專利名稱:一種信息安全檢測方法及移動終端的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域���,尤其涉及一種信息安全檢測方法及移動終端�。
背景技術(shù):
移動終端的快速發(fā)展�����,使其能夠提供越來豐富越來越智能的功能��。移動終端的互聯(lián)網(wǎng)功能在日常使用中占有越來越大的比例��,移動終端可以通過互聯(lián)網(wǎng)下載各式各樣的應(yīng) 用軟件和游戲��,而這種移動終端通過網(wǎng)絡(luò)下載軟件的使用也使得很多惡意軟件��、針對移動 終端的病毒對用戶信息安全造成威脅��,甚至造成用戶信息被盜���,從而造成嚴重的隨時���,例如 移動終端中的個人隱私、事務(wù)信息����、財務(wù)信息、商業(yè)信息等重要信息被盜取使用��。針對上述的惡意軟件��,現(xiàn)有的安全軟件廠商����、操作系統(tǒng)廠商以及終端提供商開發(fā) 出針對移動終端的信息安全軟件。現(xiàn)有的安全軟件主要是基于病毒庫掃描的反病毒軟件��, 通過與將軟件病毒樣本對比查殺惡意軟件�。基于病毒庫掃描的反病毒軟件面對新出現(xiàn)的病 毒則無法查殺�����,只有在新病毒發(fā)作之后才能有相應(yīng)的應(yīng)對措施。因此���,新病毒很可能在被殺 毒軟件截獲并添加到產(chǎn)品病毒庫之前就已經(jīng)進入用戶的移動終端����,由于該病毒的特征碼還 未添加到殺毒軟件病毒庫中的病毒���,殺毒軟件會將病毒認為是正常文件而放過���,使得用戶 的移動終端被病毒所感染。因此現(xiàn)有的基于病毒庫掃描的反病毒軟件在沒有病毒樣本的情 況下��,不能識別未知病毒和惡意軟件�����,不能阻止病毒的運作�����。
發(fā)明內(nèi)容
本發(fā)明實施例所要解決的技術(shù)問題在于提供一種信息安全檢測方法及移動終端, 能夠通過在動態(tài)虛擬機中模擬運行��,因此惡意軟件不會對移動終端造成威脅�,同時能夠有 效攔截惡意軟件���,保護用戶信息安全����。為了解決上述技術(shù)問題���,本發(fā)明實施例提供了一種信息安全檢測方法��,包括下載完成目標軟件后�����,在動態(tài)虛擬機中模擬運行該目標軟件���;根據(jù)惡意軟件知識庫中的惡意行為規(guī)則判定所述目標軟件是否為惡意軟件;如果所述目標軟件為惡意軟件�,則對該目標軟件進行安全處理;否則�����,允許所述目 標軟件在移動終端中運行。相應(yīng)的��,本發(fā)明還提供了一種移動終端�,其特征在于,包括模擬運行單元�,用于下載完成目標軟件后,調(diào)用動態(tài)虛擬機并在該動態(tài)虛擬機中 模擬運行該目標軟件��;判定單元���,用于在所述模擬運行單元調(diào)用動態(tài)虛擬機并在該動態(tài)虛擬機中模擬運 行該目標軟件時���,根據(jù)惡意軟件知識庫中的惡意行為規(guī)則判定所述目標軟件是否為惡意軟 件;處理單元�����,用于在所述判定單元判定所述目標軟件為惡意軟件時進行安全處理��; 否則�����,允許所述目標軟件在移動終端中運行。本發(fā)明實施例通過在下載完成目標軟件后通過在動態(tài)虛擬機中模擬運行目標軟件�,能夠根據(jù)惡意軟件知識庫中的惡意行為規(guī)則識別出惡意軟件,由于在動態(tài)虛擬機中模 擬運行�����,因此惡意軟件不會對移動終端造成威脅��,同時能夠有效攔截惡意軟件�,保護用戶信
息安全����。
圖1為本發(fā)明實現(xiàn)信息安全檢測方法的第一實施例流程圖;圖2為本發(fā)明實現(xiàn)信息安全檢測方法的第二實施例流程圖���;圖3為本發(fā)明實現(xiàn)信息安全檢測方法的第三實施例流程圖�����;圖4為本發(fā)明移動終端的第一實施例示意圖�����;圖5為本發(fā)明移動終端的第二實施例示意圖�����;圖6為本發(fā)明移動終端的第三實施例示意圖�。
