基于android終端日志的惡意代碼檢測(cè)方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及移動(dòng)終端安全領(lǐng)域����,特別涉及一種基于android終端日志的惡意代碼檢測(cè)方法及系統(tǒng)���。
【背景技術(shù)】
[0002]對(duì)于Android操作系統(tǒng)的病毒檢測(cè)��,一般是由動(dòng)態(tài)檢測(cè)技術(shù)與靜態(tài)檢測(cè)技術(shù)完成的�����。動(dòng)態(tài)檢測(cè)實(shí)時(shí)性要求比較高�����,一般需要確保在惡意行為產(chǎn)生危害之前將其檢測(cè)出來���,由于動(dòng)態(tài)檢測(cè)技術(shù)必須通過執(zhí)行程序來捕獲應(yīng)用代碼運(yùn)行行為軌跡��,對(duì)硬件資源消耗較大��,執(zhí)行效率比較低�。靜態(tài)檢測(cè)技術(shù)需要先利用反編譯技術(shù)對(duì)軟件進(jìn)行反編譯并獲取代碼�,然后檢測(cè)代碼的控制流程與代碼邏輯,靜態(tài)檢測(cè)的檢測(cè)基于已知的惡意程序���,使得它對(duì)抗未知惡意程序的能力相對(duì)較差�。
【發(fā)明內(nèi)容】
[0003]本發(fā)明提出了一種基于android終端日志的惡意代碼檢測(cè)方法及系統(tǒng)�,通過針對(duì)Android系統(tǒng)日志的檢測(cè),避免了以上不足���,進(jìn)一步提高了檢測(cè)能力�、節(jié)約系統(tǒng)資源。
[0004]一種基于android終端日志的惡意代碼檢測(cè)方法�,包括:
主進(jìn)程啟動(dòng)日志獲取進(jìn)程;
日志獲取進(jìn)程通過運(yùn)行時(shí)接口函數(shù)獲取android系統(tǒng)自帶日志進(jìn)程的對(duì)象實(shí)例���;
調(diào)用所述日志進(jìn)程的對(duì)象實(shí)例的日志獲取函數(shù)�����,獲取已生成的所有日志記錄�����;
對(duì)日志記錄進(jìn)行預(yù)處理�����;
將預(yù)處理后的日志記錄與惡意代碼庫(kù)匹配�,如果匹配成功�,則存在惡意行為,并將結(jié)果反饋給主進(jìn)程�;否則不存在惡意行為�����。
[0005]所述的方法中,所述對(duì)日志記錄進(jìn)行預(yù)處理包括:正則過濾或哈希計(jì)算����。
[0006]所述的方法中,所述將預(yù)處理后的日志記錄與惡意代碼庫(kù)匹配的方式包括:字符串匹配或哈希相似性匹配��。
[0007]一種基于android終端日志的惡意代碼檢測(cè)系統(tǒng)���,包括:
主模塊��,用于主進(jìn)程啟動(dòng)日志獲取進(jìn)程�����;
日志獲取模塊����,用于日志獲取進(jìn)程通過運(yùn)行時(shí)接口函數(shù)獲取android系統(tǒng)自帶日志進(jìn)程的對(duì)象實(shí)例�����;調(diào)用所述日志進(jìn)程的對(duì)象實(shí)例的日志獲取函數(shù)�����,獲取已生成的所有日志記錄;
日志檢測(cè)模塊,用于對(duì)日志記錄進(jìn)行預(yù)處理�����;將預(yù)處理后的日志記錄與惡意代碼庫(kù)匹配����,如果匹配成功,則存在惡意行為��,并將結(jié)果反饋給主進(jìn)程����;否則不存在惡意行為。
[0008]所述的系統(tǒng)中�,所述對(duì)日志記錄進(jìn)行預(yù)處理包括:正則過濾或哈希計(jì)算。
[0009]所述的系統(tǒng)中����,所述將預(yù)處理后的日志記錄與惡意代碼庫(kù)匹配的方式包括:字符串匹配或哈希相似性匹配。
[0010]本發(fā)明的優(yōu)勢(shì)在于�����,通過運(yùn)行時(shí)接口函數(shù)獲取Android操作系統(tǒng)自帶的日志進(jìn)程的對(duì)象實(shí)例,并通過對(duì)象實(shí)例的日志獲取函數(shù)獲取日志�����,將日志與病毒庫(kù)匹配定位惡意應(yīng)用��,并啟動(dòng)警告策略����。
[0011]本發(fā)明提供了一種基于android終端日志的惡意代碼檢測(cè)方法及系統(tǒng)�����,包括:主進(jìn)程啟動(dòng)日志獲取進(jìn)程���;日志獲取進(jìn)程通過運(yùn)行時(shí)接口函數(shù)獲取android系統(tǒng)自帶日志進(jìn)程的對(duì)象實(shí)例��;調(diào)用所述日志進(jìn)程的對(duì)象實(shí)例的日志獲取函數(shù)�����,獲取已生成的所有日志記錄��;對(duì)日志記錄進(jìn)行預(yù)處理��;將預(yù)處理后的日志記錄與惡意代碼庫(kù)匹配�,如果匹配成功,則存在惡意行為���,并將結(jié)果反饋給主進(jìn)程��;否則不存在惡意行為�����。本發(fā)明還對(duì)應(yīng)提供了系統(tǒng)�����,通過本
【發(fā)明內(nèi)容】
