導(dǎo)出和驗(yàn)證惡意代碼的網(wǎng)絡(luò)行為特征的方法和裝置制造方法【專利摘要】本發(fā)明提供了用于導(dǎo)出和驗(yàn)證惡意代碼的網(wǎng)絡(luò)行為特征的方法和裝置���。用于導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征的方法可以包括:獲取由惡意代碼引起的系統(tǒng)行為參數(shù)���;基于所述系統(tǒng)行為參數(shù)生成系統(tǒng)行為特征;以及基于所述系統(tǒng)行為特征導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征�����。用于驗(yàn)證惡意代碼的網(wǎng)絡(luò)行為特征的方法可以包括:確定與所要驗(yàn)證的網(wǎng)絡(luò)行為特征相對(duì)應(yīng)的網(wǎng)絡(luò)行為參數(shù)���;獲取與所述網(wǎng)絡(luò)行為參數(shù)相對(duì)應(yīng)的系統(tǒng)行為參數(shù)�����;基于所述系統(tǒng)行為參數(shù)生成系統(tǒng)行為特征���;以及將所述系統(tǒng)行為特征與所述網(wǎng)絡(luò)行為特征進(jìn)行比較,以確定所述網(wǎng)絡(luò)行為特征的有效性�。【專利說明】導(dǎo)出和驗(yàn)證惡意代碼的網(wǎng)絡(luò)行為特征的方法和裝置【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明一般涉及惡意代碼檢測(cè)����,具體涉及用于導(dǎo)出和驗(yàn)證惡意代碼的網(wǎng)絡(luò)行為特征的方法和裝置。【
背景技術(shù):
】[0002]目前����,惡意代碼(例如,病毒�、木馬等)已經(jīng)廣泛采用了如多態(tài)、變形等更為高級(jí)的策略�。通過這些策略,每當(dāng)惡意代碼進(jìn)行復(fù)制時(shí)����,其一部分或其結(jié)構(gòu)就可能以隨機(jī)和不可預(yù)測(cè)的方式發(fā)生改變。因此����,如何檢測(cè)和抑制惡意代碼已經(jīng)成為了人們所面臨的巨大挑戰(zhàn)。[0003]傳統(tǒng)的惡意代碼檢測(cè)軟件是基于特征碼的�����,其可以通過特征碼匹配的方式來檢測(cè)惡意代碼���。例如,這類軟件可以將從惡意代碼中提取的特定特征存儲(chǔ)在特征數(shù)據(jù)庫中以用于隨后檢測(cè)相關(guān)的惡意代碼實(shí)例�,該特征數(shù)據(jù)庫可以持續(xù)更新以便能夠檢測(cè)到與最近更新的特征相對(duì)應(yīng)的惡意代碼。然而�����,盡管使用特征數(shù)據(jù)庫的這種檢測(cè)方式可以獲得對(duì)已知惡意代碼的出色的檢測(cè)率,這種方式卻無法檢測(cè)出新的未知惡意代碼����。尤其是多態(tài)和變形的出現(xiàn),使得基于特征碼的惡意代碼檢測(cè)方式的有效性大大降低����。此外,惡意代碼在互聯(lián)網(wǎng)上的快速傳播也會(huì)導(dǎo)致特征數(shù)據(jù)庫無法及時(shí)跟進(jìn)更新���。例如����,一些移動(dòng)電話病毒安全系統(tǒng)或惡意信息過濾器可以檢測(cè)出已知惡意病毒所涉及的統(tǒng)一資源定位符(URL)并且進(jìn)而阻止相應(yīng)的web站點(diǎn)�����,但是���,這些系統(tǒng)或過濾器僅能夠阻止已知的移動(dòng)病毒服務(wù)器����,卻不能阻止新的未知移動(dòng)病毒服務(wù)器。此外�,移動(dòng)病毒也可能通過改變病毒服務(wù)器的地址來避開這些系統(tǒng)或過濾器的檢測(cè)。[0004]此外��,存在基于系統(tǒng)行為的惡意代碼檢測(cè)方式��。這種惡意代碼檢測(cè)方式可以包括基于啟發(fā)式特征的檢測(cè)����、基于靜態(tài)特征的檢測(cè)和基于動(dòng)態(tài)特征的檢測(cè)等三種類型。[0005]基于啟發(fā)式特征的檢測(cè)可以利用啟發(fā)式特征��。啟發(fā)式特征可以指例如從Win32可移植執(zhí)行體(PEPortableExecute)頭或可執(zhí)行體內(nèi)的字符串中提取的特征集���。[0006]基于靜態(tài)特征的檢測(cè)可以利用通過靜態(tài)分析而導(dǎo)出的特征����。例如����,該檢測(cè)方式可以基于通過對(duì)可執(zhí)行二進(jìn)制碼的反匯編而導(dǎo)出的匯編碼、基于例如控制流圖(CFG)的匯編碼等����。然而,對(duì)二進(jìn)制碼進(jìn)行反匯編本身就是一個(gè)比較難解決的問題�����,并且尚未發(fā)現(xiàn)較為通用的方案����。[0007]基于動(dòng)態(tài)特征的檢測(cè)是一種可以在惡意代碼執(zhí)行過程中基于系統(tǒng)行為所執(zhí)行的檢測(cè)方式。這種檢測(cè)方式可以通過監(jiān)視當(dāng)前執(zhí)行進(jìn)程的例如嘗試復(fù)制等操作來在運(yùn)行時(shí)完成檢測(cè)�����。例如,可以基于病毒對(duì)復(fù)制的嘗試來檢測(cè)已知的和未知的病毒����。例如,可以利用通過系統(tǒng)調(diào)用掛鉤技術(shù)而獲得的木馬的規(guī)則的可執(zhí)行路徑以及所獲知的木馬的行為特性(例如,修改注冊(cè)表����、注冊(cè)系統(tǒng)服務(wù)、修改系統(tǒng)文件等)來檢測(cè)和阻截木馬�。[0008]此外,在入侵檢測(cè)領(lǐng)域存在基于網(wǎng)絡(luò)行為的檢測(cè)方式�。在KDDCUP1999(http://www.sigkdd.0rg/kddcup/index.php?section=1999&method=info)文檔中對(duì)網(wǎng)絡(luò)行為特征做出了描述��。該文檔提供的網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)集(KDD99數(shù)據(jù)集)被用于測(cè)試所開發(fā)的算法以及預(yù)定義行為特征�����。每個(gè)數(shù)據(jù)項(xiàng)包含指示網(wǎng)絡(luò)行為特征的41個(gè)字段和指示攻擊類型的I個(gè)字段���。對(duì)于數(shù)據(jù)分析工具而言,處理所有這些字段的開銷是很昂貴的�����。更為重要的是���,這種網(wǎng)絡(luò)行為特征的描述僅僅用于入侵檢測(cè)��,而并非針對(duì)惡意代碼�。[0009]此外����,考慮到惡意代碼的傳播越來越多地依賴于網(wǎng)絡(luò)通道,由網(wǎng)絡(luò)運(yùn)營商在網(wǎng)絡(luò)側(cè)而不是在終端用戶側(cè)執(zhí)行惡意代碼檢測(cè)和阻止將是有效的�。例如,對(duì)于一些竊密病毒而言���,其不能在沒有網(wǎng)絡(luò)的情況下上傳隱私信息�����。在這種情況下�,網(wǎng)絡(luò)行為特征集的選擇將是惡意代碼檢測(cè)的關(guān)鍵因素�����。例如���,對(duì)于移動(dòng)病毒而言���,其網(wǎng)絡(luò)行為可以包括通過網(wǎng)絡(luò)的病毒傳播行為、移動(dòng)設(shè)備系統(tǒng)在感染后的網(wǎng)絡(luò)行為以及網(wǎng)絡(luò)側(cè)系統(tǒng)在感染后的網(wǎng)絡(luò)行為等�����。這些網(wǎng)絡(luò)行為所對(duì)應(yīng)的所有網(wǎng)絡(luò)行為特征都可以通過網(wǎng)絡(luò)數(shù)據(jù)流來實(shí)施�。從而,將會(huì)存在大量的網(wǎng)絡(luò)行為特征需要處理��。例如數(shù)據(jù)挖掘等數(shù)據(jù)處理技術(shù)可以作為找出惡意代碼的網(wǎng)絡(luò)行為特征的一種有效手段���。但是���,通過數(shù)據(jù)挖掘過程會(huì)挖掘出大量的網(wǎng)絡(luò)行為特征�,并且錯(cuò)誤拒絕率(FRR:FalseRejectRate)和錯(cuò)誤接受率(FAR:FalseAcceptRate)都比較高��。