一種基于apk證書相似性的惡意代碼檢測方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提出了一種基于apk證書相似性的惡意代碼檢測方法及系統(tǒng),所述方法包括:提取所述待檢測應(yīng)用程序文件中的證書文件����;提取所述證書文件中的證書信息;解析證書信息���,獲取所述證書信息中的關(guān)鍵字段信息��;所述關(guān)鍵字段信息為所述關(guān)鍵字段的字符串信息及字符串對應(yīng)長度信息�;將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配�����,如果匹配成功����,則所述待檢測應(yīng)用程序文件為惡意�����,否則所述待檢測應(yīng)用程序文件安全���。通過對證書具體內(nèi)容相似性的識別匹配����,能夠解決大批量腳本化生成的惡意應(yīng)用的識別和檢測問題。相對于靜態(tài)檢測����,能夠極大提高檢測效果。
【專利說明】
一種基于apk證書相似性的惡意代碼檢測方法及系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及移動終端安全技術(shù)領(lǐng)域��,特別涉及一種基于apk證書相似性的惡意代碼檢測方法及系統(tǒng)���。
【背景技術(shù)】
[0002]隨著Android系統(tǒng)等智能移動平臺的興起��,移動終端的惡意代碼逐漸成為信息安全領(lǐng)域的又一重大威脅��。目前�����,Android中的惡意代碼數(shù)量正呈現(xiàn)出爆炸式增長的趨勢��,且惡意應(yīng)用較多的呈現(xiàn)批量化�,腳本化生成的趨勢��,同時更多的采用加密混淆和動態(tài)加載等手段�����,當(dāng)前的移動終端惡意代碼主要基于靜態(tài)符號信息、Api調(diào)用序列及相應(yīng)的代碼片段來進(jìn)行識別和檢測��,相應(yīng)的檢測相對比較耗時且效率低�,此外傳統(tǒng)的證書檢測也只是單純的檢測整個證書文件,證書內(nèi)容只要稍微變動�,檢測即會失效,當(dāng)前Android移動惡意代碼����,同一類惡意代碼可能會有大量不同的證書,只是純粹的傳統(tǒng)證書檢測不能做到這類惡意代碼的有效識別�。
【發(fā)明內(nèi)容】
[0003]本發(fā)明公開了一種基于apk證書相似性的惡意代碼檢測方法及系統(tǒng),該方法基于Apk的證書信息提取�����,通過進(jìn)行相似性的比較提取特征��,能夠有效識別檢測大量批量腳本化生成的惡意代碼���。
[0004]一種基于apk證書相似性的惡意代碼檢測方法,包括:
接收待檢測應(yīng)用程序文件��,提取所述待檢測應(yīng)用程序文件中的證書文件;
提取所述證書文件中的證書信息�,所述證書信息包括Subject、Issuer��、StartTime�����、EndTime�����、PublicKey 及 Vers1n 信息���;
解析證書信息����,獲取所述證書信息中的關(guān)鍵字段信息�,所述關(guān)鍵字段包括CN、0U�、0、L����、ST����、C字段����;所述關(guān)鍵字段信息為所述關(guān)鍵字段的字符串信息及字符串對應(yīng)長度信息;
將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配���,如果匹配成功�,則所述待檢測應(yīng)用程序文件為惡意�,否則所述待檢測應(yīng)用程序文件安全。
[0005]所述的方法中�,所述將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配包括,字符串完全匹配或部分匹配���。
[0006]所述的方法中��,所述字符串部分匹配時�,根據(jù)相似性算法計(jì)算字符串的相似度�,如果相似度超過預(yù)設(shè)值,則所述待檢測應(yīng)用程序文件為惡意�,否則所述待檢測應(yīng)用程序文件安全。
[0007]所述的方法中��,所述將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配���,如果匹配成功����,還包括���,判斷所述證書信息中是否包含或不包含指定字符串��,如果是��,則所述待檢測應(yīng)用程序文件為惡意����,否則所述待檢測應(yīng)用程序文件安全�����。
[0008]所述的方法中�����,惡意證書信息庫為根據(jù)已知惡意代碼文件的證書信息提取的關(guān)鍵字段信息組成��。
[0009]本發(fā)明還提供一種基于apk證書相似性的惡意代碼檢測系統(tǒng),包括:
文件接收模塊��,用于接收待檢測應(yīng)用程序文件���,提取所述待檢測應(yīng)用程序文件中的證書文件���;
信息提取模塊,用于提取所述證書文件中的證書信息����,所述證書信息包括Subject、Issuer��、StartTime��、EndTime��、PublicKey 及 Vers1n 信息���;
信息解析模塊����,用于解析證書信息,獲取所述證書信息中的關(guān)鍵字段信息����,所述關(guān)鍵字段包括CN�、0U、0�、L、ST�、C字段;所述關(guān)鍵字段信息為所述關(guān)鍵字段的字符串信息及字符串對應(yīng)長度信息�;