�����,將程序運(yùn)行過程中的附加信息作為檢查點(diǎn)�����,解決靜態(tài)分析的逆向成本以及動(dòng)態(tài)檢測(cè)成本過高的問題���。
【附圖說明】
[0012]為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹����,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動(dòng)的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖��。
[0013]圖1為本發(fā)明一種基于android終端日志的惡意代碼檢測(cè)方法實(shí)施例流程圖��;
圖2為本發(fā)明一種基于android終端日志的惡意代碼檢測(cè)系統(tǒng)實(shí)施例結(jié)構(gòu)示意圖�。
【具體實(shí)施方式】
[0014]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案,并使本發(fā)明的上述目的��、特征和優(yōu)點(diǎn)能夠更加明顯易懂����,下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明���。
[0015]本發(fā)明提出了一種基于android終端日志的惡意代碼檢測(cè)方法及系統(tǒng),通過針對(duì)Android系統(tǒng)日志的檢測(cè)�����,進(jìn)一步提高了檢測(cè)能力���、節(jié)約系統(tǒng)資源���。
[0016]一種基于android終端日志的惡意代碼檢測(cè)方法,如圖1所示�����,包括:
5101:主進(jìn)程啟動(dòng)日志獲取進(jìn)程����;
5102:日志獲取進(jìn)程通過運(yùn)行時(shí)接口函數(shù)Runtime獲取android系統(tǒng)自帶日志進(jìn)程1gcat的對(duì)象實(shí)例;logcat進(jìn)程為系統(tǒng)進(jìn)程��,用于實(shí)時(shí)獲取操作系統(tǒng)及應(yīng)用程序產(chǎn)生的日志信息
5103:調(diào)用所述日志進(jìn)程的對(duì)象實(shí)例的日志獲取函數(shù)���,獲取已生成的所有日志記錄���;
5104:對(duì)日志記錄進(jìn)行預(yù)處理����;
5105:將預(yù)處理后的日志記錄與惡意代碼庫(kù)匹配�����,如果匹配成功���,則存在惡意行為,并將結(jié)果反饋給主進(jìn)程�;否則不存在惡意行為。
[0017]所述的方法中����,所述對(duì)日志記錄進(jìn)行預(yù)處理包括:正則過濾或哈希計(jì)算。
[0018]所述的方法中�����,所述將預(yù)處理后的日志記錄與惡意代碼庫(kù)匹配的方式包括:字符串匹配或哈希相似性匹配�����。
[0019]一種基于android終端日志的惡意代碼檢測(cè)系統(tǒng),如圖2所示����,包括:
主模塊201,用于主進(jìn)程啟動(dòng)日志獲取進(jìn)程�;
日志獲取模塊202,用于日志獲取進(jìn)程通過運(yùn)行時(shí)接口函數(shù)獲取android系統(tǒng)自帶日志進(jìn)程的對(duì)象實(shí)例���;調(diào)用所述日志進(jìn)程的對(duì)象實(shí)例的日志獲取函數(shù)���,獲取已生成的所有日志記錄;
日志檢測(cè)模塊203,用于對(duì)日志記錄進(jìn)行預(yù)處理�;將預(yù)處理后的日志記錄與惡意代碼庫(kù)匹配,如果匹配成功����,則存在惡意行為,并將結(jié)果反饋給主進(jìn)程����;否則不存在惡意行為。
[0020]所述的系統(tǒng)中����,所述對(duì)日志記錄進(jìn)行預(yù)處理包括:正則過濾或哈希計(jì)算���。
[0021]所述的系統(tǒng)中,所述將預(yù)處理后的日志記錄與惡意代碼庫(kù)匹配的方式包括:字符串匹配或哈希相似性匹配���。
[0022]本發(fā)明的優(yōu)勢(shì)在于�����,通過運(yùn)行時(shí)接口函數(shù)獲取Android操作系統(tǒng)自帶的日志進(jìn)程的對(duì)象實(shí)例����,并通過對(duì)象實(shí)例的日志獲取函數(shù)獲取日志����,將日志與病毒庫(kù)匹配定位惡意應(yīng)用�,并啟動(dòng)警告策略。
[0023]本發(fā)明提供了一種基于android終端日志的惡意代碼檢測(cè)方法及系統(tǒng)���,包括:主進(jìn)程啟動(dòng)日志獲取進(jìn)程���;日志獲取進(jìn)程通過運(yùn)行時(shí)接口函數(shù)獲取android系統(tǒng)自帶日志進(jìn)程的對(duì)象實(shí)例���;調(diào)用所述日志進(jìn)程的對(duì)象實(shí)例的日志獲取函數(shù),獲取已生成的所有日志記錄����;對(duì)日志記錄進(jìn)行預(yù)處理;將預(yù)處理后的日志記錄與惡意代碼庫(kù)匹配����,如果匹配成功,則存在惡意行為����,并將結(jié)果反饋給主進(jìn)程;否則不存在惡意行為�����。本發(fā)明還對(duì)應(yīng)提供了系統(tǒng)�,通過本
