求1所述的方法,其特征在于,所述获取所述目标应用程序所调用的多个API之前,所述方法还包括:对所述目标应用程序的源代码进行反汇编处理,得到汇编语言代码;所述获取所述目标应用程序所调用的多个API,包括:按照预设的API汇编代码规则,查找所述汇编语言代码中所调用的多个API;所述获取所述多个API的调用顺序,包括:通过对所述汇编语言代码进行分析,确定所述多个API的调用顺序。3.根据权利要求1所述的方法,其特征在于,所述获取所述多个API的调用顺序,还包括:按照所述目标应用程序的业务逻辑,确定所述多个API的调用顺序。4.根据权利要求3所述的方法,其特征在于,所述按照所述多个API的调用顺序,将所述目标应用程序当前调用的API与所述多个API进行实时匹配,包括:确定所述目标应用程序当前处理的目标业务逻辑;按照所述目标业务逻辑对应的多个目标API的调用顺序,将所述目标应用程序当前调用的API与所述目标业务逻辑对应的多个目标API进行实时匹配。5.根据权利要求1所述的方法,其特征在于,所述若所述目标应用程序处于运行状态,则按照所述多个API的调用顺序,将所述目标应用程序当前调用的API与所述多个API进行实时匹配之前,所述方法还包括:若检测到对所述目标应用程序的预设启动操作,则将所述目标应用程序的运行代码置于...
【专利技术属性】
技术研发人员:曲恩纯,喻波,王志海,彭洪涛,安鹏,
申请(专利权)人:北京明朝万达科技股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。