通過調(diào)整一些特征���,可以使FRR和FAR產(chǎn)生波動(dòng)��,然而�,不可能通過數(shù)據(jù)挖掘算法本身來驗(yàn)證這些網(wǎng)絡(luò)行為特征�����。[0010]因此����,本領(lǐng)域需要能夠有效地找出惡意代碼的網(wǎng)絡(luò)行為特征以及能夠高效地驗(yàn)證惡意代碼的網(wǎng)絡(luò)行為特征的解決方案?����!?br/>發(fā)明內(nèi)容】[0011]本發(fā)明實(shí)施例提供了用于導(dǎo)出和驗(yàn)證惡意代碼的網(wǎng)絡(luò)行為特征的方法和裝置��。[0012]根據(jù)一個(gè)方面,本發(fā)明實(shí)施例提供了一種用于導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征的方法����。該方法可以包括:獲取由惡意代碼引起的系統(tǒng)行為參數(shù);基于所述系統(tǒng)行為參數(shù)生成系統(tǒng)行為特征�;以及基于所述系統(tǒng)行為特征導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征。[0013]在上述方法中�����,所述獲取由惡意代碼引起的系統(tǒng)行為參數(shù)可以包括以下至少之一:獲取與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的連接相關(guān)系統(tǒng)行為參數(shù)�����;以及獲取與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)系統(tǒng)行為參數(shù)���。[0014]在上述方法中,所述基于所述系統(tǒng)行為參數(shù)生成系統(tǒng)行為特征可以包括以下至少之一:基于所述連接相關(guān)系統(tǒng)行為參數(shù)生成與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的連接相關(guān)系統(tǒng)行為特征����;基于所述內(nèi)容相關(guān)系統(tǒng)行為參數(shù)生成與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)系統(tǒng)行為特征;以及基于所述連接相關(guān)系統(tǒng)行為參數(shù)和所述內(nèi)容相關(guān)系統(tǒng)行為參數(shù)����,生成與數(shù)據(jù)收發(fā)以及應(yīng)用層內(nèi)容都相關(guān)聯(lián)的連接和內(nèi)容相關(guān)系統(tǒng)行為特征��。[0015]在上述方法中����,所述基于所述系統(tǒng)行為特征導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征可以包括以下至少之一:基于所述連接相關(guān)系統(tǒng)行為特征導(dǎo)出與網(wǎng)絡(luò)連接相關(guān)聯(lián)的連接相關(guān)網(wǎng)絡(luò)行為特征���;基于所述內(nèi)容相關(guān)系統(tǒng)行為特征導(dǎo)出與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征���;以及基于所述連接和內(nèi)容相關(guān)系統(tǒng)行為特征導(dǎo)出與網(wǎng)絡(luò)連接和應(yīng)用層內(nèi)容都相關(guān)聯(lián)的連接和內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征。[0016]根據(jù)另一個(gè)方面�,本發(fā)明實(shí)施例提供了一種用于導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征的裝置。該裝置可以包括:系統(tǒng)行為參數(shù)獲取器��,用于獲取由惡意代碼引起的系統(tǒng)行為參數(shù)���;系統(tǒng)行為特征生成器����,用于基于所述系統(tǒng)行為參數(shù)生成系統(tǒng)行為特征���;以及網(wǎng)絡(luò)行為特征導(dǎo)出器�����,用于基于所述系統(tǒng)行為特征導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征�����。[0017]在上述裝置中��,所述系統(tǒng)行為參數(shù)獲取器可以進(jìn)一步用于以下至少之一:獲取與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的連接相關(guān)系統(tǒng)行為參數(shù)���;以及獲取與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)系統(tǒng)行為參數(shù)����。[0018]在上述裝置中����,所述系統(tǒng)行為特征生成器可以進(jìn)一步用于以下至少之一:基于所述連接相關(guān)系統(tǒng)行為參數(shù)生成與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的連接相關(guān)系統(tǒng)行為特征�;基于所述內(nèi)容相關(guān)系統(tǒng)行為參數(shù)生成與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)系統(tǒng)行為特征;以及基于所述連接相關(guān)系統(tǒng)行為參數(shù)和所述內(nèi)容相關(guān)系統(tǒng)行為參數(shù)��,生成與數(shù)據(jù)收發(fā)以及應(yīng)用層內(nèi)容都相關(guān)聯(lián)的連接和內(nèi)容相關(guān)系統(tǒng)行為特征�����。[0019]在上述裝置中,所述網(wǎng)絡(luò)行為特征導(dǎo)出器可以進(jìn)一步用于以下至少之一:基于所述連接相關(guān)系統(tǒng)行為特征導(dǎo)出與網(wǎng)絡(luò)連接相關(guān)聯(lián)的連接相關(guān)網(wǎng)絡(luò)行為特征��;基于所述內(nèi)容相關(guān)系統(tǒng)行為特征導(dǎo)出與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征�;以及基于所述連接和內(nèi)容相關(guān)系統(tǒng)行為特征導(dǎo)出與網(wǎng)絡(luò)連接和應(yīng)用層內(nèi)容都相關(guān)聯(lián)的連接和內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征。[0020]根據(jù)另一個(gè)方面��,本發(fā)明實(shí)施例提供了一種用于驗(yàn)證惡意代碼的網(wǎng)絡(luò)行為特征的方法��。該方法可以包括:確定與所要驗(yàn)證的網(wǎng)絡(luò)行為特征相對(duì)應(yīng)的網(wǎng)絡(luò)行為參數(shù)����;獲取與所述網(wǎng)絡(luò)行為參數(shù)相對(duì)應(yīng)的系統(tǒng)行為參數(shù);基于所述系統(tǒng)行為參數(shù)生成系統(tǒng)行為特征���;以及將所述系統(tǒng)行為特征與所述網(wǎng)絡(luò)行為特征進(jìn)行比較��,以確定所述網(wǎng)絡(luò)行為特征的有效性����。[0021]在上述方法中����,所述網(wǎng)絡(luò)行為特征可以包括以下至少之一:與網(wǎng)絡(luò)連接相關(guān)聯(lián)的連接相關(guān)網(wǎng)絡(luò)行為特征;與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征���;以及與網(wǎng)絡(luò)連接和應(yīng)用層內(nèi)容都相關(guān)聯(lián)的連接和內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征���。