本發(fā)明涉及一種移動終端的安全防護，尤其涉及一種對移動端進行惡意軟件檢測的方法。

背景技術：

隨著移動互聯(lián)網(wǎng)的迅速發(fā)展，具有移動操作系統(tǒng)的智能手機的迅速發(fā)展，給人民帶來方便的同時也暴露了很多安全的問題。

智能手機擁有獨立的智能操作系統(tǒng)，相比于其他操作系統(tǒng)，隨著基于l inux內核的安卓智能手機操作系統(tǒng)的市場份額越來越多，安卓手機已經(jīng)成為當前惡意軟件最重要的攻擊目標，隨著市場上針對智能終端的安全方案越來越多。

系統(tǒng)權限是安卓惡意軟件檢測的一個重要元素，好在隨著智能系統(tǒng)的發(fā)展在智能安卓系統(tǒng)中能夠對系統(tǒng)的資源的訪問能夠進行很好的防護，并且市場也取得了一定的成果。但是由于安卓采用的權限可采用自定義安全機制，保護應用程序的權限，并且相應開發(fā)者稂莠不齊，沒有相應保護自定義安全機制，導致一定的應用程序需要申請權限可以來訪問重要資源。并且針對一些應用程序申請比其所需更多的權限時將有可能引起特權提升攻擊沒有進行安全權限攔截。一些開發(fā)人員的不良習慣，應用程序申請過多權限的情況也經(jīng)常發(fā)生，因此單純使用系統(tǒng)權限檢查機制，不足以作為惡意軟件檢測的唯一出路。

在中國專利文件：CN201510142665.0中，公開了一種批量安卓惡意軟件檢測方法，包括如下步驟：A、分別提取并計算應用程序的系統(tǒng)權限特征、程序控制流程圖特征和系統(tǒng)調用特征的頻率向量，對這些頻率向量進行組合拼接成綜合特征向量；B、使用數(shù)據(jù)挖掘中的分類算法對所述綜合特征向量進行分類；C、計算電量記錄對惡意軟件檢測和intent記錄對惡意軟件檢測的貢獻值；D、對分類結果數(shù)值與電量記錄和intent記錄對惡意軟件檢測的貢獻值進行加權計算，若計算結果超過設定的閾值，則判定為惡意軟件，否則判定為正常軟件。該技術雖然可以將系統(tǒng)權限、系統(tǒng)調用、程序控制流程圖等混合起來組成一個新的特征向量，并使用分類算法對惡意軟件進行檢測。該方案雖然有一定的檢查作用，但是主要在智能終端領域對惡意軟件進行檢查，這就對智能終端的性能提出了要求，并且在現(xiàn)有的技術中既采用了提取靜態(tài)特征，也采用觸發(fā)隨機事件提取動態(tài)特征二種方式，對資源終端來說提出了新的性能要求，相對于其他現(xiàn)有的安全檢測方法實現(xiàn)過程也不是很簡單，會加大研發(fā)調試的難度。

在中國專利文件CN201510609599.3，公開了一種檢測移動終端中是否存在惡意軟件的方法和移動終端:該方法包括：檢測所述移動終端的緩存中是否存在記錄上次收集信息的時間戳的文件；根據(jù)檢測結果收集所述移動終端中已安裝軟件的信息；以及將所收集的信息發(fā)送至服務器進行檢測，其中所述服務器預設有非惡意軟件的信息，以用于與所收集的信息進行比較。根據(jù)該方法可將所有通過認證或檢測的非惡意軟件的信息預設在服務器中，通過收集移動終端中安裝的軟件的信息，并發(fā)送至服務器進行比較，可確定移動終端中所安裝的軟件是否都是非惡意軟件。該技術中，移動終端增加監(jiān)測單元，收集單元，發(fā)送單元。在收集單元中又分為比較子單元，收集子單元。這樣雖然能達到一定收集效果，但是這些是在終端中進行，會加重系統(tǒng)開銷。

