惡意軟件審核方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種惡意軟件審核方法和系統(tǒng)�����。所述方法包括以下步驟:將第一被審核軟件進(jìn)行可識(shí)別格式轉(zhuǎn)化得到第二被審核軟件����;根據(jù)惡意行為特征庫(kù)對(duì)所述第二被審核軟件進(jìn)行惡意行為審核,得到審核結(jié)果���;當(dāng)所述審核結(jié)果為不包含惡意行為時(shí)�,則根據(jù)敏感行為特征庫(kù)對(duì)所述第二被審核軟件進(jìn)行敏感行為審核�����;當(dāng)所述敏感行為審核的審核結(jié)果為包含敏感行為時(shí)�����,則根據(jù)軟件行為模型對(duì)所述第二被審核軟件進(jìn)行行為模式分析����;當(dāng)所述行為模式分析的結(jié)果為行為不合理時(shí)�����,則判定所述第一被審核軟件為惡意軟件���。本發(fā)明實(shí)現(xiàn)了軟件是否存在惡意或者潛在威脅的審核。
【專利說(shuō)明】惡意軟件審核方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全領(lǐng)域����,具體涉及一種惡意軟件審核方法和系統(tǒng)。
【背景技術(shù)】
[0002]隨著IT技術(shù)的高速發(fā)展��,大量的IT產(chǎn)品快速蔓延��、擴(kuò)張到日常生活的各個(gè)方面��。同時(shí)�����,IT產(chǎn)品的智能化也越來(lái)越高����,并且顛覆了各種產(chǎn)品的傳統(tǒng)使用方式。例如���,手機(jī)不再僅僅用于打電話��,看電影�、玩游戲等也成了手機(jī)的必備功能之一���。新的產(chǎn)品��,新的使用方式�����,新的功能�����,給大眾帶來(lái)了新的體驗(yàn)����,也帶來(lái)了新的問(wèn)題��。當(dāng)前的惡意軟件不再像傳統(tǒng)的惡意軟件(例如�����,蠕蟲,熊貓燒香)那樣以破壞性為主��,而是為了盜取用戶賬號(hào)�,銀行卡號(hào),密碼等重要信息����。因此,當(dāng)前用戶的重要信息面臨著嚴(yán)重的安全問(wèn)題�����。而且�����,僅僅通過(guò)分析軟件的代碼或者文件已經(jīng)不能夠準(zhǔn)確地檢測(cè)出所有惡意軟件�。
【發(fā)明內(nèi)容】
[0003]本發(fā)明的目的是提供一種惡意軟件審核方法和系統(tǒng),通過(guò)對(duì)軟件行為的分析判斷是否具有惡意或者潛在威脅��,實(shí)現(xiàn)了對(duì)惡意軟件的審核工作�,提高了惡意軟件審核的有效性和準(zhǔn)確性��,保護(hù)了用戶的信息安全。
[0004]為實(shí)現(xiàn)上述目的��,本發(fā)明提供了一種惡意軟件審核方法��,所述方法包括以下步驟:
[0005]將第一被審核軟件進(jìn)行可識(shí)別格式轉(zhuǎn)化得到第二被審核軟件�����;
[0006]根據(jù)惡意行為特征庫(kù)對(duì)所述第二被審核軟件進(jìn)行惡意行為審核����,得到審核結(jié)果;
[0007]當(dāng)所述審核結(jié)果為不包含惡意行為時(shí)��,則根據(jù)敏感行為特征庫(kù)對(duì)所述第二被審核軟件進(jìn)行敏感行為審核�����;
[0008]當(dāng)所述敏感行為審核的審核結(jié)果為包含敏感行為時(shí)�����,則根據(jù)軟件行為模型對(duì)所述第二被審核軟件進(jìn)行行為模式分析��;
[0009]當(dāng)所述行為模式分析的結(jié)果為行為不合理時(shí)����,則判定所述第一被審核軟件為惡意軟件��。
