亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

檢測(cè)移動(dòng)裝置上的惡意文件的系統(tǒng)及方法

文檔序號(hào):9866060閱讀:599來(lái)源:國(guó)知局
檢測(cè)移動(dòng)裝置上的惡意文件的系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明大體上設(shè)及計(jì)算機(jī)安全領(lǐng)域,并且更具體地設(shè)及檢測(cè)移動(dòng)裝置上的惡意文 件的系統(tǒng)及方法。
【背景技術(shù)】
[0002] 移動(dòng)計(jì)算裝置(下文稱為移動(dòng)裝置)已經(jīng)在現(xiàn)代社會(huì)中變?yōu)樯畹牟豢苫蛉钡牟?分。此類裝置的實(shí)例為移動(dòng)電話、智能電話、個(gè)人通信器、平板計(jì)算機(jī)和筆記本計(jì)算機(jī)。大多 數(shù)移動(dòng)裝置大體上包含日?;顒?dòng)所需的各種用戶數(shù)據(jù)。此類數(shù)據(jù)可為隱私(如,照片和視 頻)、個(gè)人的(如,全名、出生年、電話號(hào)碼)和機(jī)密的(如,銀行網(wǎng)站的登錄名和密碼、信號(hào)卡 卡號(hào))。
[0003] 用于移動(dòng)裝置上的大多數(shù)主流的移動(dòng)平臺(tái)中的一個(gè)是谷歌安卓(安卓0S)操作系 統(tǒng)。首先,安卓0S由于其開(kāi)放和免費(fèi)性質(zhì)而使其贏得流行度,導(dǎo)致其廣泛用于各種硬件平 臺(tái),且因此大量不同應(yīng)用程序已經(jīng)由想要在安卓0S下工作的那些人開(kāi)發(fā)出。目前,已經(jīng)針對(duì) 安卓0S創(chuàng)造出幾百萬(wàn)應(yīng)用程序,且已經(jīng)安裝在全球超過(guò)十億個(gè)移動(dòng)裝置上。同時(shí),針對(duì)使用 安卓0S的移動(dòng)裝置創(chuàng)造出了日益增多的惡意程序。用語(yǔ)"移動(dòng)裝置的惡意程序"大體上包括 設(shè)計(jì)成獲得未授權(quán)訪問(wèn)移動(dòng)裝置的計(jì)算資源或儲(chǔ)存在其上的信息W達(dá)未授權(quán)使用資源的 目的,或通過(guò)復(fù)制、篡改、移除或替換信息使移動(dòng)裝置的所有者受害(引起損失)的任何軟 件。用語(yǔ)"信息"大體上包括關(guān)于用戶聯(lián)系人或信用卡W及訪問(wèn)各種應(yīng)用程序和網(wǎng)站的信 息。用語(yǔ)"未授權(quán)使用"大體上包括在移動(dòng)裝置所有者并未授權(quán)和/或知曉的情況下執(zhí)行的 動(dòng)作,如,進(jìn)行不需要的電子支付、發(fā)送包含垃圾郵件的電子消息、W及進(jìn)行電話呼叫。因 此,由于安裝在移動(dòng)裝置上的應(yīng)用程序或多或少可訪問(wèn)用戶的"重要"信息,故保護(hù)移動(dòng)裝 置及其應(yīng)用程序免受惡意程序就變得很重要。
[0004] 保護(hù)移動(dòng)裝置的大多數(shù)現(xiàn)有解決方案基本上是來(lái)自使用Windows操作系統(tǒng)的個(gè)人 計(jì)算機(jī)的改編的反病毒程序。此類反病毒程序在用在移動(dòng)裝置上時(shí)遇到了很多困難。首先, 惡意動(dòng)作在移動(dòng)裝置上不同于在PC上,運(yùn)需要反病毒程序的技術(shù)的對(duì)應(yīng)改變。第二,在移動(dòng) 裝置上,由惡意程序執(zhí)行的動(dòng)作大體上通過(guò)API功能實(shí)現(xiàn),且由于各個(gè)移動(dòng)平臺(tái)(如,Linux 內(nèi)核的OS、安卓OS、蘋果OS(IOS)或Bada OS)具有其自身的API功能,故各個(gè)平臺(tái)還對(duì)應(yīng)地需 要優(yōu)化,運(yùn)可導(dǎo)致使反病毒程序的工作復(fù)雜化。因此,在捜索惡意文件和執(zhí)行反病毒檢查 時(shí),運(yùn)也必須考慮。第Ξ,旨在用于移動(dòng)裝置的反病毒程序在移動(dòng)裝置的系統(tǒng)資源如電池、 中央處理單元(CPU)和存儲(chǔ)器的使用中具有限制(例如,0S自身限制訪問(wèn)資源)。為了解決運(yùn) 些困難,就需要將考慮移動(dòng)平臺(tái)的特征的專業(yè)反病毒程序。