匹配模塊,用于將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配�����,如果匹配成功��,則所述待檢測應(yīng)用程序文件為惡意����,否則所述待檢測應(yīng)用程序文件安全。
[0010]所述的系統(tǒng)中���,所述將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配包括���,字符串完全匹配或部分匹配���。
[0011 ] 所述的系統(tǒng)中,所述字符串部分匹配時�����,根據(jù)相似性算法計(jì)算字符串的相似度�,如果相似度超過預(yù)設(shè)值,則所述待檢測應(yīng)用程序文件為惡意�����,否則所述待檢測應(yīng)用程序文件安全�����。
[0012]所述的系統(tǒng)中�����,所述將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配�����,如果匹配成功,還包括��,過濾模塊���,判斷所述證書信息中是否包含或不包含指定字符串�,如果是�,則所述待檢測應(yīng)用程序文件為惡意����,否則所述待檢測應(yīng)用程序文件安全。
[0013]所述的系統(tǒng)中���,惡意證書信息庫為根據(jù)已知惡意代碼文件的證書信息提取的關(guān)鍵字段信息組成����。
[0014]本發(fā)明提出了一種基于apk證書相似性的惡意代碼檢測方法及系統(tǒng)�����,所述方法包括:提取所述待檢測應(yīng)用程序文件中的證書文件��;提取所述證書文件中的證書信息����;解析證書信息�,獲取所述證書信息中的關(guān)鍵字段信息�����;所述關(guān)鍵字段信息為所述關(guān)鍵字段的字符串信息及字符串對應(yīng)長度信息�����;將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配�����,如果匹配成功��,則所述待檢測應(yīng)用程序文件為惡意����,否則所述待檢測應(yīng)用程序文件安全。通過對證書具體內(nèi)容相似性的識別匹配����,能夠解決大批量腳本化生成的惡意應(yīng)用的識別和檢測問題。相對于靜態(tài)檢測�,能夠極大提高檢測效果���。
【附圖說明】
[0015]為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹���,顯而易見地��,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例�����,對于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖����。
[0016]圖1為一種基于apk證書相似性的惡意代碼檢測方法實(shí)施例流程圖;
圖2為一種基于apk證書相似性的惡意代碼檢測系統(tǒng)實(shí)施例結(jié)構(gòu)示意圖�����。
【具體實(shí)施方式】
[0017]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案�,并使本發(fā)明的上述目的����、特征和優(yōu)點(diǎn)能夠更加明顯易懂����,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明。
[0018]本發(fā)明公開了一種基于apk證書相似性的惡意代碼檢測方法及系統(tǒng)��,該方法基于Apk的證書信息提取�����,通過進(jìn)行相似性的比較提取特征�����,能夠有效識別檢測大量批量腳本化生成的惡意代碼�����。
[0019]一種基于apk證書相似性的惡意代碼檢測方法�,如圖1所示,包括:
5101:接收待檢測應(yīng)用程序文件�,提取所述待檢測應(yīng)用程序文件中的證書文件;應(yīng)用程序文件一般為可執(zhí)行文件���,如APK文件�����,ZIP格式�;證書文件一般位于NETA-1NF目錄下,#W.DSA���、.RSA��、.D(^*M �;
5102:提取所述證書文件中的證書信息����,所述證書信息包括Subject、Issuer���、StartTime、EndTime����、PublicKey 及 Vers1n 信息;
5103:解析證書信息�,獲取所述證書信息中的關(guān)鍵字段信息�����,所述關(guān)鍵字段包括CN����、0U�、0、L����、ST、C字段�;所述關(guān)鍵字段信息為所述關(guān)鍵字段的字符串信息及字符串對應(yīng)長度信息;
Android應(yīng)用程序在進(jìn)行簽名時會輸入如下信息:CN、0U��、0��、L�����、ST���、C�,分別對應(yīng)為First and Last Name、Organizat1nal Unit�����、Organizat1n����、City or Locality、Stateor Province�����、Country Code�,這些信息具有一定標(biāo)示性作用,而腳本化批量生成簽名的應(yīng)用����,這些信息更是具有一定的規(guī)律性的特點(diǎn),所以進(jìn)行以上字段的提取����,證書內(nèi)容信息可根據(jù)一般證書格式提取來實(shí)現(xiàn)��;