在上述方法中�����,所述確定與所要驗(yàn)證的網(wǎng)絡(luò)行為特征相對(duì)應(yīng)的網(wǎng)絡(luò)行為參數(shù)可以包括以下至少之一:確定與網(wǎng)絡(luò)連接相關(guān)聯(lián)的連接相關(guān)網(wǎng)絡(luò)行為參數(shù)����;以及確定與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)網(wǎng)絡(luò)行為參數(shù)����。[0022]在上述方法中,所述獲取與所述網(wǎng)絡(luò)行為參數(shù)相對(duì)應(yīng)的系統(tǒng)行為參數(shù)可以包括以下至少之一:獲取與所述連接相關(guān)網(wǎng)絡(luò)行為參數(shù)相對(duì)應(yīng)的���、與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的連接相關(guān)系統(tǒng)行為參數(shù)�;以及獲取與所述內(nèi)容相關(guān)網(wǎng)絡(luò)行為參數(shù)相對(duì)應(yīng)的�����、與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)系統(tǒng)行為參數(shù)�。[0023]在上述方法中���,所述基于所述系統(tǒng)行為參數(shù)生成系統(tǒng)行為特征可以包括以下至少之一:基于所述連接相關(guān)系統(tǒng)行為參數(shù)生成與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的連接相關(guān)系統(tǒng)行為特征���;基于所述內(nèi)容相關(guān)系統(tǒng)行為參數(shù)生成與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)系統(tǒng)行為特征�;以及基于所述連接相關(guān)系統(tǒng)行為參數(shù)和所述內(nèi)容相關(guān)系統(tǒng)行為參數(shù)���,生成與數(shù)據(jù)收發(fā)以及應(yīng)用層內(nèi)容都相關(guān)聯(lián)的連接和內(nèi)容相關(guān)系統(tǒng)行為特征�。在上述方法中�����,所述將所述系統(tǒng)行為特征與所述網(wǎng)絡(luò)行為特征進(jìn)行比較可以包括以下至少之一:將所述連接相關(guān)網(wǎng)絡(luò)行為特征與所述連接相關(guān)系統(tǒng)行為特征進(jìn)行比較�;將所述內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征與所述內(nèi)容相關(guān)系統(tǒng)行為特征進(jìn)行比較;以及將所述連接和內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征與所述連接和內(nèi)容相關(guān)系統(tǒng)行為特征進(jìn)行比較����。[0024]根據(jù)另一個(gè)方面����,本發(fā)明實(shí)施例提供了一種用于驗(yàn)證惡意代碼的網(wǎng)絡(luò)行為特征的裝置。該裝置可以包括:網(wǎng)絡(luò)行為參數(shù)確定器���,用于確定與所要驗(yàn)證的網(wǎng)絡(luò)行為特征相對(duì)應(yīng)的網(wǎng)絡(luò)行為參數(shù)����;系統(tǒng)行為參數(shù)獲取器,用于獲取與所述網(wǎng)絡(luò)行為參數(shù)相對(duì)應(yīng)的系統(tǒng)行為參數(shù)�����;系統(tǒng)行為特征生成器�����,用于基于所述系統(tǒng)行為參數(shù)生成系統(tǒng)行為特征�����;以及網(wǎng)絡(luò)行為特征校驗(yàn)器��,用于將所述系統(tǒng)行為特征與所述網(wǎng)絡(luò)行為特征進(jìn)行比較�,以確定所述網(wǎng)絡(luò)行為特征的有效性。[0025]通過本發(fā)明的方案���,在一些方面�����,可以有效地導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征���,在另一些方面,可以高效地驗(yàn)證惡意代碼的網(wǎng)絡(luò)行為特征�。從而����,本發(fā)明可以顯著地改進(jìn)惡意代碼的網(wǎng)絡(luò)行為特征的有效性���?���!緦@綀D】【附圖說明】[0026]圖1示出了根據(jù)本發(fā)明實(shí)施例的用于導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征的裝置的結(jié)構(gòu)示意圖���;[0027]圖2示出了根據(jù)本發(fā)明實(shí)施例的用于導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征的方法的流程圖�����;[0028]圖3示出了根據(jù)本發(fā)明實(shí)施例的用于導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征的裝置的示意圖;[0029]圖4示出了根據(jù)本發(fā)明實(shí)施例的用于驗(yàn)證惡意代碼的網(wǎng)絡(luò)行為特征的裝置的結(jié)構(gòu)示意圖�����;[0030]圖5示出了根據(jù)本發(fā)明實(shí)施例的用于驗(yàn)證惡意代碼的網(wǎng)絡(luò)行為特征的裝置在網(wǎng)絡(luò)中的部署的示意圖;[0031]圖6示出了根據(jù)本發(fā)明實(shí)施例的用于驗(yàn)證惡意代碼的網(wǎng)絡(luò)行為特征的方法的流程圖���;[0032]圖7示出了根據(jù)本發(fā)明實(shí)施例的用于驗(yàn)證惡意代碼的網(wǎng)絡(luò)行為特征的裝置的示意圖��;以及[0033]圖8示出了根據(jù)本發(fā)明實(shí)施例的用于導(dǎo)出或驗(yàn)證惡意代碼的網(wǎng)絡(luò)行為特征的設(shè)備的不意圖��?!揪唧w實(shí)施方式】[0034]本發(fā)明實(shí)施例考慮到了惡意代碼通常會(huì)依賴于網(wǎng)絡(luò)來傳播并且通過網(wǎng)絡(luò)來傳輸竊取到的私密信息等�,因此,可以在網(wǎng)絡(luò)側(cè)通過分析網(wǎng)絡(luò)行為特征來檢測(cè)并阻止惡意代碼����。由于惡意代碼的網(wǎng)絡(luò)行為通常由惡意代碼的系統(tǒng)行為引發(fā)����,因此,惡意代碼的行為在網(wǎng)絡(luò)側(cè)和終端用戶側(cè)存在對(duì)應(yīng)關(guān)系�,也就是說,惡意代碼的網(wǎng)絡(luò)行為特征與惡意代碼的系統(tǒng)行為特征之間存在對(duì)應(yīng)關(guān)系����。因此�,本發(fā)明提出了利用惡意代碼的系統(tǒng)行為特征來導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征����,其中����,從系統(tǒng)行為特征導(dǎo)出的網(wǎng)絡(luò)行為特征能夠有效地反映惡意代碼的網(wǎng)絡(luò)行為特征�����。從而�����,本發(fā)明可以被用于在網(wǎng)絡(luò)側(cè)以較高的可靠性來識(shí)別出惡意代碼���。[0035]此外�����,本發(fā)明實(shí)施例還考慮到了通過數(shù)據(jù)挖掘等數(shù)據(jù)處理技術(shù)可能獲得大量網(wǎng)絡(luò)行為特征�����,并且網(wǎng)絡(luò)行為特征過多會(huì)導(dǎo)致無法進(jìn)行有效分析��。因此��,基于惡意代碼的網(wǎng)絡(luò)行為特征與惡意代碼的系統(tǒng)行為特征之間存在的對(duì)應(yīng)關(guān)系�����,本發(fā)明提出了對(duì)網(wǎng)絡(luò)行為特征進(jìn)行驗(yàn)證的方案����。