[0005] 此外,惡意程序也不是保持不變。目前,存在越來(lái)越多針對(duì)移動(dòng)平臺(tái)的程序,特別 是木馬程序,其使用多形性(增加/改變文件中的指令,而不改變實(shí)際功能)、變形(病毒主體 的完全改變,而不改變其功能,多形性的更復(fù)雜形式)和程序代碼混淆的技術(shù)?;煜馑际?程序的原始文本或可執(zhí)行代碼變?yōu)楸3制涔δ苄缘诜淳幾g期間對(duì)抗分析、工作算法的理 解和修改的形式。運(yùn)些技術(shù)使得有可能隱藏惡意軟件的可執(zhí)行代碼,且將其變?yōu)楸3执a 的功能性但對(duì)抗反病毒分析且隱藏其算法工作的形式。
[0006] 另外,安卓0S中的移動(dòng)應(yīng)用程序的執(zhí)行的一個(gè)主要技術(shù)為化Ivik虛擬機(jī)。Dalvik 可執(zhí)行格式的可執(zhí)行文件(下文為DEX文件)的一個(gè)特性在于文件中的代碼的一部分可改變 位置而沒(méi)有丟失執(zhí)行邏輯。應(yīng)當(dāng)注意的是,執(zhí)行移動(dòng)應(yīng)用程序的另一個(gè)技術(shù)在于安卓運(yùn)行 時(shí)環(huán)境,其也具有前述特征。因此,使用捜索代碼相似性(例如,應(yīng)用程序的行模式(line pattern)或行為的分析)的經(jīng)典惡意軟件檢測(cè)方法的技術(shù)對(duì)對(duì)抗此類惡意文件收效甚微, 且上文提出的反病毒方法不能掲示此類惡意程序(文件)。因此,需要用于確定文件的相似 性的更有效的方法。
[0007] 因此,需要惡意程序的分析和識(shí)別的新原理,其可適于移動(dòng)平臺(tái),尤其是安卓移動(dòng) 平臺(tái),且同時(shí)對(duì)抗多形性和程序代碼混淆的技術(shù)。

【發(fā)明內(nèi)容】

[0008] 公開(kāi)了用于檢測(cè)移動(dòng)裝置上的惡意文件的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品。示例性 方法包括:由硬件處理器分析文件來(lái)識(shí)別至少一個(gè)或多個(gè)類別和包含在所述一個(gè)或多個(gè)類 別中的一個(gè)或多個(gè)方法;由硬件處理器識(shí)別各個(gè)識(shí)別的方法的字節(jié)碼數(shù)組;由硬件處理器 通過(guò)從各個(gè)方法的字節(jié)碼數(shù)組識(shí)別對(duì)應(yīng)的操作碼來(lái)確定各個(gè)方法中包含的指令;由硬件處 理器基于所述指令間的功能性的相似性來(lái)將各個(gè)方法的確定的指令分成多個(gè)群組;由硬件 處理器基于將指令分成多個(gè)群組的結(jié)果來(lái)形成各個(gè)方法的矢量;由硬件處理器將分析的文 件的方法的形成矢量與儲(chǔ)存在數(shù)據(jù)庫(kù)中的已知惡意文件的多個(gè)矢量相比較來(lái)確定比較的 矢量之間的相似性;W及由硬件處理器基于比較矢量之間的相似性的程度確定分析的文件 是惡意的還是干凈的。
[0009] 在一個(gè)示例性方面中,分析文件的步驟包括反匯編和反編譯文件中的一個(gè)或多 個(gè)。
[0010] 在一個(gè)示例性方面中,指令基于字節(jié)碼數(shù)組的語(yǔ)義值分成多群組。
[0011] 在一個(gè)示例性方面中,多個(gè)群組包括W下的一個(gè)或多個(gè)群組:沒(méi)有邏輯意義的指 令、W常數(shù)工作的指令、W字段工作的指令、屬于呼叫或攔截的指令。
[0012] 在一個(gè)示例性方面中,比較矢量的步驟包括比較η維歐幾里得空間中的其兩個(gè)相 關(guān)聯(lián)的點(diǎn)之間的距離。
[0013] 在一個(gè)示例性方面中,比較矢量的步驟包括執(zhí)行W下一個(gè)或多個(gè):從比較中排除 屬于標(biāo)準(zhǔn)庫(kù)程序包的類別和方法;從比較中排除不包含單個(gè)方法的類別;從比較中排除包 含兩個(gè)指令或更少的方法;如果運(yùn)些文件的類別和方法的總數(shù)與檢查的文件的類別和方法 的總數(shù)的比較相差超過(guò)25%,則從進(jìn)一步比較中排除其矢量保存在數(shù)據(jù)庫(kù)中的文件;如果 比較的類別或方法的大小相差超過(guò)25%,則從比較中排除進(jìn)一步比較中比較的文件的類別 或方法;W及從比較中排除僅包含在單個(gè)類別中的方法的矢量。