具體實施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚�����,下面將結(jié)合附圖對本發(fā)明實施例 作進一步地詳細描述��。請參見圖1����,圖1為本發(fā)明實現(xiàn)信息安全檢測方法的第一實施例流程圖。如圖1所 示����,該方法的流程具體包括步驟S101,下載完成目標軟件后����,在動態(tài)虛擬機中模擬運行該目標軟件。步驟S102�,根據(jù)惡意軟件知識庫中的惡意行為規(guī)則判定所述目標軟件是否為惡意 軟件。步驟S103�����,如果所述目標軟件為惡意軟件,則對該目標軟件進行安全處理����;否則, 執(zhí)行步驟S104���。步驟S104����,允許所述目標軟件在移動終端中運行���。本發(fā)明實施例通過在下載完成目標軟件后通過在動態(tài)虛擬機中模擬運行目標軟 件,能夠根據(jù)惡意軟件知識庫中的惡意行為規(guī)則識別出惡意軟件���,由于在動態(tài)虛擬機中模 擬運行���,因此惡意軟件不會對移動終端造成威脅,同時能夠有效攔截惡意軟件�,保護用戶信
息安全。請參見圖2�����,圖2為本發(fā)明實現(xiàn)信息安全檢測方法的第二實施例流程圖。如圖2所 示�����,該方法的流程具體包括步驟S201�,下載完成目標軟件后,在動態(tài)虛擬機中模擬運行該目標軟件����。本實施例中,下載完成目標軟件后��,便在動態(tài)虛擬機中模擬運行該目標軟件�����。因 為����,下載完目標軟件后,如果不立即在虛擬機中模擬運行�,當目標軟件含有惡意軟件、病毒 時��,可能會導(dǎo)致其在移動終端的系統(tǒng)中發(fā)作,造成對用戶信息的危害����。在動態(tài)虛擬機中模擬 運行該目標軟件具體包括當下載完目標軟件后,調(diào)用所述動態(tài)虛擬機�����;動態(tài)虛擬機是通過虛擬機軟件在物 理移動終端上模擬出虛擬的移動終端系統(tǒng)�����,即構(gòu)建一個仿真的運行環(huán)境�;在所述動態(tài)虛擬機中模擬系統(tǒng)時間加速運行所述目標軟件;由于含有惡意軟件�、 病毒的目標軟件的惡意行為通常需要根據(jù)系統(tǒng)時間發(fā)作,因此運行時間監(jiān)控點不是采用移 動終端實際的系統(tǒng)時間���,而是通過在動態(tài)虛擬機構(gòu)建仿真環(huán)境中模擬系統(tǒng)時間,從而加速惡意軟件惡意行為發(fā)作�,其中該目標軟件在模擬緩沖區(qū)中運行。例如�,實際系統(tǒng)時間的1分 鐘,在動態(tài)虛擬機中則可以模擬24小時的系統(tǒng)時間��,即在動態(tài)虛擬機中運行的時間為移動 終端系統(tǒng)的實際時間1分鐘時,可以模擬在移動終端系統(tǒng)中運行24小時���;在動態(tài)虛擬機中 運行的實際時間為1小時���,可以模擬在移動終端系統(tǒng)中運行60天;在動態(tài)虛擬機中模擬系 統(tǒng)時間是可以通過用戶設(shè)置更改的���,可以根據(jù)用戶對下載軟件的了解來設(shè)置模擬系統(tǒng)時間 的長短�。步驟S202�����,獲取所述目標軟件的運行行為特征���。本實施例中���,通過監(jiān)控目標軟件的運行獲取該目標軟件的運行行為特征。步驟S203�����,將所述運行行為特征與所述惡意軟件知識庫中的惡意行為規(guī)則匹配���, 如果匹配成功���,則將所述目標軟件判定為惡意軟件��,執(zhí)行步驟S204 ���;否則,將所述目標軟件 判定為安全軟件�,執(zhí)行步驟S205。
