本说明书一个或多个实施例提供一种针对应用恶意代码检测与定位的方法,包括:一种针对应用恶意代码检测与定位的方法,通过对应用执行产生的流量的特征分析进行异常流量检测;对检测到的异常流量的特征进行应用行为分析,找出对应的可疑恶意代码并进行标记及分类;根据对所述可疑恶意代码的分类和各标记点间执行结果之间的关联,对所述恶意代码进行定位。本申请所提供的方案有效弥补了当前各类检测方法的不足,以异常流量行为为依据,定位恶意代码;解决了现有技术对于恶意应用检测及定位中,不能自动定位恶意代码,后续人工工作量大且困难的问题。
【技术实现步骤摘要】
一种针对应用恶意代码检测与定位的方法
本说明书一个或多个实施例涉及应用安全领域,尤其涉及一种针对应用恶意代码检测与定位的方法。
技术介绍
随着网络的普及,计算机技术的日益进步,如今计算机信息安全面临着很大的威胁,恶意代码是其中主要的攻击手段,数目不断增长,技术不断发展恶意代码给人们的生活带来了很多困扰,也导致了个人及企业的经济损失,甚至威胁到国家安全,随着恶意代码的检测技术和反检测技术的不断对抗发展,日益增多的恶意代码给分析人员带来巨大的压力和严峻的挑战。国内外的应用安全研究人员针对android应用中的安全问题进行研究,并提出了多种检测方法,包括FlowDroid、EdgeMiner、TaintDroid和MaMaDroid等,FlowDroid和EdgeMiner可以很好地检测应用是否存在敏感数据泄露问题,但是其检测的敏感信息传递路径的全集,无法有效判断是否存在恶意代码段对敏感信息进行的操作,需要人工进行后续分析和验证。同时,当前恶意应用为了隐藏恶意行为,经常采用代码分离及动态代码加载技术,从云端动态下发执行恶意代码,FlowDroid、EdgeMiner、MaMaDroid均无法针对这种情况进行有效检测,TaintDroid可以动态追踪隐私信息,但同样无法解决恶意代码段的定位问题,只能对隐私泄露进行初步判断。现有技术对于恶意应用检测及应用隐私泄露问题都有很大帮助,但是从恶意代码定位角度,还需要人工进行后续分析、定位和验证,工作量大且困难。
技术实现思路
有鉴于此,本说明书一个或多个实施例的目的在于提出一种针对应用恶意代码检测与定位的方法,以解决现有技术对于恶意应用检测及定位中,不能自动定位恶意代码,后续人工工作量大且困难的问题。基于上述目的,本说明书一个或多个实施例提供了一种针对应用恶意代码检测与定位的方法,包括:通过对应用执行产生的流量的特征分析进行异常流量检测;对检测到的异常流量的特征进行应用行为分析,找出对应的可疑恶意代码并进行标记及分类;根据对所述可疑恶意代码的分类和各标记点间执行结果之间的关联,对所述恶意代码进行定位。优选地,对应用进行异常流量检测包括:通过包内容分析、包头分析和异常ip检测的方式对异常流量进行检测,区分出异常流量。优选地,对应用进行异常流量检测还包括:使用白名单对应用运行时的流量进行识别和筛选,筛除特殊情况的正常流量,区分出异常流量。优选地,对所述恶意代码进行定位还包括:根据所述可疑恶意代码的恶意行为与特定应用程序编程接口调用的关系,对所述恶意代码进行定位。优选地,对检测到的异常流量的特征进行应用行为分析,找出对应的可疑恶意代码并进行标记及分类,包括:通过数据库聚类缩小恶意代码的标记范围,精确标记可疑恶意代码并对所述可疑恶意代码分类。优选地,对所述可疑恶意代码进行分类,其类型包括:隐私窃取类恶意代码、远程控制类恶意代码和恶意传播类恶意代码。优选地,对所述可疑恶意代码进行标记,还包括:对所述可疑恶意代码进行标记时,记录所述可疑恶意代码的位置并生成日志。优选地,根据对所述可疑恶意代码的分类和各标记点间执行结果之间的关联,对所述恶意代码进行定位之后,还包括:配合程序控制流图进行恶意代码段及运行路径的定位,提取出所述恶意代码的完整执行逻辑。优选地,配合程序控制流图进行恶意代码段及运行路径的定位,提取出所述恶意代码的完整执行逻辑,还包括:对基础的所述程序控制流图加以修改、添加对多线程和各组件间通信产生的控制流图路径的补充。本说明书一个或多个实施例还提供了一种针对应用恶意代码检测与定位的装置,其特征在于,包括:异常流量检测模块,用于通过对应用执行产生的流量的特征分析进行异常流量检测;应用行为分析模块,对检测到的异常流量的特征进行应用行为分析,找出对应的可疑恶意代码并进行标记及分类;恶意代码定位模块,根据对所述可疑恶意代码的分类和各标记点间执行结果之间的关联,对所述恶意代码进行定位。