[0010]優(yōu)選地�����,所述方法還包括:當(dāng)所述審核結(jié)果為包含惡意行為時(shí)���,則判定所述第一被審核軟件為惡意軟件。
[0011]優(yōu)選地��,所述方法還包括:當(dāng)所述敏感行為審核的審核結(jié)果為不包含敏感行為時(shí)��,則判定所述第一被審核軟件為非惡意軟件�����。
[0012]優(yōu)選地���,所述方法還包括:當(dāng)所述行為模式分析的結(jié)果為行為合理時(shí)����,則判定所述第一被審核軟件為非惡意軟件。
[0013]優(yōu)選地���,所述惡意行為特征庫(kù)具體為包含已知惡意軟件的惡意行為特征和/或自定義的惡意行為特征的樣本庫(kù)。
[0014]優(yōu)選地�,所述敏感行為特征庫(kù)具體為包含已知惡意軟件的敏感行為特征和/或自定義的敏感行為特征的樣本庫(kù)。[0015]優(yōu)選地���,所述軟件行為模型具體為通過(guò)現(xiàn)有軟件的類型����、用途�����、編程語(yǔ)言���、運(yùn)行環(huán)境和運(yùn)行權(quán)限的特征來(lái)分析軟件行為的模型�����。
[0016]本發(fā)明還提供了一種惡意軟件審核系統(tǒng)���,所述系統(tǒng)包括:
[0017]格式轉(zhuǎn)換模塊,用于將第一被審核軟件進(jìn)行可識(shí)別格式轉(zhuǎn)化得到第二被審核軟件;
[0018]惡意行為審核模塊���,用于根據(jù)惡意行為特征庫(kù)對(duì)所述第二被審核軟件進(jìn)行惡意行為審核�����,得到審核結(jié)果��;
[0019]敏感行為審核模塊���,用于當(dāng)所述審核結(jié)果為不包含惡意行為時(shí),則根據(jù)敏感行為特征庫(kù)對(duì)所述第二被審核軟件進(jìn)行敏感行為審核�����;
[0020]行為模式分析模塊���,用于當(dāng)所述敏感行為審核的審核結(jié)果為包含敏感行為時(shí)�,則根據(jù)軟件行為模型對(duì)所述第二被審核軟件進(jìn)行行為模式分析�����;
[0021]當(dāng)所述行為模式分析的結(jié)果為行為不合理時(shí)��,則判定所述第一被審核軟件為惡意軟件。
[0022]本發(fā)明提供的惡意軟件審核方法和系統(tǒng)通過(guò)收集已知惡意軟件行為建立惡意行為特征庫(kù)����,可以有效檢測(cè)出已知的具有惡意或者威脅的軟件。并且根據(jù)被審核軟件類型的自身特點(diǎn)以及參數(shù)�����,建立敏感行為特征庫(kù)��,利用軟件行為模型����,來(lái)分析判斷敏感行為是否合理或者具有潛在威脅��。從而能夠檢測(cè)出未知的惡意軟件�。提高了惡意軟件審核結(jié)果的有效性和準(zhǔn)確性,提高了用戶信息的安全��。
【專利附圖】
【附圖說(shuō)明】
[0023]圖1為本發(fā)明實(shí)施例提供的一種惡意軟件審核方法的流程圖���;
[0024]圖2為本發(fā)明實(shí)施例提供的一種惡意軟件審核系統(tǒng)的示意圖��;
[0025]圖3為本發(fā)明實(shí)施例提供的一種惡意軟件審核系統(tǒng)的系統(tǒng)運(yùn)行圖��。
【具體實(shí)施方式】
[0026]下面通過(guò)附圖和實(shí)施例���,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述�。
[0027]圖1為本發(fā)明實(shí)施例提供的惡意軟件審核方法流程圖�����,下面以圖1為例詳細(xì)說(shuō)明本發(fā)明實(shí)施例提供的一種惡意軟件審核方法�����,該方法包括以下步驟:
[0028]步驟101����,將第一被審核軟件進(jìn)行可識(shí)別格式轉(zhuǎn)化得到第二被審核軟件。