本實施例中惡意軟件知識庫用來存儲惡意行為規(guī)則����,所述惡意行為規(guī)則為目標軟 件運行過程中表現(xiàn)的威脅或可能威脅用戶信息安全的行為特征,例如程序運行連續(xù)讀取移動終端電話本��;程序運行連續(xù)讀取移動終端SMS (Short Messaging Service�����,短消息業(yè)務(wù))�;程序運行連續(xù)讀取移動終端MMS (Multimedia Messaging Service,多媒體信息服 務(wù))�����;程序運行連續(xù)讀取SIM (Subscriber Identity Model,用戶身份識別模塊)卡電話 本�;程序運行連續(xù)讀取SIM卡中SMS ;
程序運行大量讀寫FLASH ��;SMS應(yīng)用程序和界面沒啟動往固定移動終端號碼自動大量發(fā)送SMS �;MMS應(yīng)用程序和界面沒啟動往固定移動終端號碼自動大量發(fā)送MMS ;GPRS (General Packet Radio Service����,中文通用無線分組業(yè)務(wù))連接界面沒啟動 往固定IP地址自動大量傳送數(shù)據(jù);GPRS連接時往不是用戶指定的固定IP地址自動大量傳送數(shù)據(jù)���;GPRS自動撥號連接��。除了上述所列舉的惡意行為規(guī)則外�,其他涉及威脅或可能威脅用戶信息安全的行 為特征均可以作為惡意行為規(guī)則存儲在惡意行為知識庫中����。匹配過程可以將運行行為特征 與所述惡意軟件知識庫中的惡意行為規(guī)則一一匹配,也可以與惡意行為規(guī)則的多條規(guī)則的 組合進行匹配����。如果匹配成功,則將所述目標軟件判定為惡意軟件,執(zhí)行步驟S204 ���;否則�, 將所述目標軟件判定為安全軟件�����,執(zhí)行步驟S205�����。步驟S204�,對被判定為惡意軟件的目標軟件進行安全處理。本實施例中���,所述安全處理包括刪除����、卸載��、攔截�����、隔離或查殺所述目標軟件,具體 選取上述安全處理中的哪種方式可以用戶具體設(shè)置���。除了在由移動終端直接自動的刪除、 卸載�����、攔截�����、隔離或查殺所述被判定為惡意軟件的目標軟件外��,還可以先將判定結(jié)果上報用 戶�,由用戶選擇相應(yīng)的安全處理方式。步驟S205�����,目標軟件未被判定為惡意軟件時���,允許所述目標軟件在移動終端中運 行����。
本實施例中,當目標軟件未被判定為惡意軟件����,則允許所述目標軟件在移動終端 中運行,其中可以允許目標軟件立即在移動終端中運行�����,同時也允許目標軟件隨時在移動 終端中運行 ��。步驟S206�,在所述動態(tài)虛擬機中完成模擬運行所述目標軟件后,關(guān)閉所述動態(tài)虛 擬機并釋放系統(tǒng)資源��。本實施例中��,由于動態(tài)虛擬機需要耗費一定的資源���,因此每次在動態(tài)虛擬機中完 成模擬運行所述目標軟件后���,自動關(guān)閉該動態(tài)虛擬機并釋放系統(tǒng)資源,節(jié)約移動終端中的 資源使用�����。本發(fā)明實施例通過在下載完成目標軟件后通過在動態(tài)虛擬機中模擬運行目標軟 件,能夠根據(jù)惡意軟件知識庫中的惡意行為規(guī)則識別出惡意軟件�,由于在動態(tài)虛擬機中模 擬運行,因此惡意軟件不會對移動終端造成威脅�,同時能夠有效攔截惡意軟件,保護用戶信