中國專利文件CN201110392745.3，公開了一種移動智能終端惡意軟件分析系統(tǒng):一移動智能終端客戶端程序，用以搜集軟件運行時的行為信息，將該信息發(fā)送到后臺服務器；一軟件行為信息分析后臺服務器，采用相關算法對軟件行為信息進行分析，判斷軟件是否有惡意行為，并將分析結果返回移動智能終端；一客戶端與后臺服務器通信協(xié)議，用以實現(xiàn)二者之間的數(shù)據(jù)通信；以及，一分布式運行環(huán)境，用以提供軟件行為分析的大量數(shù)據(jù)。惡意軟件行為分析系統(tǒng)能夠有效的對新出現(xiàn)的惡意軟件進行檢測，并減小移動智能終端在惡意軟件檢測上的系統(tǒng)資源開銷，但是該方案同時對服務性能提出更高的要求，相應成本也會更高。而且在對大批量用戶行為特征進行監(jiān)督學習是需要一個學習過程，是需要時間累積的，因此這種方式對于當前病毒新變種很多的情況下，不能夠及時進行反饋。

中國專利文件CN201510540664.1，公開了一種移動終端的云病毒檢測方法:一種移動終端的云病毒檢測方法，涉及移動云計算。利用云端安全服務器的計算資源來檢測移動終端的病毒，以減少移動終端的能量消耗，加快檢測速度，并提高檢測精度。移動終端將所產生的跟蹤日志文件分為若干模塊，并根據(jù)當前無線傳輸?shù)膸捄驮贫朔掌鞯臋z測速度，使用Q學習算法設計跟蹤日志文件模塊的云端服務器卸載比率，即通過無線網(wǎng)絡傳輸部分跟蹤日志文件到云端服務器，進行云端病毒檢測。適用于手機和平板電腦等移動終端，提高其病毒檢測的速度和精度，減少移動終端的能量和存儲等消耗。該方案會由于當前傳輸?shù)膸挘驮贫朔掌鞯臋z測速度的影響，無法控制被檢查終端的發(fā)射功率和無線信道帶寬，因此該技術方案也有一定的限制。

綜上，急需一種可解決上述問題的惡意軟件檢測方法。

技術實現(xiàn)要素：

本發(fā)明的目的是提供一種惡意軟件檢測方法，使用唯一的識別碼在移動終端和遠程服務端之間建立唯一鏈接，使用遠程服務端與移動終端雙方配合聯(lián)動對惡意軟件進行檢測，檢測結果準確全面，且可及時將檢測結果在遠程服務端進行登記，且對移動終端的要求低，有效減輕了移動終端惡意行為分析的資源消耗，使用遠程遠程服務端對惡意軟件進行靜態(tài)檢測，檢測速度快。

為了實現(xiàn)上有目的，本發(fā)明公開了一種惡意軟件檢測方法，用于對移動終端上安裝的第三方軟件進行惡意檢測，包括以下步驟：(1)對每一所述移動終端設置一唯一的識別碼，所述移動終端初始化結束后向所述遠程服務端發(fā)送所述識別碼并依據(jù)所述識別碼在所述移動終端與遠程服務端之間建立連接通道；(2)所述遠程服務端獲取所述移動終端中所述第三方軟件的應用程序，并對所述第三方軟件進行靜態(tài)分析并將分析結果通過所述識別碼輸送至所述移動終端；(3)所述移動終端判斷所述靜態(tài)分析的分析結果是否為惡意信息，若是則生成預設的處理命令以對所述第三方軟件進行處理，若否則在本地對所述第三方軟件進行動態(tài)分析，將所述動態(tài)分析的結果上傳所述遠程服務端進行登記并依據(jù)動態(tài)分析的結果生成相應的處理命令以對所述第三方軟件進行處理。

與現(xiàn)有技術相比，本發(fā)明通過識別碼建立移動終端和遠程服務端之間的唯一鏈接，通過唯一識別標示每一臺移動終端，遠程服務端通過下載模式獲取移動終端的第三方軟件的應用程序，并對應用層進行靜態(tài)分析檢測惡意應用，分析速度快，且大大減輕了移動終端的惡意行為分析的資源消耗，并在如果遠程遠程服務端不能檢測出第三方軟件惡意行為時，通過建立的鏈路將其分析結果通知告知終端，終端啟動動態(tài)分析應用程序的行為，使用遠程服務端與移動終端雙方配合聯(lián)動的機制對惡意軟件進行檢測，檢測結果準確全面，且可及時將檢測結果在遠程服務端進行登記。