[0029]具體的�����,需要將被審核軟件轉(zhuǎn)化成惡意軟件審核系統(tǒng)所需的文件格式���,例如�����,將android系統(tǒng)的apk格式的應(yīng)用軟件進(jìn)行反編譯從而得到惡意軟件審核系統(tǒng)所需的文件格式��。
[0030]進(jìn)一步地�,在步驟101之前,該方法還包括建立惡意行為特征庫(kù)����,惡意行為特征庫(kù)是包含已知惡意軟件的惡意行為特征和/或自定義惡意行為特征的樣本庫(kù)。例如通過(guò)后門或者系統(tǒng)漏洞非法獲得系統(tǒng)權(quán)限�����、竊取用戶資料���、惡意扣費(fèi)、無(wú)提示下載或者卸載軟件�����、監(jiān)視監(jiān)聽(tīng)等所有侵犯用戶權(quán)利的行為都可作為惡意行為樣本�,納入惡意行為特征庫(kù)。
[0031]進(jìn)一步地����,在步驟101之前��,該方法還包括建立敏感行為特征庫(kù)���,敏感行為特征庫(kù)是包含已知惡意軟件的敏感行為特征和/或自定義敏感行為特征的樣本庫(kù)。例如訪問(wèn)用戶重要信息��,如電話簿��、通話記錄����,瀏覽器歷史記錄等,要求更高權(quán)限���,后臺(tái)運(yùn)行等所有具有潛在可能會(huì)對(duì)用戶造成損害的行為都可作為敏感行為樣本�,納入敏感行為特征庫(kù)����。
[0032]進(jìn)一步地,在步驟101之前��,該方法還包括建立軟件行為模型��,軟件行為模型具體為通過(guò)現(xiàn)有軟件的類型��、用途、編程語(yǔ)言�、運(yùn)行環(huán)境和運(yùn)行權(quán)限的特征來(lái)分析軟件行為的模型。軟件行為模型用于判斷被審核軟件的敏感行為是否合理��。
[0033]步驟102����,根據(jù)惡意行為特征庫(kù)對(duì)第二被審核軟件進(jìn)行惡意行為審核。
[0034]步驟103�����,當(dāng)審核結(jié)果為不包含惡意行為時(shí)��,則根據(jù)敏感行為特征庫(kù)對(duì)第二被審核軟件進(jìn)行敏感行為審核����。
[0035]進(jìn)一步地��,當(dāng)審核結(jié)果為包含惡意行為時(shí)��,審核結(jié)果為拒絕���,則判定第一被審核軟件為惡意軟件����。
[0036]步驟104,當(dāng)敏感行為審核的審核結(jié)果為包含敏感行為時(shí)�����,則根據(jù)軟件行為模型對(duì)第二被審核軟件進(jìn)行行為模式分析���。
[0037]進(jìn)一步地��,當(dāng)敏感行為審核的審核結(jié)果為不包含敏感行為時(shí)�,審核結(jié)果為通過(guò)�,則判定第一被審核軟件為非惡意軟件。
[0038]步驟105��,當(dāng)行為模式分析的結(jié)果為行為不合理時(shí)�����,則判定第一被審核軟件為惡意軟件��。
[0039]進(jìn)一步地����,當(dāng)行為模式分析的結(jié)果為行為合理時(shí)�,則判定第一被審核軟件為非惡意軟件����。
[0040]例如,步驟104中被審核軟件做出了訪問(wèn)用戶電話簿的敏感行為����,惡意軟件審核系統(tǒng)審核到該敏感行為,繼續(xù)進(jìn)行步驟105�,如果被審核軟件是社交類軟件或者個(gè)人信息管理助手類軟件,社交類軟件訪問(wèn)電話簿是一個(gè)正常的行為����,則根據(jù)軟件行為模型分析出該敏感行為可以認(rèn)定為合理。如果被審核軟件是游戲類軟件或者視頻類軟件��,訪問(wèn)電話簿可以判定為一個(gè)非正常行為����。因?yàn)橐曨l類和游戲類軟件沒(méi)有足夠的理由去訪問(wèn)電話簿����,則根據(jù)軟件行為模型分析出該敏感行為可以認(rèn)定為不合理,從而確定被審核軟件為惡意軟件��。