[0014] -種用于檢測(cè)惡意文件的示例性系統(tǒng),包括:硬件處理器,其配置為:分析文件W 識(shí)別至少一個(gè)或多個(gè)類別和包含在所述一個(gè)或多個(gè)類別中的一個(gè)或多個(gè)方法;識(shí)別各個(gè)識(shí) 別的方法的字節(jié)碼數(shù)組;通過(guò)從各個(gè)方法的字節(jié)碼數(shù)組識(shí)別對(duì)應(yīng)的操作代碼來(lái)確定各個(gè)方 法中包含的指令;基于所述指令間功能性的相似性來(lái)將各個(gè)方法的確定的指令分成多個(gè)群 組;基于將指令分成多個(gè)群組的結(jié)果來(lái)形成各個(gè)方法的矢量;將分析的文件的方法的形成 矢量與儲(chǔ)存在數(shù)據(jù)庫(kù)中的已知惡意文件的多個(gè)矢量相比較來(lái)確定比較的矢量之間的相似 性;W及基于比較矢量的相似性程度確定分析的文件是惡意的還是干凈的。
[0015] 示例性方面的W上簡(jiǎn)化概述用于提供本公開(kāi)內(nèi)容的基本理解。該概述不是所有構(gòu) 想的方面的寬泛綜述,且旨在既不識(shí)別所有方面的關(guān)鍵或重要元素,又不劃出本公開(kāi)內(nèi)容 的任何或所有方面的范圍。其唯一目的在于W簡(jiǎn)化形式提出一個(gè)或多個(gè)方面作為之后的本 公開(kāi)內(nèi)容的更詳細(xì)描述的前序。為了實(shí)現(xiàn)上述內(nèi)容,本公開(kāi)內(nèi)容的一個(gè)或多個(gè)方面包括權(quán) 利要求中描述和特別指出的特征。
【附圖說(shuō)明】
[0016] 并入且構(gòu)成本說(shuō)明書的一部分的附圖示出了本公開(kāi)內(nèi)容的一個(gè)或多個(gè)示例性方 面,且連同詳細(xì)描述用于闡釋其原理和實(shí)施方式。
[0017]圖1A示出了 DEX格式的可執(zhí)行文件的示例性結(jié)構(gòu)圖。
[0018] 圖1B示出了 DEX格式的可執(zhí)行文件的實(shí)例。
[0019] 圖2示出了檢測(cè)移動(dòng)裝置上的惡意文件的示例性系統(tǒng)。
[0020] 圖3示出了用于檢測(cè)移動(dòng)裝置上的DEX格式的可執(zhí)行文件間的惡意文件的示例性 算法。
[0021 ]圖4示出了用于提高確定文件的相似性程度的準(zhǔn)確性的示例性算法。
[0022] 圖5示出了包含用于生成方法的矢量的"onReceive"方法的示例性代碼的表格。
[0023] 圖6示出了公開(kāi)的系統(tǒng)和方法可在其上實(shí)施的通用計(jì)算機(jī)系統(tǒng)的實(shí)例。
【具體實(shí)施方式】
[0024] 示例性方面在此在用于檢測(cè)移動(dòng)裝置上的惡意文件的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn) 品的背景下描述。本領(lǐng)域的普通技術(shù)人員應(yīng)知道W下描述僅為示范性的,且不旨在W任何 方式限制。其它方面將容易對(duì)于受益于本公開(kāi)內(nèi)容的本領(lǐng)域的技術(shù)人員顯現(xiàn)?,F(xiàn)在將詳細(xì) 參照如附圖中所示的示例性方面的實(shí)施方式。相同的參考指示符將在附圖和W下描述各處 可能的程度用于表示相同或相似的項(xiàng)目。
[0025] 用于檢測(cè)移動(dòng)裝置上的惡意文件的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品的示例性方法將 在安卓0S的背景下在此描述。然而,本領(lǐng)域的普通技術(shù)人員將認(rèn)識(shí)到運(yùn)些方面可容易地適 于其它移動(dòng)操作系統(tǒng)和平臺(tái)。將首先考慮安卓0S中執(zhí)行的應(yīng)用程序的特性。當(dāng)創(chuàng)造出用于 安卓0S的應(yīng)用時(shí),文件由安卓程序包格式(下文為acr文件)構(gòu)成,其基本上是檔案文件。檔 案文件大體上包含W下文件:"META-INF"目錄、"res"目錄、文件"An化oidManifest.xml"、 文件"classes. dex"和文件"resources. arse" 〇
[00%] META-INF目錄繼而又包含為應(yīng)用程序的證書的文件CERT.RSA,包含資源文件(如, 圖片、聲音等)的校驗(yàn)的文件CERT. SF,W及包含描述apk文件自身的業(yè)務(wù)信息的文件 MANIFEST.MF。換言之,該文件夾包含由開(kāi)發(fā)者公司驗(yàn)證所述應(yīng)用程序的應(yīng)用程序的簽名文 件。
[0027] "res"文件夾包含各種資源文件,例如,其使得有可能顯示界面和圖片,W及再現(xiàn) 應(yīng)用程序的調(diào)整。
[00巧]文件"AmlroidManifest .xml"是所謂的"apk應(yīng)用程序的通行證"。該文件包含關(guān)于
當(dāng)前第1頁(yè)1 2 3 4 
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1