例如,本發(fā)明可以利用相對(duì)應(yīng)的系統(tǒng)行為特征對(duì)所要驗(yàn)證的網(wǎng)絡(luò)行為特征進(jìn)行驗(yàn)證以確定所要驗(yàn)證的網(wǎng)絡(luò)行為特征的有效性���。由此�����,本發(fā)明可以進(jìn)一步精簡網(wǎng)絡(luò)行為特征��,適應(yīng)設(shè)備的實(shí)際處理能力�,并以較低的成本改進(jìn)惡意代碼檢測(cè)系統(tǒng)的性能��。[0036]以下將以明確易懂的方式通過對(duì)優(yōu)選實(shí)施例的說明并結(jié)合附圖來對(duì)本發(fā)明的上述特性、技術(shù)特征�����、優(yōu)點(diǎn)及其實(shí)現(xiàn)方式予以進(jìn)一步說明��。[0037]圖1示出了根據(jù)本發(fā)明實(shí)施例的用于導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征的裝置100的結(jié)構(gòu)示意圖����。[0038]裝置100可以包括系統(tǒng)行為參數(shù)獲取器110��、系統(tǒng)行為特征生成器120以及網(wǎng)絡(luò)行為特征導(dǎo)出器130����。[0039]系統(tǒng)行為參數(shù)獲取器110可以獲取由惡意代碼引起的系統(tǒng)行為參數(shù)。[0040]系統(tǒng)行為參數(shù)可以指終端用戶側(cè)與惡意代碼的行為相關(guān)聯(lián)的參數(shù)���。系統(tǒng)行為參數(shù)可以包括連接相關(guān)系統(tǒng)行為參數(shù)和內(nèi)容相關(guān)系統(tǒng)行為參數(shù)中的至少一個(gè)�。[0041]從網(wǎng)絡(luò)側(cè)來看�,在數(shù)據(jù)包中,協(xié)議類型�、服務(wù)類型、IP地址�����、端口號(hào)等參數(shù)可以從數(shù)據(jù)包的包頭部分中獲得,而URL��、手機(jī)號(hào)碼���、短消息等參數(shù)需要從數(shù)據(jù)包的載荷部分中獲得����。在本發(fā)明中���,將數(shù)據(jù)包的包頭部分中包含的參數(shù)劃分為連接相關(guān)的參數(shù)���,將數(shù)據(jù)包的載荷部分中包含的參數(shù)劃分為內(nèi)容相關(guān)的參數(shù)?��;诰W(wǎng)絡(luò)行為與系統(tǒng)行為之間存在的對(duì)應(yīng)關(guān)系�����,在終端用戶側(cè)�����,系統(tǒng)行為參數(shù)也可被相應(yīng)地劃分連接相關(guān)系統(tǒng)行為參數(shù)和內(nèi)容相關(guān)系統(tǒng)行為參數(shù)�����。[0042]連接相關(guān)系統(tǒng)行為參數(shù)可以指與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的系統(tǒng)行為參數(shù)�����。例如��,連接相關(guān)系統(tǒng)行為參數(shù)可以包括連接相關(guān)的應(yīng)用程序編程接口(API)調(diào)用時(shí)間及其調(diào)用參數(shù)���、IP地址、端口號(hào)���、協(xié)議類型�����、服務(wù)類型等�����。具體地���,例如�����,連接相關(guān)的API調(diào)用時(shí)間及其調(diào)用參數(shù)可以包括網(wǎng)絡(luò)API的調(diào)用時(shí)間及其調(diào)用參數(shù)��、通信API的調(diào)用時(shí)間及其調(diào)用參數(shù)等����。網(wǎng)絡(luò)API可以指例如能夠連接到網(wǎng)絡(luò)以進(jìn)行數(shù)據(jù)收發(fā)的API等�����,如GRPSAP1�����、短消息收發(fā)API等��。通信API可以指藍(lán)牙AP1���、無線局域網(wǎng)API等��。連接相關(guān)系統(tǒng)行為參數(shù)可以包括�,但并不局限于,以上列舉的幾種參數(shù)中的一個(gè)或多個(gè)����,其還可以包括其它與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的參數(shù)。優(yōu)選地�����,系統(tǒng)行為參數(shù)獲取器110可以進(jìn)一步用于獲取與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的連接相關(guān)系統(tǒng)行為參數(shù)����。優(yōu)選地,系統(tǒng)行為參數(shù)獲取器110可以包括連接相關(guān)系統(tǒng)行為參數(shù)獲取器��,該連接相關(guān)系統(tǒng)行為參數(shù)獲取器可以用于獲取連接相關(guān)系統(tǒng)行為參數(shù)����。[0043]內(nèi)容相關(guān)系統(tǒng)行為參數(shù)可以指與應(yīng)用層內(nèi)容相關(guān)聯(lián)的系統(tǒng)行為參數(shù)��。例如�,內(nèi)容相關(guān)系統(tǒng)行為參數(shù)可以包括URL、敏感數(shù)據(jù)��、內(nèi)容屬性等����。URL可以是與惡意代碼相關(guān)聯(lián)的特定目的地地址等�。敏感數(shù)據(jù)可以是涉及隱私或安全的數(shù)據(jù)等�����,例如�,敏感數(shù)據(jù)可以包括用戶身份信息(例如國際移動(dòng)用戶標(biāo)識(shí)IMSI)、國際移動(dòng)設(shè)備標(biāo)識(shí)IME1��、手機(jī)號(hào)碼�、短消息、彩信���、通信錄�、位置信息等��。內(nèi)容屬性可以包括文件名�、文件類型、傳輸內(nèi)容長度等�。內(nèi)容相關(guān)系統(tǒng)行為參數(shù)可以包括,但并不局限于��,以上列舉的幾種參數(shù)中的一個(gè)或多個(gè)��,其還可以包括其它與應(yīng)用層內(nèi)容相關(guān)聯(lián)的參數(shù)。優(yōu)選地��,系統(tǒng)行為參數(shù)獲取器110可以進(jìn)一步用于獲取與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)系統(tǒng)行為參數(shù)��。優(yōu)選地�,系統(tǒng)行為參數(shù)獲取器110可以包括內(nèi)容相關(guān)系統(tǒng)行為參數(shù)獲取器,該內(nèi)容相關(guān)系統(tǒng)行為參數(shù)獲取器可以用于獲取內(nèi)容相關(guān)系統(tǒng)行為參數(shù)����。例如,該內(nèi)容相關(guān)系統(tǒng)行為參數(shù)獲取器可以通過任何已知的技術(shù)手段��,如敏感數(shù)據(jù)函數(shù)的API調(diào)用����、惡意代碼樣本過濾等,來獲取內(nèi)容相關(guān)系統(tǒng)行為參數(shù)��。[0044]系統(tǒng)行為特征生成器120可以基于系統(tǒng)行為參數(shù)生成系統(tǒng)行為特征�。[0045]系統(tǒng)行為特征可以指與系統(tǒng)行為相關(guān)聯(lián)的特征�����。優(yōu)選地���,可以通過對(duì)系統(tǒng)行為參數(shù)進(jìn)行數(shù)據(jù)處理來生成系統(tǒng)行為特征�����。此處的數(shù)據(jù)處理可以為數(shù)理統(tǒng)計(jì)�、數(shù)據(jù)挖掘等技術(shù)。例如�,優(yōu)選地,系統(tǒng)行為特征生成器120可以利用數(shù)據(jù)挖掘等技術(shù)來對(duì)系統(tǒng)行為參數(shù)進(jìn)行統(tǒng)計(jì)����、關(guān)聯(lián)分析等處理以便得到系統(tǒng)行為特征。系統(tǒng)行為特征可以包括連接相關(guān)系統(tǒng)行為特征�、內(nèi)容相關(guān)系統(tǒng)行為特征以及連接和內(nèi)容相關(guān)系統(tǒng)行為特征中的至少一個(gè)。