息安全�。步驟S301����,下載完成目標軟件后,在動態(tài)虛擬機中模擬運行該目標軟件����。本實施例中,下載完成目標軟件后�,便在動態(tài)虛擬機中模擬運行該目標軟件。因 為���,下載完目標軟件后�,如果不立即在虛擬機中模擬運行����,當目標軟件含有惡意軟件、病毒 時�,可能會導(dǎo)致其在移動終端的系統(tǒng)中發(fā)作�,造成對用戶信息的危害�。在動態(tài)虛擬機中模擬 運行該目標軟件具體包括當下載完目標軟件后,調(diào)用所述動態(tài)虛擬機��;動態(tài)虛擬機是通過虛擬機軟件在物 理移動終端上模擬出虛擬的移動終端系統(tǒng)��,即構(gòu)建一個仿真的運行環(huán)境����;在所述動態(tài)虛擬機中模擬系統(tǒng)時間加速運行所述目標軟件;由于含有惡意軟件�����、 病毒的目標軟件的惡意行為通常需要根據(jù)系統(tǒng)時間發(fā)作�,因此運行時間監(jiān)控點不是采用移 動終端實際的系統(tǒng)時間,而是通過在動態(tài)虛擬機構(gòu)建仿真環(huán)境中模擬系統(tǒng)時間�,從而加速 惡意軟件惡意行為發(fā)作,其中該目標軟件在模擬緩沖區(qū)中運行�����。步驟S302�,獲取目標軟件的運行行為特征。本實施例中�����,通過監(jiān)控目標軟件的運行獲取該目標軟件的運行行為特征。步驟S303�����,將所述運行行為特征與所述惡意軟件知識庫中的惡意行為規(guī)則匹配�, 如果匹配成功,則將所述目標軟件判定為惡意軟件���,執(zhí)行步驟S304 ;否則�����,將所述目標軟件 判定為安全軟件�,執(zhí)行步驟S305。本實施例中惡意軟件知識庫用來存儲惡意行為規(guī)則�����,所述惡意行為規(guī)則為目標軟 件運行過程中表現(xiàn)的威脅或可能威脅用戶信息安全的行為特征�。匹配過程可以將運行行為 特征與所述惡意軟件知識庫中的惡意行為規(guī)則一一匹配,也可以與惡意行為規(guī)則的多條規(guī) 則的組合進行匹配��。如果匹配成功,則將所述目標軟件判定為惡意軟件����,執(zhí)行步驟S304 ;否 貝"J�����,將所述目標軟件判定為安全軟件����,執(zhí)行步驟S305。步驟S304�����,對被判定為惡意軟件的目標軟件進行安全處理���。本實施例中����,所述安全處理包括刪除�����、卸載、攔截����、隔離或查殺所述目標軟件,具體 選取上述安全處理中的哪種方式可以用戶具體設(shè)置����。除了在由移動終端直接自動的刪除、 卸載�、攔截、隔離或查殺所述被判定為惡意軟件的目標軟件外���,還可以先將判定結(jié)果上報用 戶,由用戶選擇相應(yīng)的安全處理方式�����。步驟S305����,目標軟件未被判定為惡意軟件時,允許所述目標軟件在移動終端中運行����。本實施例中��,當目標軟件未被判定為惡意軟件���,則允許所述目標軟件在移動終端 中運行,其中可以允許目標軟件立即在移動終端中運行�����,同時也允許目標軟件隨時在移動 終端中運行��。步驟S306�,在所述動態(tài)虛擬機中完成模擬運行所述目標軟件后,關(guān)閉所述動態(tài)虛 擬機并釋放系統(tǒng)資源�。本實施例中,由于動態(tài)虛擬機需要耗費一定的資源�����,因此每次在動態(tài)虛擬機中完 成模擬運行所述目標軟件后�,自動關(guān)閉該動態(tài)虛擬機并釋放系統(tǒng)資源,節(jié)約移動終端中的 資源使用���。
步驟S307�,獲取輸入的更新操作,根據(jù)該更新操作更新所述惡意軟件知識庫中的 惡意行為規(guī)則���。本實施例中�,惡意軟件知識庫提供一個惡意軟件行為特征腳本����,用戶可以通過界 面編輯該腳本添加新的惡意行為規(guī)則或修改原有的惡意行為規(guī)則,即輸入的更新操作��。在 獲取輸入的更新操作后�,根據(jù)該更新操作更新所述惡意軟件知識庫中的惡意行為規(guī)則,包 括添加新的惡意行為規(guī)則或修改原有的惡意行為規(guī)則����。用戶在使用過程中,對被判定為惡 意軟件的目標軟件進行行為特征分析���,如果發(fā)現(xiàn)新惡意行為特征,用戶通過惡意軟件行為 特征腳本來添加和更新所述惡意軟件知識庫�;如果發(fā)現(xiàn)新行為特征組合,可以根據(jù)現(xiàn)有惡 意軟件知識庫中惡意行為規(guī)則進行配置和組合�����,以查識別新的惡意軟件。