从上面所述可以看出,本说明书一个或多个实施例提供的针对应用恶意代码检测与定位的方法,针对恶意应用中具有隐私窃取、远程控制、恶意传播行为的存在异常流量信息的应用,提出一种基于流量特征分析及标记代码执行的恶意代码定位方法;根据特征分析结果对可疑代码段进行自动标记,标记位置在应用运行时输出运行时信息,根据该信息进行恶意代码段的定位。本申请所提供的方法有效弥补了当前各类检测方法的不足,以异常流量行为为依据,定位恶意代码。解决了现有技术对于恶意应用检测及应用中,不能自动定位恶意代码,后续人工工作量大且困难的问题。附图说明为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本说明书一个或多个实施例提供的一种针对应用恶意代码检测与定位的方法流程图;图2为本说明书一个或多个实施例提供的一种针对应用恶意代码检测与定位的方法流程图;图3为本说明书一个或多个实施例提供的一种针对应用恶意代码检测与定位的装置构成示意图。具体实施方式为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。需要说明的是,除非另外定义,本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本说明书一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。请参考图1,图1为本实施例所提供的一种针对应用恶意代码检测与定位的方法流程图;步骤S1:通过对应用执行产生的流量的特征分析进行异常流量检测;一般情况下,应用运行时产生的流量可分为应用程序与服务器通信完成功能实现的正常流量、应用程序中第三方SDK功能实现所产生的正常流量、移动设备与厂商之间产生的正常流量、恶意代码段产生的异常流量。异常流量检测及特征分析方法需对上述流量进行分析,并对正常流量及异常流量进行区分,再对异常流量进行特征分析,作为代码标记的依据。步骤S2:对检测到的异常流量的特征进行应用行为分析,找出对应的可疑恶意代码并进行标记及分类;通常情况下,各类恶意应用产生的异常流量具有一定的特征,典型的恶意代码类型包括隐私本文档来自技高网...
【技术保护点】
1.一种针对应用恶意代码检测与定位的方法,其特征在于,包括:/n通过对应用执行产生的流量的特征分析进行异常流量检测;/n对检测到的异常流量的特征进行应用行为分析,找出对应的可疑恶意代码并进行标记及分类;/n根据对所述可疑恶意代码的分类和各标记点间执行结果之间的关联,对所述恶意代码进行定位。/n
【技术特征摘要】
1.一种针对应用恶意代码检测与定位的方法,其特征在于,包括:
通过对应用执行产生的流量的特征分析进行异常流量检测;
对检测到的异常流量的特征进行应用行为分析,找出对应的可疑恶意代码并进行标记及分类;
根据对所述可疑恶意代码的分类和各标记点间执行结果之间的关联,对所述恶意代码进行定位。
2.根据权利要求1所述的针对应用恶意代码检测与定位的方法,其特征在于,对应用进行异常流量检测包括:
通过包内容分析、包头分析和异常ip检测的方式对异常流量进行检测,区分出异常流量。
3.根据权利要求2所述的针对应用恶意代码检测与定位的方法,其特征在于,对应用进行异常流量检测还包括:
使用白名单对应用运行时的流量进行识别和筛选,筛除特殊情况的正常流量,区分出异常流量。
4.根据权利要求1所述的针对应用恶意代码检测与定位的方法,其特征在于,对所述恶意代码进行定位还包括:
根据所述可疑恶意代码的恶意行为与特定应用程序编程接口调用的关系,对所述恶意代码进行定位。
5.根据权利要求1所述的针对应用恶意代码检测与定位的方法,其特征在于,对检测到的异常流量的特征进行应用行为分析,找出对应的可疑恶意代码并进行标记及分类,包括:
通过数据库聚类缩小恶意代码的标记范围,精确标记可疑恶意代码并对所述可疑恶意代码分类。
6.根据权利要求5所述的针对应用恶意代码...
【专利技术属性】
技术研发人员:徐国爱,王浩宇,王松鹤,郭燕慧,徐国胜,张淼,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。