5104:將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配�,如果匹配成功�,則所述待檢測應(yīng)用程序文件為惡意�����,否則所述待檢測應(yīng)用程序文件安全�����。
[0020]所述的方法中��,所述將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配包括�,字符串完全匹配或部分匹配。
[0021]所述的方法中���,所述字符串部分匹配時���,根據(jù)相似性算法計(jì)算字符串的相似度�,如果相似度超過預(yù)設(shè)值����,則所述待檢測應(yīng)用程序文件為惡意�,否則所述待檢測應(yīng)用程序文件安全�����。
[0022]所述的方法中�,所述將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配,如果匹配成功�,還包括,判斷所述證書信息中是否包含或不包含指定字符串��,如果是��,則所述待檢測應(yīng)用程序文件為惡意����,否則所述待檢測應(yīng)用程序文件安全。
[0023]所述的方法中���,惡意證書信息庫為根據(jù)已知惡意代碼文件的證書信息提取的關(guān)鍵字段信息組成��。證書信息的提取方式同樣按本發(fā)明方法進(jìn)行提取���。
[0024]本發(fā)明還提供一種基于apk證書相似性的惡意代碼檢測系統(tǒng),如圖2所示���,包括: 文件接收模塊201�,用于接收待檢測應(yīng)用程序文件,提取所述待檢測應(yīng)用程序文件中的證書文件�;
信息提取模塊202�����,用于提取所述證書文件中的證書信息�,所述證書信息包括Subject、Issuer�、StartTime、EndTime�、PublicKey 及 Vers1n 信息;
信息解析模塊203���,用于解析證書信息����,獲取所述證書信息中的關(guān)鍵字段信息�����,所述關(guān)鍵字段包括CN�、0U、0�����、L、ST���、C字段����;所述關(guān)鍵字段信息為所述關(guān)鍵字段的字符串信息及字符串對應(yīng)長度信息�����;
匹配模塊204���,用于將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配��,如果匹配成功�����,則所述待檢測應(yīng)用程序文件為惡意���,否則所述待檢測應(yīng)用程序文件安全。
[0025]所述的系統(tǒng)中�,所述將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配包括����,字符串完全匹配或部分匹配����。
[0026]所述的系統(tǒng)中����,所述字符串部分匹配時,根據(jù)相似性算法計(jì)算字符串的相似度���,如果相似度超過預(yù)設(shè)值��,則所述待檢測應(yīng)用程序文件為惡意����,否則所述待檢測應(yīng)用程序文件安全�����。
[0027]所述的系統(tǒng)中�����,所述將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配,如果匹配成功����,還包括,過濾模塊����,判斷所述證書信息中是否包含或不包含指定字符串,如果是����,則所述待檢測應(yīng)用程序文件為惡意,否則所述待檢測應(yīng)用程序文件安全����。
[0028]所述的系統(tǒng)中,惡意證書信息庫為根據(jù)已知惡意代碼文件的證書信息提取的關(guān)鍵字段信息組成�����。
[0029]本發(fā)明提出了一種基于apk證書相似性的惡意代碼檢測方法及系統(tǒng)����,所述方法包括:提取所述待檢測應(yīng)用程序文件中的證書文件;提取所述證書文件中的證書信息����;解析證書信息�����,獲取所述證書信息中的關(guān)鍵字段信息����;所述關(guān)鍵字段信息為所述關(guān)鍵字段的字符串信息及字符串對應(yīng)長度信息��;將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配�����,如果匹配成功�����,則所述待檢測應(yīng)用程序文件為惡意�,否則所述待檢測應(yīng)用程序文件安全���。通過對證書具體內(nèi)容相似性的識別匹配�����,能夠解決大批量腳本化生成的惡意應(yīng)用的識別和檢測問題���。相對于靜態(tài)檢測���,能夠極大提高檢測效果。
[0030]通過以上的實(shí)施方式的描述可知����,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺的方式來實(shí)現(xiàn)?���;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來����,該計(jì)算機(jī)軟件產(chǎn)品可以存儲在存儲介質(zhì)中。
[0031]本說明書中的各個實(shí)施例均采用遞進(jìn)的方式描述���,各個實(shí)施例之間相同相似的部分互相參見即可����,每個實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處�����。尤其,對于系統(tǒng)實(shí)施例而言�����,由于其基本相似于方法實(shí)施例�����,所以描述的比較簡單����,相關(guān)之處參見方法實(shí)施例的部分說明即可����。以上所述,僅為本發(fā)明的【具體實(shí)施方式】�,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)����,可輕易想到變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)����。