[0046]連接相關(guān)系統(tǒng)行為特征可以指與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的系統(tǒng)行為特征�。例如,連接相關(guān)系統(tǒng)行為特征可以包括調(diào)用網(wǎng)絡(luò)API的頻率���、IP地址的變化情況�����、端口號(hào)的變化情況等��。連接相關(guān)系統(tǒng)行為特征可以包括����,但并不局限于,以上列舉的幾種特征中的一個(gè)或多個(gè)�����,其還可以包括其它與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的特征�。優(yōu)選地,系統(tǒng)行為特征生成器120可以進(jìn)一步用于基于連接相關(guān)系統(tǒng)行為參數(shù)生成與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的連接相關(guān)系統(tǒng)行為特征���。優(yōu)選地�,系統(tǒng)行為特征生成器120可以包括連接相關(guān)系統(tǒng)行為特征生成器�����,該連接相關(guān)系統(tǒng)行為特征生成器可以用于基于連接相關(guān)系統(tǒng)行為參數(shù)生成連接相關(guān)系統(tǒng)行為特征�。優(yōu)選地,可以通過對(duì)連接相關(guān)系統(tǒng)行為參數(shù)進(jìn)行數(shù)據(jù)處理來生成連接相關(guān)系統(tǒng)行為特征�����。[0047]內(nèi)容相關(guān)系統(tǒng)行為特征可以指與應(yīng)用層內(nèi)容相關(guān)聯(lián)的系統(tǒng)行為特征���。例如���,內(nèi)容相關(guān)系統(tǒng)行為特征可以包括:所發(fā)送內(nèi)容中包含URL、所發(fā)送內(nèi)容中包含敏感數(shù)據(jù)等��。具體地���,例如�����,內(nèi)容相關(guān)系統(tǒng)行為特征可以是所發(fā)送內(nèi)容中包含與惡意代碼相關(guān)聯(lián)的特定URL�、所發(fā)送內(nèi)容中包含用戶身份信息等����。內(nèi)容相關(guān)系統(tǒng)行為特征可以包括,但并不局限于����,以上列舉的幾種特征中的一個(gè)或多個(gè),其還可以包括其它與應(yīng)用層內(nèi)容相關(guān)聯(lián)的特征���。優(yōu)選地�����,系統(tǒng)行為特征生成器120可以進(jìn)一步用于基于內(nèi)容相關(guān)系統(tǒng)行為參數(shù)生成與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)系統(tǒng)行為特征����。優(yōu)選地,系統(tǒng)行為特征生成器120可以包括內(nèi)容相關(guān)系統(tǒng)行為特征生成器��,該內(nèi)容相關(guān)系統(tǒng)行為特征生成器可以用于基于內(nèi)容相關(guān)系統(tǒng)行為參數(shù)生成內(nèi)容相關(guān)系統(tǒng)行為特征����。優(yōu)選地,可以通過對(duì)內(nèi)容相關(guān)系統(tǒng)行為參數(shù)進(jìn)行數(shù)據(jù)處理來生成內(nèi)容相關(guān)系統(tǒng)行為特征�����。[0048]連接和內(nèi)容相關(guān)系統(tǒng)行為特征可以指與數(shù)據(jù)收發(fā)以及應(yīng)用層內(nèi)容均相關(guān)聯(lián)的系統(tǒng)行為特征�����。例如�����,連接和內(nèi)容相關(guān)系統(tǒng)行為特征可以是頻繁調(diào)用網(wǎng)絡(luò)API發(fā)送敏感數(shù)據(jù)等���。連接和內(nèi)容相關(guān)系統(tǒng)行為特征也可以是其它與數(shù)據(jù)收發(fā)以及應(yīng)用層內(nèi)容均相關(guān)聯(lián)的特征����。優(yōu)選地����,系統(tǒng)行為特征生成器120可以進(jìn)一步用于基于連接相關(guān)系統(tǒng)行為參數(shù)和內(nèi)容相關(guān)系統(tǒng)行為參數(shù),生成與數(shù)據(jù)收發(fā)以及應(yīng)用層內(nèi)容都相關(guān)聯(lián)的連接和內(nèi)容相關(guān)系統(tǒng)行為特征�����。優(yōu)選地����,系統(tǒng)行為特征生成器120可以包括連接和內(nèi)容相關(guān)系統(tǒng)行為特征生成器,該連接和內(nèi)容相關(guān)系統(tǒng)行為特征生成器可以用于基于連接相關(guān)系統(tǒng)行為參數(shù)和內(nèi)容相關(guān)系統(tǒng)行為參數(shù)生成連接和內(nèi)容相關(guān)系統(tǒng)行為特征����。優(yōu)選地,可以通過對(duì)連接相關(guān)系統(tǒng)行為參數(shù)和內(nèi)容相關(guān)系統(tǒng)行為參數(shù)進(jìn)行數(shù)據(jù)處理來生成連接和內(nèi)容相關(guān)系統(tǒng)行為特征��。[0049]網(wǎng)絡(luò)行為特征導(dǎo)出器130可以基于系統(tǒng)行為特征導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征���。[0050]網(wǎng)絡(luò)行為特征可以指網(wǎng)絡(luò)側(cè)與惡意代碼的行為相關(guān)聯(lián)的特征���。網(wǎng)絡(luò)行為特征可以包括連接相關(guān)網(wǎng)絡(luò)行為特征���、內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征以及連接和內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征中的至少一個(gè)。[0051]連接相關(guān)網(wǎng)絡(luò)行為特征可以指與網(wǎng)絡(luò)連接相關(guān)聯(lián)的網(wǎng)絡(luò)行為特征���。例如����,連接相關(guān)網(wǎng)絡(luò)行為特征可以包括基本連接特征�����、基于時(shí)間的數(shù)據(jù)流特征���、基于用戶的數(shù)據(jù)流特征等�����。具體地����,例如����,基本連接特征可以指源IP地址的變化情況��、目的地IP地址的變化情況��、協(xié)議類型的變化情況���、服務(wù)類型的變化情況等��?����;跁r(shí)間的數(shù)據(jù)流特征可以指在預(yù)定時(shí)間段內(nèi)收發(fā)數(shù)據(jù)包的情況等�,例如��,在2秒內(nèi)發(fā)往某個(gè)目的地IP地址的數(shù)據(jù)包的情況����、在2秒內(nèi)使用某種協(xié)議類型的數(shù)據(jù)包的收發(fā)情況等?;谟脩舻臄?shù)據(jù)流特征可以指一個(gè)用戶收發(fā)數(shù)據(jù)包的情況等,例如��,一個(gè)用戶在指定時(shí)間段內(nèi)收發(fā)數(shù)據(jù)包的情況、一個(gè)用戶發(fā)往某個(gè)目的地IP地址的數(shù)據(jù)包的情況等�����。連接相關(guān)網(wǎng)絡(luò)行為特征可以包括�,但并不局限于,以上列舉的幾種特征中的一個(gè)或多個(gè)�,其還可以包括其它與網(wǎng)絡(luò)連接相關(guān)聯(lián)的特征。優(yōu)選地�,網(wǎng)絡(luò)行為特征導(dǎo)出器130可以進(jìn)一步用于基于連接相關(guān)系統(tǒng)行為特征導(dǎo)出與網(wǎng)絡(luò)連接相關(guān)聯(lián)的連接相關(guān)網(wǎng)絡(luò)行為特征。優(yōu)選地��,網(wǎng)絡(luò)行為特征導(dǎo)出器130可以包括連接相關(guān)網(wǎng)絡(luò)行為特征導(dǎo)出器����,該連接相關(guān)網(wǎng)絡(luò)行為特征導(dǎo)出器可以用于基于連接相關(guān)系統(tǒng)行為特征導(dǎo)出連接相關(guān)網(wǎng)絡(luò)行為特征。