[0041]圖2為本發(fā)明實(shí)施例提供的一種惡意軟件審核系統(tǒng)示意圖,如圖2所示��,該系統(tǒng)包括以下功能模塊:
[0042]格式轉(zhuǎn)化模塊201���,用于將第一被審核軟件進(jìn)行可識(shí)別格式轉(zhuǎn)化得到第二被審核軟件��。
[0043]具體的�,將被審核軟件轉(zhuǎn)化成惡意軟件審核系統(tǒng)所需的文件格式�。
[0044]惡意行為審核模塊202,用于根據(jù)惡意行為特征庫(kù)對(duì)第二被審核軟件進(jìn)行惡意行為審核��,得到審核結(jié)果�����。
[0045]具體的�����,根據(jù)惡意行為特征庫(kù)審核軟件是否含有惡意行為特征����。惡意行為審核結(jié)果為拒絕的被審核軟件判定為惡意軟件。
[0046]敏感行為審核模塊203,用于當(dāng)審核結(jié)果為不包含惡意行為時(shí)�,則根據(jù)敏感行為特征庫(kù)對(duì)第二被審核軟件進(jìn)行敏感行為審核。
[0047]具體的�����,根據(jù)敏感行為特征庫(kù)審核軟件是否含有敏感行為特征��。
[0048]行為模式分析模塊204���,用于當(dāng)敏感行為審核的審核結(jié)果為包含敏感行為時(shí)�����,則根據(jù)軟件行為模型對(duì)第二被審核軟件進(jìn)行行為模式分析���;
[0049]當(dāng)行為模式分析的結(jié)果為行為不合理時(shí),則判定第一被審核軟件為惡意軟件�。
[0050]具體的,根據(jù)行為模式模型對(duì)被審核軟件的敏感行為進(jìn)行分析�,判斷得出該敏感行為是否合理或者是否具有潛在威脅,從而進(jìn)一步判定被審核軟件是否是惡意軟件�����。
[0051]圖3為本發(fā)明實(shí)施例提供的一種惡意軟件審核系統(tǒng)的系統(tǒng)運(yùn)行圖�����,本發(fā)明實(shí)施例中��,執(zhí)行以下步驟的執(zhí)行主體為惡意軟件審核系統(tǒng)����。如圖3所示,系統(tǒng)運(yùn)行包括以下步驟:
[0052]步驟301��,軟件格式轉(zhuǎn)化��。
[0053]具體的�����,首先將被審核軟件轉(zhuǎn)換成惡意軟件審核系統(tǒng)所需的文件格式���。
[0054]步驟302���,惡意行為審核。
[0055]具體的����,根據(jù)惡意行為特征庫(kù)里的惡意行為特征�����,對(duì)被審核軟件進(jìn)行惡意行為審核��。
[0056]步驟303�����,判斷是否包含惡意行為�。
[0057]具體的�,經(jīng)過(guò)上一步驟302,當(dāng)被審核軟件包含有惡意行為特征時(shí)�,則被審核軟件的審核結(jié)果為拒絕;當(dāng)被審核軟件沒(méi)有包含惡意行為特征時(shí)����,則繼續(xù)進(jìn)行步驟304。
[0058]步驟304����,敏感行為審核。
[0059]具體的��,根據(jù)敏感行為特征庫(kù)里的敏感行為特征,對(duì)被審核軟件進(jìn)行敏感行為審核�。
[0060]步驟305����,判斷是否包含敏感行為。
[0061]具體的����,經(jīng)過(guò)上一步驟304,當(dāng)被審核軟件包含有敏感行為特征��,則繼續(xù)進(jìn)行步驟306 ;當(dāng)被審核軟件沒(méi)有包含敏感行為特征����,則被審核軟件的審核結(jié)果為通過(guò)。
[0062]例如�,軟件訪問(wèn)了用戶照片、聯(lián)絡(luò)人名單等容易造成信息泄露的地方���,但是沒(méi)有發(fā)送此類信息的行為����。如果軟件具有類似的敏感行為特征�,就需要對(duì)這些敏感行為進(jìn)行行為模式分析���。