除此之外��,用戶還 可以通過移動終端界面設(shè)置和選擇惡意軟件知識庫中監(jiān)控和查殺惡意軟件行為特征組合�, 形成新惡意行為規(guī)則。該步驟并不限定執(zhí)行順序�,只要接收到用戶的更新操作,即可更新所述惡意軟件 知識庫中的惡意行為規(guī)則�����。本發(fā)明實施例通過在下載完成目標軟件后通過在動態(tài)虛擬機中模擬運行目標軟 件��,能夠根據(jù)惡意軟件知識庫中的惡意行為規(guī)則識別出惡意軟件��,由于在動態(tài)虛擬機中模 擬運行����,因此惡意軟件不會對移動終端造成威脅,同時能夠有效攔截惡意軟件�,保護用戶信 息安全。同時���,本發(fā)明實施例可以獲取用戶輸入的更新操作��,更新所述惡意軟件知識庫中的 惡意行為規(guī)則�,能夠更有效的識別惡意軟件。請參見圖4��,圖4為本發(fā)明移動終端的第一實施例示意圖����,該移動終端包括模擬 運行單元410、判定單元420和處理單元430�����,上述單元依次連接����。模擬運行單元410,用于下載完成目標軟件后����,調(diào)用動態(tài)虛擬機并在該動態(tài)虛擬機 中模擬運行該目標軟件。判定單元420���,用于在所述模擬運行單元410調(diào)用動態(tài)虛擬機并在該動態(tài)虛擬機 中模擬運行該目標軟件時���,根據(jù)惡意軟件知識庫中的惡意行為規(guī)則判定所述目標軟件是否 為惡意軟件��。處理單元430,用于在所述判定單元420判定所述目標軟件為惡意軟件時進行安 全處理�����;否則���,允許所述目標軟件在移動終端中運行��。本發(fā)明實施例通過在下載完成目標軟件后通過在動態(tài)虛擬機中模擬運行目標軟 件����,能夠根據(jù)惡意軟件知識庫中的惡意行為規(guī)則識別出惡意軟件����,由于在動態(tài)虛擬機中模 擬運行,因此惡意軟件不會對移動終端造成威脅����,同時能夠有效攔截惡意軟件,保護用戶信息安全��。
請參見圖5��,圖5為本發(fā)明移動終端的第二實施例示意圖����,該移動終端包括模擬 運行單元510��、判定單元520和處理單元530��,上述單元依次連接����。模擬運行單元510��,用于下載完成目標軟件后���,調(diào)用動態(tài)虛擬機并在該動態(tài)虛擬機 中模擬運行該目標軟件��。具體的�,模擬運行單元510還用于下載完成目標軟件后����,調(diào)用動態(tài) 虛擬機并在該動態(tài)虛擬機中模擬系統(tǒng)時間加速運行所述目標軟件。本實施例中�,當下載完目標軟件后,模擬運行單元510調(diào)用所述動態(tài)虛擬機�����,動態(tài) 虛擬機是通過虛擬機軟件在物理移動終端上模擬出虛擬的移動終端系統(tǒng),即構(gòu)建一個仿真 的運行環(huán)境�;在所述模擬運行單元510調(diào)用的動態(tài)虛擬機中模擬系統(tǒng)時間加速運行所述目標 軟件�;由于含有惡意軟件、病毒的目標軟件的惡意行為通常需要根據(jù)系統(tǒng)時間發(fā)作����,因此運 行時間監(jiān)控點不是采用移動終端實際的系統(tǒng)時間,而是通過在動態(tài)虛擬機構(gòu)建仿真環(huán)境中 模擬系統(tǒng)時間���,從而加速惡意軟件惡意行為發(fā)作����,其中該目標軟件在模擬緩沖區(qū)中運行�。例 如,實際系統(tǒng)時間的1分鐘��,在動態(tài)虛擬機中則可以模擬24小時的系統(tǒng)時間��,即在動態(tài)虛擬 機中運行的時間為移動終端系統(tǒng)的實際時間1分鐘時�,可以模擬在移動終端系統(tǒng)中運行24 小時;在動態(tài)虛擬機中運行的實際時間為1小時�,可以模擬在移動終端系統(tǒng)中運行60天; 在動態(tài)虛擬機中模擬系統(tǒng)時間是可以通過用戶設(shè)置更改的�����,可以根據(jù)用戶對下載軟件的了 解來設(shè)置模擬系統(tǒng)時間的長短。