將在后面結(jié)合具體實(shí)例說明該導(dǎo)出過程�����。[0052]內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征可以指與應(yīng)用層內(nèi)容相關(guān)聯(lián)的網(wǎng)絡(luò)行為特征��。例如�,內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征可以包括:所發(fā)送數(shù)據(jù)包中包含URL、所發(fā)送數(shù)據(jù)包中包含敏感數(shù)據(jù)等����。具體地�����,例如�����,內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征可以是所發(fā)送數(shù)據(jù)包中包含與惡意代碼相關(guān)聯(lián)的特定URL�、所發(fā)送數(shù)據(jù)包中包含用戶身份信息等���。內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征可以包括,但并不局限于�����,以上列舉的幾種特征中的一個(gè)或多個(gè)�,其還可以包括其它與應(yīng)用層內(nèi)容相關(guān)聯(lián)的特征。優(yōu)選地��,網(wǎng)絡(luò)行為特征導(dǎo)出器130可以進(jìn)一步用于基于內(nèi)容相關(guān)系統(tǒng)行為特征導(dǎo)出與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征�����。優(yōu)選地,網(wǎng)絡(luò)行為特征導(dǎo)出器130可以包括內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征導(dǎo)出器�,該內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征導(dǎo)出器可以用于基于內(nèi)容相關(guān)系統(tǒng)行為特征導(dǎo)出內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征。將在后面結(jié)合具體實(shí)例說明該導(dǎo)出過程�����。[0053]連接和內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征可以指與網(wǎng)絡(luò)連接和應(yīng)用層內(nèi)容都相關(guān)聯(lián)的網(wǎng)絡(luò)行為特征��。例如����,連接和內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征可以是頻繁發(fā)送包含敏感信息的數(shù)據(jù)包等。連接和內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征也可以是其它與網(wǎng)絡(luò)連接和應(yīng)用層內(nèi)容都相關(guān)聯(lián)的特征����。優(yōu)選地,網(wǎng)絡(luò)行為特征導(dǎo)出器130可以進(jìn)一步用于基于連接和內(nèi)容相關(guān)系統(tǒng)行為特征導(dǎo)出與網(wǎng)絡(luò)連接和應(yīng)用層內(nèi)容都相關(guān)聯(lián)的連接和內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征�。優(yōu)選地,網(wǎng)絡(luò)行為特征導(dǎo)出器130可以包括連接和內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征導(dǎo)出器����,該連接和內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征導(dǎo)出器可以用于基于連接和內(nèi)容相關(guān)系統(tǒng)行為特征導(dǎo)出連接和內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征。將在后面結(jié)合具體實(shí)例說明該導(dǎo)出過程�����。[0054]可選地�,作為進(jìn)一步的應(yīng)用,網(wǎng)絡(luò)行為特征導(dǎo)出器130所導(dǎo)出的惡意代碼的網(wǎng)絡(luò)行為特征可以被用作在網(wǎng)絡(luò)數(shù)據(jù)流中檢測(cè)惡意代碼的捕獲規(guī)則�。例如,惡意代碼的網(wǎng)絡(luò)行為特征可被用于創(chuàng)建或添加到網(wǎng)絡(luò)行為特征數(shù)據(jù)庫���,從而����,可以利用該網(wǎng)絡(luò)行為特征數(shù)據(jù)庫中的網(wǎng)絡(luò)行為特征去檢測(cè)相對(duì)應(yīng)的惡意代碼�����。[0055]圖2示出了根據(jù)本發(fā)明實(shí)施例的用于導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征的方法200的流程圖�。[0056]在S210處�,可以獲取由惡意代碼引起的系統(tǒng)行為參數(shù)。例如����,可以由圖1所示的系統(tǒng)行為參數(shù)獲取器110來獲取由惡意代碼引起的系統(tǒng)行為參數(shù)。[0057]優(yōu)選地��,S210中的獲取由惡意代碼引起的系統(tǒng)行為參數(shù)的操作可以包括以下至少之一:獲取與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的連接相關(guān)系統(tǒng)行為參數(shù);以及獲取與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)系統(tǒng)行為參數(shù)�����。[0058]在S220處�,可以基于系統(tǒng)行為參數(shù)生成系統(tǒng)行為特征。例如�����,可以由圖1所示的系統(tǒng)行為特征生成器120來基于系統(tǒng)行為參數(shù)生成系統(tǒng)行為特征���。[0059]優(yōu)選地����,S220中的基于系統(tǒng)行為參數(shù)生成系統(tǒng)行為特征的操作可以包括以下至少之一:基于連接相關(guān)系統(tǒng)行為參數(shù)生成與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的連接相關(guān)系統(tǒng)行為特征��;基于內(nèi)容相關(guān)系統(tǒng)行為參數(shù)生成與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)系統(tǒng)行為特征���;以及基于連接相關(guān)系統(tǒng)行為參數(shù)和內(nèi)容相關(guān)系統(tǒng)行為參數(shù)����,生成與數(shù)據(jù)收發(fā)以及應(yīng)用層內(nèi)容都相關(guān)聯(lián)的連接和內(nèi)容相關(guān)系統(tǒng)行為特征�����。[0060]在S230處,可以基于系統(tǒng)行為特征導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征����。例如,可以由圖1所示的網(wǎng)絡(luò)行為特征導(dǎo)出器130來基于系統(tǒng)行為特征導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征�。