較佳地，所述步驟(2)具體包括：所述移動終端對所述第三軟件進行靜態(tài)掃描以獲得第三方軟件的程序特征文件，并將所述程序特征文件上傳至所述遠程服務端，所述遠程服務端依據(jù)所述程序特征文件獲取所述第三方軟件的程序文件以對所述第三方軟件進行靜態(tài)分析并通過所述識別碼將分析結果輸送至所述移動終端。

具體地，所述第三方軟件的程序特征文件包括第三方軟件程序包、第三方軟件程序名以及第三方軟件版本號，所述遠程服務端依據(jù)所述程序特征文件獲取所述第三方軟件的程序文件的方法包括：所述遠程服務端依據(jù)所述第三方軟件的程序特征文件在云端下載所述第三方軟件的程序文件以對所述第三方軟件進行靜態(tài)分析。該方案有效節(jié)省了移動終端的傳輸流量。

具體地，所述第三方軟件的程序特征文件還包括第三方軟件程序包、第三方軟件程序名、第三方軟件版本號以及第三方軟件的程序文件，所述第三方軟件的程序文件包括Manifest文件、dex文件、二進制文件、資源文件、軟件權限以及敏感API。該方案可使得遠程服務端實際檢測第三方軟件內容。

具體地，所述程序特征文件還包括代表所述第三方軟件的程序特征文件是否上傳成功的標志位，所述遠程服務端依據(jù)所述標志位判斷所述第三方軟件的應用程序的獲取是否成功，若是則對所述第三方軟件進行靜態(tài)分析，若否則通知所述移動終端進行自處理并將自處理的結果上傳至遠程服務端進行登記，所述移動終端的自處理包括本地靜態(tài)掃描分析、數(shù)據(jù)庫下載，以及數(shù)據(jù)存儲。

較佳地，所述遠程服務端對所述第三方軟件進行靜態(tài)靜態(tài)分析的方法為：對所述第三方軟件的應用程序進行逆向掃描分析。

較佳地，所述步驟(2)中，所述遠程服務端在所述分析結果為非惡意時，還將此次靜態(tài)分析搜集到的搜集信息輸送至移動終端，所述移動終端還依據(jù)所述搜集信息和本地用戶隱私進行自處理并將自處理的結果上傳至遠程服務端進行登記，所述移動終端的自處理包括本地靜態(tài)掃描分析、數(shù)據(jù)庫下載，以及數(shù)據(jù)存儲。該方案使得移動終端可針對自身的隱私設定和軟件的權限設置比對來確定第三方軟件是否有著非法請求等惡意行為，提高檢測的準確性。

較佳地，所述移動終端在分析結果為惡意時對所述第三方軟件的惡意應用處理方法為：將所述第三方軟件依據(jù)預先設置的惡意應用處理命令進行處理，并將惡意應用處理結果通知用戶。

具體地，當所述惡意應用處理結果為處理失敗時，將惡意應用處理結果上傳遠程服務端，所述遠程服務端遠程處理所述移動終端的第三方軟件。該方案使得當移動終端處理失敗時，遠程的遠程服務端可以啟動暫停終端相應服務等手段從遠程服務端對第三方軟件進行處理。