模擬運行單元510還用于在所述動態(tài)虛擬機中完成模擬運行所述目標軟件后����,關(guān) 閉所述動態(tài)虛擬機并釋放系統(tǒng)資源。判定單元520���,用于在所述模擬運行單元510調(diào)用動態(tài)虛擬機并在該動態(tài)虛擬機 中模擬運行該目標軟件時��,根據(jù)惡意軟件知識庫中的惡意行為規(guī)則判定所述目標軟件是否 為惡意軟件����。判定單元520具體包括獲取模塊521和匹配模塊522����,二者相連。獲取模塊521���,用于獲取所述目標軟件的運行行為特征�����。本實施例中�����,通過監(jiān)控目 標軟件的運行獲取該目標軟件的運行行為特征��。匹配模塊522�,用于將所述獲取模塊521獲取的運行行為特征與所述惡意軟件知 識庫中的惡意行為規(guī)則匹配��,如果匹配成功���,則將所述目標軟件判定為惡意軟件����;否則���,將 所述目標軟件判定為安全軟件�。本實施例中惡意軟件知識庫用來存儲惡意行為規(guī)則����,所述惡意行為規(guī)則為目標軟 件運行過程中表現(xiàn)的威脅或可能威脅用戶信息安全的行為特征,例如程序運行連續(xù)讀取移動終端電話本����;程序運行連續(xù)讀取移動終端SMS �����;程序運行連續(xù)讀取移動終端MMS ����;程序運行連續(xù)讀取SIM卡電話本���;程序運行連續(xù)讀取SIM卡中SMS ����;程序運行大量讀寫FLASH ����;SMS應(yīng)用程序和界面沒啟動往固定移動終端號碼自動大量發(fā)送SMS ;MMS應(yīng)用程序和界面沒啟動往固定移動終端號碼自動大量發(fā)送MMS ����;GPRS連接界面沒啟動往固定IP地址自動大量傳送數(shù)據(jù);
GPRS連接時往不是用戶指定的固定IP地址自動大量傳送數(shù)據(jù)����;GPRS自動撥號連接。 除了上述所列舉的惡意行為規(guī)則外,其他涉及威脅或可能威脅用戶信息安全的行 為特征均可以作為惡意行為規(guī)則存儲在惡意行為知識庫中���。匹配過程可以將運行行為特征 與所述惡意軟件知識庫中的惡意行為規(guī)則一一匹配��,也可以與惡意行為規(guī)則的多條規(guī)則的 組合進行匹配�����。處理單元530��,用于在匹配模塊522將所述獲取模塊521獲取的運行行為特征與所 述惡意軟件知識庫中的惡意行為規(guī)則匹配成功,并將所述目標軟件判定為惡意軟件后��,對 被判定為惡意軟件的目標軟件進行安全處理�����;在匹配模塊522將運行行為特征與所述惡意 軟件知識庫中的惡意行為規(guī)則匹配未成功后�����,允許所述目標軟件在移動終端中運行����。其中, 可以允許目標軟件立即在移動終端中運行,同時也允許目標軟件隨時在移動終端中運行���。本實施例中���,所述安全處理包括刪除、卸載�、攔截、隔離或查殺所述目標軟件�,具體 選取上述安全處理中的哪種方式可以用戶具體設(shè)置。除了在由移動終端直接自動的刪除�、 卸載、攔截��、隔離或查殺所述被判定為惡意軟件的目標軟件外����,還可以先將判定結(jié)果上報用 戶,由用戶選擇相應(yīng)的安全處理方式����。本發(fā)明實施例通過在下載完成目標軟件后通過在動態(tài)虛擬機中模擬運行目標軟 件,能夠根據(jù)惡意軟件知識庫中的惡意行為規(guī)則識別出惡意軟件�����,由于在動態(tài)虛擬機中模 擬運行,因此惡意軟件不會對移動終端造成威脅�����,同時能夠有效攔截惡意軟件�����,保護用戶信