[0061]優(yōu)選地,S230中的基于系統(tǒng)行為特征導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征的操作可以包括以下至少之一:基于連接相關(guān)系統(tǒng)行為特征導(dǎo)出與網(wǎng)絡(luò)連接相關(guān)聯(lián)的連接相關(guān)網(wǎng)絡(luò)行為特征���;基于內(nèi)容相關(guān)系統(tǒng)行為特征導(dǎo)出與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征�����;以及基于連接和內(nèi)容相關(guān)系統(tǒng)行為特征導(dǎo)出與網(wǎng)絡(luò)連接和應(yīng)用層內(nèi)容都相關(guān)聯(lián)的連接和內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征��。[0062]下面將以較為流行的移動(dòng)惡意代碼“小媒體(xiaomeiti)”為例來進(jìn)一步示例性地說明圖2所示的用于導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征的方法的具體實(shí)現(xiàn)���。[0063]“小媒體”是一種通常與安全軟件、地圖軟件和辦公軟件綁定的木馬�。小媒體的可執(zhí)行文件為mservice.exe���,該可執(zhí)行文件可以搜集手機(jī)系統(tǒng)的各種私密信息�����。所述私密信息可以包括手機(jī)用戶名稱字符串�、手機(jī)IMSI號(hào)碼、手機(jī)IMEI號(hào)碼�、手機(jī)操作系統(tǒng)主版本號(hào)/次版本號(hào)/修改版本號(hào)、手機(jī)屏幕尺寸���、手機(jī)物理內(nèi)存大小��、手機(jī)系統(tǒng)語言����、手機(jī)型號(hào)����、平臺(tái)信息、ID���、聯(lián)系人�、呼叫記錄���、應(yīng)用軟件的帳號(hào)和密碼等信息����。小媒體可以將這些私密信息通過短消息發(fā)送到特定的移動(dòng)號(hào)碼,或者通過GPRS發(fā)送到指定網(wǎng)站的URL,如http://mob1.xiaomeit1.com��。這些網(wǎng)站可能會(huì)對(duì)用戶的私密信息進(jìn)行分析并出售給不法分子�。不法分子可能進(jìn)而對(duì)感染木馬的手機(jī)用戶進(jìn)行短信詐騙、電話騷擾�����、甚至遠(yuǎn)程控制等�����。小媒體可以由木馬開發(fā)者手工附加到其它第三方應(yīng)用軟件的CAB安裝包中�����,然后在手機(jī)用戶下載該安裝包時(shí)傳播到手機(jī)���。小媒體還可以定期地鏈接到網(wǎng)站(如mobile,xiaomeit1.com)以便嘗試下載升級(jí)包�。[0064]根據(jù)本發(fā)明的實(shí)施例�����,可以首先獲取由小媒體引起的系統(tǒng)行為參數(shù)�。優(yōu)選地,系統(tǒng)行為參數(shù)可以包括連接相關(guān)系統(tǒng)行為參數(shù)和內(nèi)容相關(guān)系統(tǒng)行為參數(shù)中的至少一個(gè)���。[0065]由于小媒體可以調(diào)用敏感數(shù)據(jù)函數(shù)的API以獲取私密信息���、調(diào)用短消息API和短消息收發(fā)API以向特定的移動(dòng)號(hào)碼發(fā)送短消息、以及調(diào)用網(wǎng)絡(luò)API以向http://mob1.xiaomeit1.com發(fā)送信息和從http://mob1.xiaomeit1.com下載文件等�,因此,所獲取的連接相關(guān)系統(tǒng)行為參數(shù)可以示意性地包括:[0066]【權(quán)利要求】1.一種用于導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征的方法����,包括:獲取由惡意代碼引起的系統(tǒng)行為參數(shù);基于所述系統(tǒng)行為參數(shù)生成系統(tǒng)行為特征�����;以及基于所述系統(tǒng)行為特征導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征�����。2.如權(quán)利要求1所述的方法����,其中���,所述獲取由惡意代碼引起的系統(tǒng)行為參數(shù)包括以下至少之一:獲取與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的連接相關(guān)系統(tǒng)行為參數(shù);以及獲取與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)系統(tǒng)行為參數(shù)�。3.如權(quán)利要求2所述的方法,其中����,所述基于所述系統(tǒng)行為參數(shù)生成系統(tǒng)行為特征包括以下至少之一:基于所述連接相關(guān)系統(tǒng)行為參數(shù)生成與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的連接相關(guān)系統(tǒng)行為特征;基于所述內(nèi)容相關(guān)系統(tǒng)行為參數(shù)生成與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)系統(tǒng)行為特征����;以及基于所述連接相關(guān)系統(tǒng)行為參數(shù)和所述內(nèi)容相關(guān)系統(tǒng)行為參數(shù),生成與數(shù)據(jù)收發(fā)以及應(yīng)用層內(nèi)容都相關(guān)聯(lián)的連接和內(nèi)容相關(guān)系統(tǒng)行為特征���。4.如權(quán)利要求3所述的方法�����,其中���,所述基于所述系統(tǒng)行為特征導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征包括以下至少之一:基于所述連接相關(guān)系統(tǒng)行為特征導(dǎo)出與網(wǎng)絡(luò)連接相關(guān)聯(lián)的連接相關(guān)網(wǎng)絡(luò)行為特征;基于所述內(nèi)容相關(guān)系統(tǒng)行為特征導(dǎo)出與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征���;以及基于所述連接和內(nèi)容相關(guān)系統(tǒng)行為特征導(dǎo)出與網(wǎng)絡(luò)連接和應(yīng)用層內(nèi)容都相關(guān)聯(lián)的連接和內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征���。5.一種用于導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征的裝置���,包括:系統(tǒng)行為參數(shù)獲取器�����,用于獲取由惡意代碼引起的系統(tǒng)行為參數(shù)��;系統(tǒng)行為特征生成器���,用于基于所述系統(tǒng)行為參數(shù)生成系統(tǒng)行為特征�;以及網(wǎng)絡(luò)行為特征導(dǎo)出器����,用于基于所述系統(tǒng)行為特征導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征。6.如權(quán)利要求5所述的裝置����,其中,所述系統(tǒng)行為參數(shù)獲取器進(jìn)一步用于以下至少之獲取與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的連接相關(guān)系統(tǒng)行為參數(shù)��;以及獲取與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)系統(tǒng)行為參數(shù)����。7.如權(quán)利要求6所述的裝置���,其中,所述系統(tǒng)行為特征生成器進(jìn)一步用于以下至少之基于所述連接相關(guān)系統(tǒng)行為參數(shù)生成與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的連接相關(guān)系統(tǒng)行為特征��;基于所述內(nèi)容相關(guān)系統(tǒng)行為參數(shù)生成與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)系統(tǒng)行為特征��;以及基于所述連接相關(guān)系統(tǒng)行為參數(shù)和所述內(nèi)容相關(guān)系統(tǒng)行為參數(shù)��,生成與數(shù)據(jù)收發(fā)以及應(yīng)用層內(nèi)容都相關(guān)聯(lián)的連接和內(nèi)容相關(guān)系統(tǒng)行為特征���。