[0032]雖然通過實(shí)施例描繪了本發(fā)明�����,本領(lǐng)域普通技術(shù)人員知道����,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神����,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神。
【主權(quán)項(xiàng)】
1.一種基于apk證書相似性的惡意代碼檢測方法����,其特征在于,包括: 接收待檢測應(yīng)用程序文件�,提取所述待檢測應(yīng)用程序文件中的證書文件; 提取所述證書文件中的證書信息���,所述證書信息包括Subject���、Issuer、StartTime、EndTime�、PublicKey 及 Vers1n 信息; 解析證書信息�,獲取所述證書信息中的關(guān)鍵字段信息,關(guān)鍵字段包括CN�����、0U��、0��、L���、ST����、C字段�;所述關(guān)鍵字段信息為所述關(guān)鍵字段的字符串信息及字符串對應(yīng)長度信息��; 將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配�,如果匹配成功,則所述待檢測應(yīng)用程序文件為惡意���,否則所述待檢測應(yīng)用程序文件安全��。2.如權(quán)利要求1所述的方法��,其特征在于����,所述將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配包括,字符串完全匹配或部分匹配��。3.如權(quán)利要求2所述的方法�,其特征在于,所述字符串部分匹配時�����,根據(jù)相似性算法計(jì)算字符串的相似度����,如果相似度超過預(yù)設(shè)值,則所述待檢測應(yīng)用程序文件為惡意�,否則所述待檢測應(yīng)用程序文件安全。4.如權(quán)利要求1或3所述的方法���,其特征在于��,所述將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配��,如果匹配成功��,還包括�,判斷所述證書信息中是否包含或不包含指定字符串,如果是�����,則所述待檢測應(yīng)用程序文件為惡意��,否則所述待檢測應(yīng)用程序文件安全����。5.如權(quán)利要求4所述的方法,其特征在于�,惡意證書信息庫為根據(jù)已知惡意代碼文件的證書?目息提取的關(guān)鍵字段?目息組成。6.一種基于apk證書相似性的惡意代碼檢測系統(tǒng)�����,其特征在于���,包括: 文件接收模塊,用于接收待檢測應(yīng)用程序文件,提取所述待檢測應(yīng)用程序文件中的證書文件����; 信息提取模塊,用于提取所述證書文件中的證書信息��,所述證書信息包括Subject��、Issuer����、StartTime、EndTime���、PublicKey 及 Vers1n 信息����; 信息解析模塊�����,用于解析證書信息����,獲取所述證書信息中的關(guān)鍵字段信息��,所述關(guān)鍵字段包括CN�����、0U��、0�、L�、ST、C字段���;所述關(guān)鍵字段信息為所述關(guān)鍵字段的字符串信息及字符串對應(yīng)長度信息��; 匹配模塊�,用于將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配��,如果匹配成功��,則所述待檢測應(yīng)用程序文件為惡意�,否則所述待檢測應(yīng)用程序文件安全。7.如權(quán)利要求6所述的系統(tǒng)�����,其特征在于,所述將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配包括�,字符串完全匹配或部分匹配�。8.如權(quán)利要求7所述的系統(tǒng),其特征在于����,所述字符串部分匹配時,根據(jù)相似性算法計(jì)算字符串的相似度���,如果相似度超過預(yù)設(shè)值��,則所述待檢測應(yīng)用程序文件為惡意��,否則所述待檢測應(yīng)用程序文件安全�����。9.如權(quán)利要求6或8所述的系統(tǒng)�����,其特征在于��,所述將獲取的證書信息的關(guān)鍵字段信息與惡意證書信息庫中的信息匹配�,如果匹配成功,還包括�����,過濾模塊�,判斷所述證書信息中是否包含或不包含指定字符串,如果是�,則所述待檢測應(yīng)用程序文件為惡意,否則所述待檢測應(yīng)用程序文件安全�。10.如權(quán)利要求9所述的系統(tǒng),其特征在于��,惡意證書信息庫為根據(jù)已知惡意代碼文件的證書彳目息提取的關(guān)鍵字段彳目息組成D
【文檔編號】G06F21/56GK105975855SQ201510538054
【公開日】2016年9月28日
【申請日】2015年8月28日
【發(fā)明人】李勤濤, 喬偉, 潘宣辰
【申請人】武漢安天信息技術(shù)有限責(zé)任公司