附圖說明

圖1是本發(fā)明所述惡意軟件檢測方法的流程圖。

具體實施方式

為詳細說明本發(fā)明的技術內容、構造特征、所實現(xiàn)目的及效果，以下結合實施方式并配合附圖詳予說明。

參考圖1，本發(fā)明公開了一種惡意軟件檢測方法100，用于對移動終端上安裝的第三方軟件進行惡意檢測，包括以下步驟：(1)對每一所述移動終端設置一唯一的識別碼，所述移動終端初始化結束后向所述遠程服務端發(fā)送所述識別碼并依據(jù)所述識別碼在所述移動終端與遠程服務端之間建立連接通道；(2)所述遠程服務端獲取所述移動終端中所述第三方軟件的應用程序，(3)對所述第三方軟件進行靜態(tài)分析并將分析結果通過所述識別碼輸送至所述移動終端；(4)所述移動終端判斷所述靜態(tài)分析的分析結果是否為惡意信息，若是(5)則生成預設的處理命令以對所述第三方軟件進行處理，若否則(6)在本地對所述第三方軟件進行動態(tài)分析，(8)將所述動態(tài)分析的結果上傳所述遠程服務端進行登記并(7)依據(jù)動態(tài)分析的結果生成相應的處理命令以對所述第三方軟件進行處理。其中，本實施例中，所述遠程服務端對所述第三方軟件進行靜態(tài)靜態(tài)分析的方法為：對所述第三方軟件的應用程序進行逆向掃描分析。

較佳者，在一個優(yōu)選實施例中，所述步驟(2)具體包括：所述移動終端對所述第三軟件進行靜態(tài)掃描以獲得第三方軟件的程序特征文件，并將所述程序特征文件上傳至所述遠程服務端，所述遠程服務端依據(jù)所述程序特征文件獲取所述第三方軟件的程序文件以對所述第三方軟件進行靜態(tài)分析并通過所述識別碼將分析結果輸送至所述移動終端。其中，所述第三方軟件的程序特征文件包括第三方軟件程序包、第三方軟件程序名以及第三方軟件版本號，所述遠程服務端依據(jù)所述程序特征文件獲取所述第三方軟件的程序文件的方法包括：所述遠程服務端依據(jù)所述第三方軟件的程序特征文件在云端下載所述第三方軟件的程序文件以對所述第三方軟件進行靜態(tài)分析。該方案有效節(jié)省了移動終端的傳輸流量。

較佳者，在另一個優(yōu)選實施例中，所述第三方軟件的程序特征文件還包括第三方軟件程序包、第三方軟件程序名、第三方軟件版本號以及第三方軟件的程序文件，所述第三方軟件的程序文件包括Manifest文件、dex文件、二進制文件、資源文件、軟件權限以及敏感API。該方案可使得遠程服務端實際檢測第三方軟件內容。

為了防止由于移動終端上傳失敗造成檢測失誤，所述程序特征文件還包括代表所述第三方軟件的程序特征文件是否上傳成功的標志位，所述遠程服務端依據(jù)所述標志位判斷所述第三方軟件的應用程序的獲取是否成功，若是則對所述第三方軟件進行靜態(tài)分析，若否則通知所述移動終端進行自處理并將自處理的結果上傳至遠程服務端進行登記，所述移動終端的自處理包括本地靜態(tài)掃描分析、數(shù)據(jù)庫下載，以及數(shù)據(jù)存儲。

較佳者，所述步驟(2)中，所述遠程服務端在所述分析結果為非惡意時，還將此次靜態(tài)分析搜集到的搜集信息輸送至移動終端，所述移動終端還依據(jù)所述搜集信息和本地用戶隱私進行自處理并將自處理的結果上傳至遠程服務端進行登記，所述移動終端的自處理包括本地靜態(tài)掃描分析、數(shù)據(jù)庫下載，以及數(shù)據(jù)存儲。

較佳者，所述移動終端在分析結果為惡意時對所述第三方軟件的惡意應用處理方法為：將所述第三方軟件依據(jù)預先設置的惡意應用處理命令進行處理，并將惡意應用處理結果通知用戶。

更佳者，當所述惡意應用處理結果為處理失敗時，所述遠程服務端遠程處理所述移動終端的第三方軟件。該方案使得當移動終端處理失敗時，遠程的遠程服務端可以啟動暫停移動終端相應服務等手段從遠程服務端對第三方軟件進行處理。

以上所揭露的僅為本發(fā)明的優(yōu)選實施例而已，當然不能以此來限定本發(fā)明之權利范圍，因此依本發(fā)明申請專利范圍所作的等同變化，仍屬本發(fā)明所涵蓋的范圍。