息安全���。請參見圖6���,圖6為本發(fā)明移動終端的第三實施例示意圖,該移動終端包括模擬 運行單元610���、判定單元620、處理單元630和更新單元640�����。上述模擬運行單元610�����、判定 單元620和處理單元630單元依次連接;更新單元640和判定單元620連接����。其中模擬運行單元610、判定單元620����、處理單元630的功能和結(jié)構(gòu)對應(yīng)同圖5所 示的模擬運行單元510、判定單元520�����、處理單元530 ����;其中,判定單元610包括的獲取模塊 621和匹配模塊622的功能和結(jié)構(gòu)也對應(yīng)同圖5所示判定單元520中的獲取模塊521和匹 配模塊522����,在此不再贅述。更新單元640與判定單元620相連�����,用于獲取輸入的更新操作���,根據(jù)該更新操作更 新所述惡意軟件知識庫中的惡意行為規(guī)則���。本實施例中�,判定單元620中的惡意軟件知識庫提供一個惡意軟件行為特征腳 本����,用戶可以通過界面編輯該腳本添加新的惡意行為規(guī)則或修改原有的惡意行為規(guī)則,即 輸入的更新操作�。更新單元640在獲取輸入的更新操作后,根據(jù)該更新操作更新所述惡意 軟件知識庫中的惡意行為規(guī)則����,包括添加新的惡意行為規(guī)則或修改原有的惡意行為規(guī)則。 用戶在使用過程中�����,對被判定為惡意軟件的目標軟件進行行為特征分析��,如果發(fā)現(xiàn)新惡意 行為特征�����,用戶通過惡意軟件行為特征腳本來添加和更新所述惡意軟件知識庫���;如果發(fā)現(xiàn) 新行為特征組合��,可以根據(jù)現(xiàn)有惡意軟件知識庫中惡意行為規(guī)則進行配置和組合����,以查識 別新的惡意軟件��。除此之外�,用戶還可以通過移動終端界面設(shè)置和選擇惡意軟件知識庫中 監(jiān)控和查殺惡意軟件行為特征組合,形成新惡意行為規(guī)則并通過更新單元640對惡意軟件 知識庫中的惡意行為規(guī)則進行更新�。本發(fā)明實施例通過在下載完成目標軟件后通過在動態(tài)虛擬機中模擬運行目標軟件,能夠根據(jù)惡意軟件知識庫中的惡意行為規(guī)則識別出惡意軟件��,由于在動態(tài)虛擬機中模 擬運行���,因此惡意軟件不會對移動終端造成威脅��,同時能夠有效攔截惡意軟件��,保護用戶信 息安全����。同時�,本發(fā)明實施例可以獲取用戶輸入的更新操作����,更新所述惡意軟件知識庫中的 惡意行為規(guī)則�����,能夠更有效的識別惡意軟件���。 當然也可以通過硬件���。基于這樣的理解����,上述技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù) 做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該軟件產(chǎn)品可以存儲在可讀存儲介質(zhì) 中�,如ROM/RAM、磁碟���、光盤等�����,包括若干指令用以使得一臺移動終端執(zhí)行各個實施例或者實 施例的某些部分所述的方法����。以上所列舉的僅為本發(fā)明較佳實施例而已����,當然不能以此來限定本發(fā)明之權(quán)利范 圍,因此依本發(fā)明權(quán)利要求所作的等同變化����,仍屬本發(fā)明所涵蓋的范圍。
權(quán)利要求
一種信息安全檢測方法�,其特征在于,包括下載完成目標軟件后����,在動態(tài)虛擬機中模擬運行該目標軟件;根據(jù)惡意軟件知識庫中的惡意行為規(guī)則判定所述目標軟件是否為惡意軟件�����;如果所述目標軟件為惡意軟件�,則對該目標軟件進行安全處理;否則��,允許所述目標軟件在移動終端中運行��。
