本发明专利技术公开了一种恶意程序的检测方法、装置、计算设备及计算机存储介质。其中,方法包括:在运行待检测程序时,监控所述待检测程序的指令特征;所述指令特征至少包含待测方法调用序列,和/或,各个方法所对应的待测指令序列;将所述待测方法调用序列与已知恶意程序的参考方法调用序列进行匹配;和/或,将所述各个方法所对应的待测指令序列与已知恶意程序的参考指令序列进行匹配;根据匹配结果确定所述待检测程序是否为恶意程序。本发明专利技术方案从待检测程序的待测方法调用序列和/或待测指令序列的层面对待检测程序是否为恶意程序进行确定,进而可以准确的对包括利用重打包等手段所导致的恶意变种病毒的待检测程序进行病毒检测。
【技术实现步骤摘要】
恶意程序的检测方法、装置、计算设备及计算机存储介质
本专利技术涉及应用安全
,具体涉及一种恶意程序的检测方法、装置、计算设备及计算机存储介质。
技术介绍
应用程序在为社会提供大量便捷服务的同时,各种安全问题和行业乱象也层出不穷,例如,恶意吸费、短信钓鱼、盗取支付信息、窃取个人隐私、远程控制、消耗流量、系统破坏等行为,这些行为都严重危害到用户的隐私和财产安全,而存在上述危害用户隐私和财产安全行为的程序即为恶意程序。一般的,恶意程序可以指在用户不知情或未授权的情况下,在移动终端系统中安装、运行以达到某些不正当目的程序,或者指具有违反国家相关法律法规行为的程序。为防止恶意程序危害用户隐私和财产安全,在现有技术中,一般通过如下方案以检测出恶意程序:根据待检测程序的安卓安装包(AndroidPackage,简称APK)的特征参数,如:待检测APK文件的名称、MD5证书等,若待检测APK和已知恶意程序具备相同或者相近的恶意特征参数,则可以判断该待检测APK为恶意程序。例如:某已知恶意程序的APK文件名称为“XX抢红包”,该程序的MD5为YYY,那么,可以根据待检测程序的这些APK特征参数判断待检测APK是否为恶意程序。然而,现有技术中至少存在如下不足:部分恶意程序将APK特征参数(比如文件名称)修改为不具有明显恶意特征的参数,从而恶意程序产生病毒变种,导致检测人员不易发现该恶意程序,即:并不是所有的恶意程序都会具有如此明显的特征参量;当由于重打包等手段导致发生病毒变种时,待检测恶意程序中的APK特征参数,如:MD5发生变化时,采用现有技术方案不会检测到该待检测APK。因此,现有技术采用的判断方式过于简单,判断结果不准确,容易产生误判。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的恶意程序的检测方法、装置、计算设备及计算机存储介质。根据本专利技术的一个方面,提供了一种恶意程序的检测方法,包括:在运行待检测程序时,监控所述待检测程序的指令特征;所述指令特征至少包含待测方法调用序列,和/或,各个方法所对应的待测指令序列;将所述待测方法调用序列与已知恶意程序的参考方法调用序列进行匹配;和/或,将所述各个方法所对应的待测指令序列与已知恶意程序的参考指令序列进行匹配;根据匹配结果确定所述待检测程序是否为恶意程序。根据本专利技术的另一方面,提供了一种恶意程序的检测装置,包括:监控模块,适于在运行待检测程序时,监控所述待检测程序的指令特征;所述指令特征至少包含待测方法调用序列,和/或,各个装置所对应的待测指令序列;匹配模块,适于将所述装置调用序列与已知恶意程序的参考方法调用序列进行匹配;和/或,将所述各个装置所对应的待测指令序列与已知恶意程序的参考指令序列进行匹配;确定模块,适于根据匹配结果确定所述待检测程序是否为恶意程序。根据本专利技术的又一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述恶意程序的检测方法对应的操作。根据本专利技术的再一方面,提供了一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如上述恶意程序的检测方法对应的操作。根据本专利技术的恶意程序的检测方法、装置、计算设备及计算机存储介质。在运行待检测程序的过程中,通过监控待检测程序的指令特征,并将该指令特征与已知恶意程序的参考指令特征进行匹配,根据匹配结果确定待检测程序是否为恶意程序。相较于现有技术中根据程序名称等较容易被改动的特征参量进行恶意程序的检测的方案,本专利技术方案监控得到的指令特征不容易被改动,同时,指令是实现程序功能的基本组成,根据指令特征进行待检测程序的检测,可以准确的检测出包括恶意或非法行为的恶意程序,而且可以准确的对包括利用重打包等手段所导致的恶意变种病毒的待检测程序进行病毒检测。