[0063]步驟306,行為模式分析。
[0064]具體的�����,根據(jù)軟件行為模型對(duì)被審核軟件的敏感行為進(jìn)行行為模式分析�����。其中����,軟件行為模型用于判斷被審核軟件的敏感行為是否屬于正常、合理范圍內(nèi)�����。
[0065]步驟307�,判斷是否具有潛在威脅。
[0066]具體的���,經(jīng)過(guò)上一步驟306�����,根據(jù)軟件行為模型�,對(duì)被審核軟件的敏感行為進(jìn)行行為模式分析。當(dāng)行為模式分析的結(jié)果為行為不合理時(shí)����,分析得出被審核軟件的敏感行為對(duì)用戶具有潛在威脅��,則審核結(jié)果為拒絕����,該被審核軟件確定為惡意軟件;當(dāng)行為模式分析的結(jié)果為行為合理時(shí)�,分析得出被審核軟件的敏感行為對(duì)用戶不具有潛在威脅,則審核結(jié)果為通過(guò)�����。
[0067]本發(fā)明實(shí)施例提供的惡意軟件審核方法和系統(tǒng)利用建立的惡意行為特征庫(kù)�、敏感行為特征庫(kù)和軟件行為模型,對(duì)被審核軟件的一些行為或者動(dòng)作進(jìn)行分析判斷是否合理或者是否具有潛在威脅�,從而能夠檢測(cè)出未知的惡意軟件。實(shí)現(xiàn)了對(duì)惡意軟件的全面審核����,提高了惡意軟件審核結(jié)果的有效性和準(zhǔn)確性���,保證了用戶信息的安全。
[0068]專業(yè)人員應(yīng)該還可以進(jìn)一步意識(shí)到���,結(jié)合本文中所公開(kāi)的實(shí)施例描述的各示例的單元及算法步驟�,能夠以電子硬件�����、計(jì)算機(jī)軟件或者二者的結(jié)合來(lái)實(shí)現(xiàn)���,為了清楚地說(shuō)明硬件和軟件的可互換性�,在上述說(shuō)明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟��。這些功能究竟以硬件還是軟件方式來(lái)執(zhí)行�,取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件����。專業(yè)技術(shù)人員可以對(duì)每個(gè)特定的應(yīng)用來(lái)使用不同方法來(lái)實(shí)現(xiàn)所描述的功能�,但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍��。[0069]結(jié)合本文中所公開(kāi)的實(shí)施例描述的方法或算法的步驟可以用硬件、處理器執(zhí)行的軟件模塊�����,或者二者的結(jié)合來(lái)實(shí)施。軟件模塊可以置于隨機(jī)存儲(chǔ)器(RAM)���、內(nèi)存�����、只讀存儲(chǔ)器(ROM)、電可編程ROM���、電可擦除可編程ROM�、寄存器���、硬盤��、可移動(dòng)磁盤��、CD-ROM�、或【技術(shù)領(lǐng)域】?jī)?nèi)所公知的任意其它形式的存儲(chǔ)介質(zhì)中��。
