手機病毒分析和威脅關(guān)聯(lián)的方法和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本申請涉及一種手機病毒分析和威脅關(guān)聯(lián)的方法和系統(tǒng),尤其涉及一種通過對移 動終端應(yīng)用的多種信息數(shù)據(jù)進行分析及MapReduce計算來取得其深度的病毒威脅關(guān)聯(lián)的 技術(shù)。
【背景技術(shù)】
[0002] 隨著例如智能手機、平板電腦等的智能移動終端的廣泛使用以及各種移動終端應(yīng) 用的推廣,智能移動終端的安全問題成為移動互聯(lián)網(wǎng)行業(yè)以及移動互聯(lián)網(wǎng)用戶最為重視的 問題之一。2012年手機病毒的指數(shù)級增長是移動互聯(lián)網(wǎng)安全的一個爆發(fā)點。根據(jù)統(tǒng)計,在 2012年10月,手機病毒只有22萬,而2013年上半年已經(jīng)突破了 100萬。病毒的快速變換 使傳統(tǒng)殺毒軟件很難檢測它們,而手機電池壽命短使得無法使用傳統(tǒng)的基于病毒行為的檢 測方法,導(dǎo)致現(xiàn)有的手機殺毒方法無法適應(yīng)大量即將出現(xiàn)的病毒,檢測效果將會下降。
[0003] 另一方面,越來越多的用戶使用自己的移動設(shè)備訪問企業(yè)服務(wù)器、進行業(yè)務(wù)操作, 甚至替換PC進行日常工作處理。此外,很多設(shè)備不受管理員的控制,這就意味著企業(yè)敏感 數(shù)據(jù)沒有受到企業(yè)現(xiàn)有遵從、安全及數(shù)據(jù)丟失防護等政策的約束。現(xiàn)有的企業(yè)手機應(yīng)用保 護方案僅僅檢測手機應(yīng)用商店里的軟件是否有毒,然后讓用戶通過手機下載運行。然而目 前普遍使用的安卓系統(tǒng)不是閉合的,比如中國手機應(yīng)用不通過谷歌安卓商店,大家各自為 營,造成病毒在開環(huán)的環(huán)境泛濫。上述的防范方法存在很大的漏洞。
[0004] 通常在對例如智能手機的應(yīng)用進行惡意軟件的分析時,是對所述應(yīng)用的程序代碼 (即apk文件)進行分析,提取有安全風(fēng)險的函數(shù)/方法調(diào)用、內(nèi)容以及軟件行為的關(guān)聯(lián)數(shù) 據(jù)。然而,這種對應(yīng)用執(zhí)行靜態(tài)分析的方法能夠分析出的惡意威脅數(shù)據(jù)較為有限,無法捕捉 更多在使用的過程中產(chǎn)生安全風(fēng)險的行為以及產(chǎn)生不合理流量的行為的信息,也無法獲得 深度的病毒威脅關(guān)聯(lián)數(shù)據(jù)。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的目的在于提供一種用于手機病毒分析和威脅關(guān)聯(lián)的方法和系統(tǒng),通過對 移動終端應(yīng)用的多種信息數(shù)據(jù)進行分析及多次MapReduce計算來取得多層次、深度的病毒 威脅關(guān)聯(lián)數(shù)據(jù),以便于準(zhǔn)確地識別移動終端應(yīng)用涉及的病毒威脅以及威脅關(guān)聯(lián),利于確保 移動終端應(yīng)用的安全性。
[0006] 根據(jù)本發(fā)明的一方面,提供一種手機病毒分析和威脅關(guān)聯(lián)的方法,包括,在云端執(zhí) 行以下步驟:A)接收移動終端應(yīng)用的信息文件;B)對接收的信息文件進行分析,以提取所 述信息文件中的有關(guān)惡意行為的數(shù)據(jù);C)根據(jù)提取的有關(guān)惡意行為的數(shù)據(jù)生成鍵值對列表 〈數(shù)據(jù)源標(biāo)識,威脅值〉,其中,作為鍵值的數(shù)據(jù)源標(biāo)識為所述信息文件的標(biāo)識,威脅值為所 述惡意行為的特征值;D)對鍵值對列表〈數(shù)據(jù)源標(biāo)識,威脅值〉與病毒知識庫數(shù)據(jù)進行第 一輪MapReduce計算及匹配,生成列表〈威脅標(biāo)識,威脅值列表〉,其中,所述病毒知識庫包 