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示出了根据本专利技术一个实施例的恶意程序的检测方法的流程图;图2示出了根据本专利技术另一个实施例的恶意程序的检测方法的流程图;图3示出了本专利技术一个具体实施例中对应步骤S208的子流程图;图4示出了根据本专利技术一个实施例的恶意程序的检测装置的功能框图;图5示出了根据本专利技术实施例的一种计算设备的结构示意图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。图1示出了根据本专利技术一个实施例的恶意程序的检测方法的流程图。如图1所示,该方法包括:步骤S101:在运行待检测程序时,监控待检测程序的指令特征;指令特征至少包含待测方法调用序列,和/或,各个方法所对应的待测指令序列。本专利技术中,考虑到现有技术中提取的特征参量,都可以利用一些较容易的手段使其发生改变,进而使得一些恶意的待检测程序被漏检。同时,由于待检测程序的指令是实现程序功能的基本组成,基于此,本专利技术通过提取待检测程序的指令特征来进行恶意程序的检测。具体地,运行待检测程序,并监控待检测程序运行过程中执行指令或指令序列的顺序、和/或调用方法的顺序,来得到各个方法所对应的待测指令序列,和/或,待测方法调用序列。本专利技术对该监控并得到待测方法调用序列,和/或,各个方法所对应的待测指令序列的具体方式不做限定,具体实施时,本领域技术人员可根据实际的检测条件确定具体的监控方式。步骤S102:将待测方法调用序列与已知恶意程序的参考方法调用序列进行匹配;和/或,将各个方法所对应的待测指令序列与已知恶意程序的参考指令序列进行匹配。具体的,将监控得到待检测程序的指令特征与已知恶意程序的参考指令特征(包括参考方法调用序列和/或参考指令序列)进行匹配,得到待检测程序的指令特征与已知恶意程序的各个参考指令特征的匹配度。步骤S103:根据匹配结果确定待检测程序是否为恶意程序。具体地,在得到匹配度后,按照预设规则确定待检测程序是否为恶意程序。其中,预设规则包括根据匹配度,和/或,根据满足匹配度条件的参考方法调用序列和/或参考指令序列的序列数量,和/或,根据满足匹配度条件的参考方法调用序列和/或参考指令序列的字节数设置的规则;并且,该预设规则中的具体内容可根据检测的精准度要求进行灵活设置,本专利技术对此不做具体限定。以预设规则为根据匹配度设置的规则为例,为了避免将非恶意程序识别为恶意程序,可设置较高的第一匹配度阈值(该第一匹配度阈值大于下文中的第二匹配度阈值),或者,为了避免发生漏检的情况,可设置较低的第二匹配度阈值,并本文档来自技高网...
【技术保护点】
1.一种恶意程序的检测方法,包括:在运行待检测程序时,监控所述待检测程序的指令特征;所述指令特征至少包含待测方法调用序列,和/或,各个方法所对应的待测指令序列;将所述待测方法调用序列与已知恶意程序的参考方法调用序列进行匹配;和/或,将所述各个方法所对应的待测指令序列与已知恶意程序的参考指令序列进行匹配;根据匹配结果确定所述待检测程序是否为恶意程序。
【技术特征摘要】
1.一种恶意程序的检测方法,包括:在运行待检测程序时,监控所述待检测程序的指令特征;所述指令特征至少包含待测方法调用序列,和/或,各个方法所对应的待测指令序列;将所述待测方法调用序列与已知恶意程序的参考方法调用序列进行匹配;和/或,将所述各个方法所对应的待测指令序列与已知恶意程序的参考指令序列进行匹配;根据匹配结果确定所述待检测程序是否为恶意程序。2.根据权利要求1所述的方法,其中,在所述运行待检测程序之前,所述方法还包括:将运行待检测程序的虚拟机的解释模式修改为可移植模式;所述运行待检测程序具体为:在可移植模式下,由解释器解释运行待检测程序。3.根据权利要求2所述的方法,其中,在所述监控所述待检测程序的指令特征之前,所述方法还包括:在待检测程序进入解释器函数的初始位置处设置监控代码;所述监控所述待检测程序的指令特征具体为:根据监控代码监控多个方法被调用的顺序,得到待测方法调用序列;和/或,根据监控代码监控指令被执行的顺序,得到各个方法所对应的待测指令序列。4.根据权利要求3所述的方法,其中,在所述将所述待测方法调用序列与已知恶意程序的参考方法调用序列进行匹配;和/或,将所述各个方法所对应的待测指令序列与已知恶意程序的参考指令序列进行匹配之前,所述方法还包括:对已知恶意程序进行反编译,得到已知恶意程序的反编译指令;从所述已知恶意程序的反编译指令中的预设位置处提取出参考方法调用序列和/或各个方法所对应的参考指令序列。5.根据权利要求4所述的方法,其中,所述根据匹配结果确定所述待检测程序是否为恶意程序进一步包括:判断匹配结果是否符合预设结果;若匹配结果...
【专利技术属性】
技术研发人员:汪德嘉,华保健,邵根波,赵迪,
申请(专利权)人:江苏通付盾信息安全技术有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。