【發(fā)明內(nèi)容】
,將程序運(yùn)行過程中的附加信息作為檢查點(diǎn)�����,解決靜態(tài)分析的逆向成本以及動(dòng)態(tài)檢測(cè)成本過高的問題����。
[0024]本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述���,各個(gè)實(shí)施例之間相同相似的部分互相參見即可,每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處�����。尤其�����,對(duì)于系統(tǒng)實(shí)施例而言��,由于其基本相似于方法實(shí)施例�����,所以描述的比較簡(jiǎn)單�����,相關(guān)之處參見方法實(shí)施例的部分說明即可��。
[0025]雖然通過實(shí)施例描繪了本發(fā)明�,本領(lǐng)域普通技術(shù)人員知道,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神�����,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神����。
【主權(quán)項(xiàng)】
1.一種基于android終端日志的惡意代碼檢測(cè)方法,其特征在于����,包括: 主進(jìn)程啟動(dòng)日志獲取進(jìn)程; 日志獲取進(jìn)程通過運(yùn)行時(shí)接口函數(shù)獲取android系統(tǒng)自帶日志進(jìn)程的對(duì)象實(shí)例���; 調(diào)用所述日志進(jìn)程的對(duì)象實(shí)例的日志獲取函數(shù)����,獲取已生成的所有日志記錄�; 對(duì)日志記錄進(jìn)行預(yù)處理; 將預(yù)處理后的日志記錄與惡意代碼庫(kù)匹配�����,如果匹配成功,則存在惡意行為����,并將結(jié)果反饋給主進(jìn)程;否則不存在惡意行為�。2.如權(quán)利要求1所述的方法,其特征在于�,所述對(duì)日志記錄進(jìn)行預(yù)處理包括:正則過濾或哈希計(jì)算。3.如權(quán)利要求2所述的方法���,其特征在于��,所述將預(yù)處理后的日志記錄與惡意代碼庫(kù)匹配的方式包括:字符串匹配或哈希相似性匹配��。4.一種基于android終端日志的惡意代碼檢測(cè)系統(tǒng)��,其特征在于�,包括: 主模塊�,用于主進(jìn)程啟動(dòng)日志獲取進(jìn)程; 日志獲取模塊��,用于日志獲取進(jìn)程通過運(yùn)行時(shí)接口函數(shù)獲取android系統(tǒng)自帶日志進(jìn)程的對(duì)象實(shí)例���;調(diào)用所述日志進(jìn)程的對(duì)象實(shí)例的日志獲取函數(shù),獲取已生成的所有日志記錄; 日志檢測(cè)模塊,用于對(duì)日志記錄進(jìn)行預(yù)處理�;將預(yù)處理后的日志記錄與惡意代碼庫(kù)匹配,如果匹配成功���,則存在惡意行為�����,并將結(jié)果反饋給主進(jìn)程�;否則不存在惡意行為��。5.如權(quán)利要求4所述的系統(tǒng)�����,其特征在于��,所述對(duì)日志記錄進(jìn)行預(yù)處理包括:正則過濾或哈希計(jì)算�。6.如權(quán)利要求5所述的系統(tǒng),其特征在于�,所述將預(yù)處理后的日志記錄與惡意代碼庫(kù)匹配的方式包括:字符串匹配或哈希相似性匹配。
【專利摘要】本發(fā)明提供了一種基于android終端日志的惡意代碼檢測(cè)方法及系統(tǒng)�,包括:主進(jìn)程啟動(dòng)日志獲取進(jìn)程;日志獲取進(jìn)程通過運(yùn)行時(shí)接口函數(shù)獲取android系統(tǒng)自帶日志進(jìn)程的對(duì)象實(shí)例���;調(diào)用所述日志進(jìn)程的對(duì)象實(shí)例的日志獲取函數(shù)�,獲取已生成的所有日志記錄;對(duì)日志記錄進(jìn)行預(yù)處理����;將預(yù)處理后的日志記錄與惡意代碼庫(kù)匹配,如果匹配成功��,則存在惡意行為�����,并將結(jié)果反饋給主進(jìn)程����;否則不存在惡意行為。本發(fā)明還對(duì)應(yīng)提供了系統(tǒng)��,通過本
【發(fā)明內(nèi)容】
����,將程序運(yùn)行過程中的附加信息作為檢查點(diǎn),解決靜態(tài)分析的逆向成本以及動(dòng)態(tài)檢測(cè)成本過高的問題�����。
【IPC分類】G06F21/56
【公開號(hào)】CN105488412
【申請(qǐng)?zhí)枴緾N201510343505
【發(fā)明人】袁海濤, 耿進(jìn), 馬志遠(yuǎn)
【申請(qǐng)人】哈爾濱安天科技股份有限公司
【公開日】2016年4月13日
【申請(qǐng)日】2015年6月19日