括〈病毒家族標(biāo)識,威脅標(biāo)識,至少一個威脅值〉記錄;E)對列表〈威脅標(biāo)識,威脅值列表 >與病毒知識庫數(shù)據(jù)進行第二輪第一階段MapReduce計算及匹配,生成列表〈威脅值,病毒 家族標(biāo)識列表〉;F)對列表〈威脅值,病毒家族標(biāo)識列表〉、鍵值對列表〈數(shù)據(jù)源標(biāo)識,威脅 值〉、列表〈威脅標(biāo)識,威脅值列表〉以及病毒知識庫數(shù)據(jù)進行第二輪第二階段MapReduce 計算及匹配,生成列表〈數(shù)據(jù)源標(biāo)識,病毒關(guān)聯(lián)數(shù)據(jù)列表〉,其中,所述病毒關(guān)聯(lián)數(shù)據(jù)列表中 的每個項目包括病毒家族標(biāo)識以及威脅值列表;G)輸出所述列表〈數(shù)據(jù)源標(biāo)識,病毒關(guān)聯(lián) 數(shù)據(jù)列表〉。
[0007] 所述移動終端應(yīng)用的信息文件可以是移動終端應(yīng)用的應(yīng)用程序文件、移動終端應(yīng) 用的運行日志文件以及移動終端的流量數(shù)據(jù)文件中的至少一個。
[0008] 優(yōu)選地,在步驟B)中,將提取的有關(guān)惡意行為的數(shù)據(jù)記錄在XML文件中。
[0009] 優(yōu)選地,所述的方法還包括:在執(zhí)行步驟E)前,對在步驟D)生成的列表〈威脅標(biāo) 識,威脅值列表〉執(zhí)行過濾、去噪處理。
[0010] 優(yōu)選地,所述病毒知識庫中的每個記錄還包括所述威脅標(biāo)識所屬的病毒分類的信 肩、。
[0011] 優(yōu)選地,步驟G)包括:以圖形的形式輸出所述列表〈數(shù)據(jù)源標(biāo)識,病毒關(guān)聯(lián)數(shù)據(jù)列 表〉。
[0012] 優(yōu)選地,所述以圖形的形式輸出所述列表〈數(shù)據(jù)源標(biāo)識,病毒關(guān)聯(lián)數(shù)據(jù)列表〉包 括:以所述數(shù)據(jù)源標(biāo)識對應(yīng)的信息文件為核心,繪制其病毒家族標(biāo)識對應(yīng)的病毒家族信息 以及威脅值。
[0013] 優(yōu)選地,在步驟F)中,為每個數(shù)據(jù)源標(biāo)識生成的病毒關(guān)聯(lián)數(shù)據(jù)列表還包括每個威 脅值對應(yīng)的威脅標(biāo)識以及所述威脅標(biāo)識所屬的病毒分類。
[0014] 優(yōu)選地,步驟G)還包括:繪制每個威脅值對應(yīng)的威脅標(biāo)識所屬的病毒分類的信 肩、。
[0015] 優(yōu)選地,步驟G)還包括:為每個繪制的病毒分類的信息設(shè)置用于顯示所述病毒分 類相應(yīng)的威脅標(biāo)識的名稱的頁面的鏈接。
[0016] 優(yōu)選地,所述數(shù)據(jù)源標(biāo)識包括企業(yè)標(biāo)識、用戶標(biāo)識以及文件標(biāo)識。
[0017] 根據(jù)本發(fā)明的另一方面,提供一種位于云端的用于手機病毒分析和威脅關(guān)聯(lián)的系 統(tǒng),包括:接收單元,用于接收移動終端應(yīng)用的信息文件;數(shù)據(jù)提取單元,用于對接收單元 接收的信息文件進行分析,以提取所述信息文件中的有關(guān)惡意行為的數(shù)據(jù);第一處理單元, 用于從數(shù)據(jù)提取單元提取的有關(guān)惡意行為的數(shù)據(jù)提取鍵值對列表〈數(shù)據(jù)源標(biāo)識,威脅值〉, 其中,作為鍵值的數(shù)據(jù)源標(biāo)識為所述信息文件的標(biāo)識,威脅值為所述惡意行為的特征值; 第二處理單元,用于對鍵值對列表〈數(shù)據(jù)源標(biāo)識,威脅值 > 與病毒知識庫數(shù)據(jù)進行第一輪 MapReduce計算及匹配,生成列表〈威脅標(biāo)識,威脅值列表〉,其中,所述病毒知識庫包括〈 病毒家族標(biāo)識,威脅標(biāo)識,至少一個威脅值〉記錄;第三處理單元,用于對列表〈威脅標(biāo)識, 威脅值列表〉與病毒知識庫數(shù)據(jù)進行第二輪第一階段MapReduce計算及匹配,生成列表〈 