2.如權(quán)利要求1所述的信息安全檢測方法,其特征在于����,所述根據(jù)惡意軟件知識庫中 的惡意行為規(guī)則判定所述目標軟件是否為惡意軟件包括獲取所述目標軟件的運行行為特征;將所述運行行為特征與所述惡意軟件知識庫中的惡意行為規(guī)則匹配�����,如果匹配成功�����, 則將所述目標軟件判定為惡意軟件�;否則,將所述目標軟件判定為安全軟件����。
3.如權(quán)利要求1所述的信息安全檢測方法,其特征在于��,還包括獲取輸入的更新操作��,根據(jù)該更新操作更新所述惡意軟件知識庫中的惡意行為規(guī)則�。
4.如權(quán)利要求1所述的信息安全檢測方法,其特征在于,所述在動態(tài)虛擬機中模擬運 行該目標軟件包括調(diào)用所述動態(tài)虛擬機����;在所述動態(tài)虛擬機中模擬系統(tǒng)時間加速運行所述目標軟件�。
5.如權(quán)利要求4所述的信息安全檢測方法,其特征在于�,還包括在所述動態(tài)虛擬機中完成模擬運行所述目標軟件后,關(guān)閉所述動態(tài)虛擬機并釋放系統(tǒng) 資源����。
6.如權(quán)利要求1-5任一項所述的信息安全檢測方法,其特征在于�����,所述安全處理包括 刪除��、卸載�、攔截、隔離或查殺所述目標軟件���。
7.一種移動終端����,其特征在于,包括模擬運行單元�����,用于下載完成目標軟件后��,調(diào)用動態(tài)虛擬機并在該動態(tài)虛擬機中模擬 運行該目標軟件��;判定單元�,用于在所述模擬運行單元調(diào)用動態(tài)虛擬機并在該動態(tài)虛擬機中模擬運行該 目標軟件時,根據(jù)惡意軟件知識庫中的惡意行為規(guī)則判定所述目標軟件是否為惡意軟件�;處理單元,用于在所述判定單元判定所述目標軟件為惡意軟件時進行安全處理����;否則, 允許所述目標軟件在移動終端中運行���。
8.如權(quán)利要求7所述的移動終端���,其特征在于,所述判定單元包括獲取模塊��,用于獲取所述目標軟件的運行行為特征���;匹配模塊����,用于將所述運行行為特征與所述惡意軟件知識庫中的惡意行為規(guī)則匹配, 如果匹配成功����,則將所述目標軟件判定為惡意軟件�����;否則�,將所述目標軟件判定為安全軟 件。
9.如權(quán)利要求7所述的移動終端�,其特征在于,還包括更新單元�,用于獲取輸入的更新操作,根據(jù)該更新操作更新所述惡意軟件知識庫中的 惡意行為規(guī)則���。
10.如權(quán)利要求7-9任一項所述的移動終端�����,其特征在于��,所述模擬運行單元還用于下 載完成目標軟件后�����,調(diào)用動態(tài)虛擬機并在該動態(tài)虛擬機中模擬系統(tǒng)時間加速運行所述目標 軟件��;并在所述動態(tài)虛擬機中完成模擬運行所述目標軟件后���,關(guān)閉所述動態(tài)虛擬機并釋放系統(tǒng)資源�;所述安全處理包括刪除�、卸載、攔截�����、隔離或查殺所述目標軟件�。
全文摘要
本發(fā)明公開了一種信息安全檢測方法,包括下載完成目標軟件后�,在動態(tài)虛擬機中模擬運行該目標軟件;根據(jù)惡意軟件知識庫中的惡意行為規(guī)則判定所述目標軟件是否為惡意軟件����;如果所述目標軟件為惡意軟件,則對該目標軟件進行安全處理�����;否則,允許所述目標軟件在移動終端中運行����。相應(yīng)的,本發(fā)明公開了用于實現(xiàn)該方法的移動終端���。由于先在動態(tài)虛擬機中模擬運行��,因此惡意軟件不會對移動終端造成威脅���,同時能夠有效攔截惡意軟件�����,保護用戶信息安全����。
文檔編號H04W12/12GK101959193SQ201010292928
公開日2011年1月26日 申請日期2010年9月26日 優(yōu)先權(quán)日2010年9月26日
發(fā)明者曹希彬 申請人:宇龍計算機通信科技(深圳)有限公司