8.如權(quán)利要求7所述的裝置�,其中��,所述網(wǎng)絡(luò)行為特征導(dǎo)出器進(jìn)一步用于以下至少之基于所述連接相關(guān)系統(tǒng)行為特征導(dǎo)出與網(wǎng)絡(luò)連接相關(guān)聯(lián)的連接相關(guān)網(wǎng)絡(luò)行為特征�����;基于所述內(nèi)容相關(guān)系統(tǒng)行為特征導(dǎo)出與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征�;以及基于所述連接和內(nèi)容相關(guān)系統(tǒng)行為特征導(dǎo)出與網(wǎng)絡(luò)連接和應(yīng)用層內(nèi)容都相關(guān)聯(lián)的連接和內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征。9.一種用于導(dǎo)出惡意代碼的網(wǎng)絡(luò)行為特征的設(shè)備����,包括:存儲(chǔ)器�,用于存儲(chǔ)可執(zhí)行指令���;處理器�����,用于根據(jù)所存儲(chǔ)的可執(zhí)行指令����,執(zhí)行如權(quán)利要求1-4中的任意一個(gè)權(quán)利要求所包括的步驟��。10.一種機(jī)器可讀介質(zhì)�����,其上存儲(chǔ)有可執(zhí)行指令�,當(dāng)所述可執(zhí)行指令被執(zhí)行時(shí)�����,使得機(jī)器執(zhí)行如權(quán)利要求1-4中的任意一個(gè)權(quán)利要求所包括的步驟�����。11.一種用于驗(yàn)證惡意代碼的網(wǎng)絡(luò)行為特征的方法,包括:確定與所要驗(yàn)證的網(wǎng)絡(luò)行為特征相對(duì)應(yīng)的網(wǎng)絡(luò)行為參數(shù)���;獲取與所述網(wǎng)絡(luò)行為參數(shù)相對(duì)應(yīng)的系統(tǒng)行為參數(shù)�����;基于所述系統(tǒng)行為參數(shù)生成系統(tǒng)行為特征����;以及將所述系統(tǒng)行為特征與所述網(wǎng)絡(luò)行為特征進(jìn)行比較�,以確定所述網(wǎng)絡(luò)行為特征的有效性。12.如權(quán)利要求11所述的方法����,其中,所述網(wǎng)絡(luò)行為特征包括以下至少之一:與網(wǎng)絡(luò)連接相關(guān)聯(lián)的連接相關(guān)網(wǎng)絡(luò)行為特征�;與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征;以及與網(wǎng)絡(luò)連接和應(yīng)用層內(nèi)容都相關(guān)聯(lián)的連接和內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征�,并且其中,所述確定與所要驗(yàn)證的網(wǎng)絡(luò)行為特征相對(duì)應(yīng)的網(wǎng)絡(luò)行為參數(shù)包括以下至少之一:確定與網(wǎng)絡(luò)連接相關(guān)聯(lián)的連接相關(guān)網(wǎng)絡(luò)行為參數(shù)����;以及確定與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)網(wǎng)絡(luò)行為參數(shù)��。13.如權(quán)利要求12所述的方法�����,其中�,所述獲取與所述網(wǎng)絡(luò)行為參數(shù)相對(duì)應(yīng)的系統(tǒng)行為參數(shù)包括以下至少之一:獲取與所述連接相關(guān)網(wǎng)絡(luò)行為參數(shù)相對(duì)應(yīng)的���、與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的連接相關(guān)系統(tǒng)行為參數(shù)��;以及獲取與所述內(nèi)容相關(guān)網(wǎng)絡(luò)行為參數(shù)相對(duì)應(yīng)的�����、與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)系統(tǒng)行為參數(shù)。14.如權(quán)利要求13所述的方法��,其中��,所述基于所述系統(tǒng)行為參數(shù)生成系統(tǒng)行為特征包括以下至少之一:基于所述連接相關(guān)系統(tǒng)行為參數(shù)生成與數(shù)據(jù)收發(fā)相關(guān)聯(lián)的連接相關(guān)系統(tǒng)行為特征�;基于所述內(nèi)容相關(guān)系統(tǒng)行為參數(shù)生成與應(yīng)用層內(nèi)容相關(guān)聯(lián)的內(nèi)容相關(guān)系統(tǒng)行為特征;以及基于所述連接相關(guān)系統(tǒng)行為參數(shù)和所述內(nèi)容相關(guān)系統(tǒng)行為參數(shù)���,生成與數(shù)據(jù)收發(fā)以及應(yīng)用層內(nèi)容都相關(guān)聯(lián)的連接和內(nèi)容相關(guān)系統(tǒng)行為特征�����,并且其中�,所述將所述系統(tǒng)行為特征與所述網(wǎng)絡(luò)行為特征進(jìn)行比較包括以下至少之一:將所述連接相關(guān)網(wǎng)絡(luò)行為特征與所述連接相關(guān)系統(tǒng)行為特征進(jìn)行比較;將所述內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征與所述內(nèi)容相關(guān)系統(tǒng)行為特征進(jìn)行比較��;以及將所述連接和內(nèi)容相關(guān)網(wǎng)絡(luò)行為特征與所述連接和內(nèi)容相關(guān)系統(tǒng)行為特征進(jìn)行比較��。15.一種用于驗(yàn)證惡意代碼的網(wǎng)絡(luò)行為特征的裝置���,包括:網(wǎng)絡(luò)行為參數(shù)確定器���,用于確定與所要驗(yàn)證的網(wǎng)絡(luò)行為特征相對(duì)應(yīng)的網(wǎng)絡(luò)行為參數(shù);系統(tǒng)行為參數(shù)獲取器���,用于獲取與所述網(wǎng)絡(luò)行為參數(shù)相對(duì)應(yīng)的系統(tǒng)行為參數(shù)�;系統(tǒng)行為特征生成器���,用于基于所述系統(tǒng)行為參數(shù)生成系統(tǒng)行為特征���;以及網(wǎng)絡(luò)行為特征校驗(yàn)器,用于將所述系統(tǒng)行為特征與所述網(wǎng)絡(luò)行為特征進(jìn)行比較����,以確定所述網(wǎng)絡(luò)行為特征的有效性�����。16.一種用于驗(yàn)證惡意代碼的網(wǎng)絡(luò)行為特征的設(shè)備��,包括:存儲(chǔ)器����,用于存儲(chǔ)可執(zhí)行指令�;處理器,用于根據(jù)所存儲(chǔ)的可執(zhí)行指令����,執(zhí)行如權(quán)利要求11-14中的任意一個(gè)權(quán)利要求所包括的步驟。17.一種機(jī)器可讀介質(zhì)�,其上存儲(chǔ)有可執(zhí)行指令�����,當(dāng)所述可執(zhí)行指令被執(zhí)行時(shí)����,使得機(jī)器執(zhí)行如權(quán)利要求11-14中的任意一個(gè)權(quán)利要求所包括的步驟���。【文檔編號(hào)】H04L29/06GK103916365SQ201210592809【公開日】2014年7月9日申請(qǐng)日期:2012年12月31日優(yōu)先權(quán)日:2012年12月31日【發(fā)明者】隋愛芬,郭代飛,李作為,汪濤,郭濤申請(qǐng)人:西門子公司