威脅值,病毒家族標(biāo)識列表〉;第四處理單元,用于對列表〈威脅值,病毒家族標(biāo)識列表〉、鍵 值對列表〈數(shù)據(jù)源標(biāo)識,威脅值〉、列表〈威脅標(biāo)識,威脅值列表〉以及病毒知識庫數(shù)據(jù)進行 第二輪第二階段MapReduce計算及匹配,生成列表〈數(shù)據(jù)源標(biāo)識,病毒關(guān)聯(lián)數(shù)據(jù)列表〉,其 中,所述病毒關(guān)聯(lián)數(shù)據(jù)列表中的每個項目包括病毒家族標(biāo)識以及威脅值列表;輸出單元,用 于輸出所述列表〈數(shù)據(jù)源標(biāo)識,病毒關(guān)聯(lián)數(shù)據(jù)列表〉。
[0018] 所述移動終端應(yīng)用的信息文件可以是,但不限于,移動終端應(yīng)用的應(yīng)用程序文件、 移動終端應(yīng)用的運行日志文件以及移動終端的流量數(shù)據(jù)文件中的至少一個。
[0019] 優(yōu)選地,數(shù)據(jù)提取單元將提取的有關(guān)惡意行為的數(shù)據(jù)記錄在XML文件中。
[0020] 優(yōu)選地,第三處理單元在執(zhí)行第二輪第一階段MapReduce計算及匹配前,對第二 處理單元生成的列表〈威脅標(biāo)識,威脅值列表〉執(zhí)行過濾、去噪處理。
[0021] 優(yōu)選地,所述病毒知識庫中的每個記錄還包括所述威脅標(biāo)識所屬的病毒分類的信 肩、。
[0022] 優(yōu)選地,輸出單元以圖形的形式輸出所述列表〈數(shù)據(jù)源標(biāo)識,病毒關(guān)聯(lián)數(shù)據(jù)列表 >〇
[0023] 優(yōu)選地,輸出單元以所述數(shù)據(jù)源標(biāo)識對應(yīng)的信息文件為核心,繪制其病毒家族標(biāo) 識對應(yīng)的病毒家族信息以及威脅值。
[0024] 優(yōu)選地,第四處理單元還為每個數(shù)據(jù)源標(biāo)識生成的病毒關(guān)聯(lián)數(shù)據(jù)列表還包括每個 威脅值對應(yīng)的威脅標(biāo)識以及所述威脅標(biāo)識所屬的病毒分類。
[0025] 優(yōu)選地,輸出單元還繪制每個威脅值對應(yīng)的威脅標(biāo)識所屬的病毒分類的信息。
[0026] 優(yōu)選地,輸出單元還為每個繪制的病毒分類的信息設(shè)置用于顯示所述病毒分類相 應(yīng)的威脅標(biāo)識的名稱的頁面的鏈接。
[0027] 有益效果
[0028] 本發(fā)明的用于手機病毒分析和威脅關(guān)聯(lián)的方法和系統(tǒng)可通過對移動終端應(yīng)用的 多種信息數(shù)據(jù)進行分析及多次MapReduce計算來取得多層次、深度的病毒威脅關(guān)聯(lián)數(shù)據(jù), 以便于準(zhǔn)確地識別移動終端應(yīng)用涉及的病毒威脅以及威脅關(guān)聯(lián),并且檢測出最新的病毒變 種和零日攻擊;此外,還以圖形的形式直觀地呈現(xiàn)分析出的病毒威脅關(guān)聯(lián)數(shù)據(jù)。
【附圖說明】
[0029] 通過下面結(jié)合附圖進行的描述,本發(fā)明的上述和其他目的和特點將會變得更加清 楚,其中:
[0030] 圖1是示出根據(jù)本發(fā)明的示例性實施例通過多種數(shù)據(jù)源執(zhí)行移動終端病毒威脅 關(guān)聯(lián)的分析的總體示意圖;
[0031] 圖2示例性地示出智能手機的運行日志;
[0032] 圖3A~圖3C分別示出根據(jù)本發(fā)明的示例性實施例的提取的有關(guān)惡意行為的數(shù)據(jù) 的示例;
[0033] 圖4是示出根據(jù)本發(fā)明的示例性實施例對整理過的惡意行為數(shù)據(jù)執(zhí)行多次 MapReduce計算以生成病毒關(guān)聯(lián)數(shù)據(jù)的示意圖;
[0034] 圖5示意性地示出根據(jù)本發(fā)明的示例性實施例對整理過的惡意行為數(shù)據(jù)執(zhí)行多 次MapReduce計算以生成病毒關(guān)聯(lián)數(shù)據(jù)的數(shù)據(jù)變換;
[0035] 圖6是示出根據(jù)