[0070]以上所述的【具體實(shí)施方式】�����,對(duì)本發(fā)明的目的、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步詳細(xì)說(shuō)明�����,所應(yīng)理解的是��,以上所述僅為本發(fā)明的【具體實(shí)施方式】而已����,并不用于限定本發(fā)明的保護(hù)范圍,凡在本發(fā)明的精神和原則之內(nèi)�����,所做的任何修改����、等同替換、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種惡意軟件審核方法�����,其特征在于,所述方法包括以下步驟: 將第一被審核軟件進(jìn)行可識(shí)別格式轉(zhuǎn)化得到第二被審核軟件�; 根據(jù)惡意行為特征庫(kù)對(duì)所述第二被審核軟件進(jìn)行惡意行為審核,得到審核結(jié)果�; 當(dāng)所述審核結(jié)果為不包含惡意行為時(shí),則根據(jù)敏感行為特征庫(kù)對(duì)所述第二被審核軟件進(jìn)行敏感行為審核�����; 當(dāng)所述敏感行為審核的審核結(jié)果為包含敏感行為時(shí)�����,則根據(jù)軟件行為模型對(duì)所述第二被審核軟件進(jìn)行行為模式分析���; 當(dāng)所述行為模式分析的結(jié)果為行為不合理時(shí),則判定所述第一被審核軟件為惡意軟件�����。
2.根據(jù)權(quán)利要求1所述的惡意軟件審核方法�����,其特征在于,所述方法還包括:當(dāng)所述審核結(jié)果為包含惡意行為時(shí)��,則判定所述第一被審核軟件為惡意軟件�。
3.根據(jù)權(quán)利要求1所述的惡意軟件審核方法,其特征在于����,所述方法還包括:當(dāng)所述敏感行為審核的審核結(jié)果為不包含敏感行為時(shí),則判定所述第一被審核軟件為非惡意軟件���。
4.根據(jù)權(quán)利要求1所述的惡意軟件審核方法�,其特征在于��,所述方法還包括:當(dāng)所述行為模式分析的結(jié)果為行為合理時(shí)���,則判定所述第一被審核軟件為非惡意軟件����。
5.根據(jù)權(quán)利要求1所述的惡意軟件審核方法�����,其特征在于�,所述惡意行為特征庫(kù)具體為包含已知惡意軟件的惡意行為特征和/或自定義的惡意行為特征的樣本庫(kù)�。
6.根據(jù)權(quán)利要求1所述的惡意軟件審核方法�����,其特征在于���,所述敏感行為特征庫(kù)具體為包含已知惡意軟件的敏感行為特征和/或自定義的敏感行為特征的樣本庫(kù)��。
7.根據(jù)權(quán)利要求1所述的惡意軟件審核方法�,其特征在于�,所述軟件行為模型具體為通過(guò)現(xiàn)有軟件的類型、用途����、編程語(yǔ)言、運(yùn)行環(huán)境和運(yùn)行權(quán)限的特征來(lái)分析軟件行為的模型��。
8.—種惡意軟件審核系統(tǒng)����,其特征在于�,所述系統(tǒng)包括: 格式轉(zhuǎn)換模塊,用于將第一被審核軟件進(jìn)行可識(shí)別格式轉(zhuǎn)化得到第二被審核軟件��;惡意行為審核模塊,用于根據(jù)惡意行為特征庫(kù)對(duì)所述第二被審核軟件進(jìn)行惡意行為審核���,得到審核結(jié)果���; 敏感行為審核模塊,用于當(dāng)所述審核結(jié)果為不包含惡意行為時(shí)����,則根據(jù)敏感行為特征庫(kù)對(duì)所述第二被審核軟件進(jìn)行敏感行為審核; 行為模式分析模塊����,用于當(dāng)所述敏感行為審核的審核結(jié)果為包含敏感行為時(shí),則所述根據(jù)軟件行為模型對(duì)第二被審核軟件進(jìn)行行為模式分析����; 當(dāng)所述行為模式分析的結(jié)果為行為不合理時(shí),則判定所述第一被審核軟件為惡意軟件��。
【文檔編號(hào)】G06F21/56GK103942494SQ201410129211
【公開(kāi)日】2014年7月23日 申請(qǐng)日期:2014年4月1日 優(yōu)先權(quán)日:2014年4月1日
【發(fā)明者】田野, 周學(xué)志 申請(qǐng)人:中國(guó)科學(xué)院聲學(xué)研究所