CN103136476A - 移动智能终端恶意软件分析*** - Google Patents
移动智能终端恶意软件分析*** Download PDFInfo
- Publication number
- CN103136476A CN103136476A CN2011103927453A CN201110392745A CN103136476A CN 103136476 A CN103136476 A CN 103136476A CN 2011103927453 A CN2011103927453 A CN 2011103927453A CN 201110392745 A CN201110392745 A CN 201110392745A CN 103136476 A CN103136476 A CN 103136476A
- Authority
- CN
- China
- Prior art keywords
- intelligent terminal
- mobile intelligent
- software
- analysis
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
一种移动智能终端恶意软件行为分析***,包括一移动智能终端客户端程序,用以搜集软件运行时的行为信息,将该信息发送到后台服务器;一软件行为信息分析后台服务器,采用相关算法对软件行为信息进行分析,判断软件是否有恶意行为,并将分析结果返回移动智能终端;一客户端与后台服务器通信协议,用以实现二者之间的数据通信;以及,一分布式运行环境,用以提供软件行为分析的大量数据。本发明的移动智能终端恶意软件行为分析***能够有效的对新出现的恶意软件进行检测,并减小移动智能终端在恶意软件检测上的***资源开销。
Description
技术领域
本发明涉及恶意软件检测,特别是涉及移动智能终端恶意软件检测。
背景技术
随着经济和科学技术的迅猛发展,移动互联网时代背景下网络的应用范围变得更加广泛,人们日常生活、工作与网络的联系越来越紧密。移动智能终端的渗透为移动互联网发展注入了强大动力,其中,智能手机、平板电脑、电子阅读器的多个种类的智能终端成为备受消费者青睐的电子产品。但是移动智能终端的发展和普及也为恶意软件的快速蔓延提供了新平台。传统计算机恶意软件渐渐的将目标转移到移动智能终端,尤其是使用越来越广泛的智能手机平台。用户正面临着同传统计算机情况一样的病毒和木马泛滥;个人隐私受到侵犯和泄漏;垃圾短信和骚扰电话层出不穷的情况。这些不仅影响到了个人生活,也带来了不同层度的经济损失,移动智能终端的安全问题已引起普遍关注,相应的恶意软件检测技术也层出不穷,主要分为传统的和非传统的恶意软件检测技术两大类。
传统的恶意软件检测技术主要的原理是检测程序中是否出现已被添加到特征库中的特征序列(Signature),如果出现了这样的序列那么该软件就极有可能被判定为恶意软件,反之该软件则会被判定为正常软件。传统恶意软件检测技术的检测能力很大程度上依赖于特征库,特征库是否能及时被更新将直接影响新近出现的恶意软件的检测,这影响着传统恶意软件检测方法的防御效果。
非传统恶意软件检测技术主要的原理是在程序运行的过程中动态检测与程序相关的各种属性,依据不同的属性进行分析从而对软件是否具有恶意行为进行检测。现有的研究已经从不同的角度来实现这种动态检测方法,研究人员曾根据分析程序运行时的指令流来检测恶意软件,也曾根据分析程序运行时对敏感数据的操作检测恶意软件,也曾根据分析程序运行过程中所调用的API函数的情况来检测恶意软件,也有研究人员根据分析程序运行时调用的***核心函数来检测恶意软件。这些方法都能够克服传统恶意软件检测方法对新出现的恶意软件无法迅速作出检测的缺点,但是在性能上会有差别。
根据分析软件运行时调用***核心函数来检测恶意软件的方法在实施上相对其他非传统恶意软件检测方法而言更加简单。应用软件靠调用***核心函数实现对***核心资源的使用,这种机制靠***提供给应用程序的***调用接口来实现,在此接口监测各个程序对***核心函数的调用情况便能客观反映出应用程序的行为。根据此数据建立软件的***调用向量,采用相关算法对向量进行分析从而达到检测软件的目的。
智能终端恶意软件行为分析的核心是相关的分析算法,本发明采用神经网络来完成对软件行为数据的处理。由于神经网络模仿人的大脑,采用自适应算法,具有更高的智能水平,且较强的容错能力使神经网络能够和人工视觉***一样,根据对象的主要特征去识别对象,此外神经网络还具有自学习、自组织功能及归纳能力。这些特点使得神经网络能很好的完成恶意软件的识别。
本发明采用的分布式框架以及神经网络的分析方法对是对现有智能终端恶意软件检测技术的改进。
发明内容
本发明要解决的技术问题在于改进上述现有技术的不足,而提出一种移动智能终端恶意软件的检测方法,能够减少终端检测的开销、提高检测效率。
本发明解决上述技术问题采用的技术方案包括,提出一种移动智能终端恶意软件行为分析***,包括:
一移动智能终端客户端程序,用以搜集终端信息及软件运行时的行为信息,将该信息发送到后台服务器;
一软件行为信息分析后台服务器,采用相关算法对软件行为信息进行分析,判断软件是否有恶意行为,并将分析结果返回移动智能终端;
一客户端与后台服务器通信协议,用以实现二者之间的数据通信;以及
一分布式运行环境,用以提供***运行平台并为软件行为分析的大量数据。
该移动智能终端客户端程序搜集移动智能终端的相关信息,该信息包含设备信息和该设备上已安装的程序列表。
该移动智能终端客户端程序搜集软件运行时的相关信息,该信息指从***调用接口监听得到的软件运行过程中的***调用日志文件。
该信息分析后台服务器获取客户端程序发送的数据,从中提取出软件运行过程中的***调用日志文件。
该信息分析后台服务器对提取出的***调用日志文件建立软件的***调用向量,以反应软件行为。
该信息分析后台服务器采用算法对软件的***调用向量进行分析,判定软件类别。
该信息分析后台服务器将软件行为分析的结果传递给客户端,向用户给出提示信息。
该客户端与后台服务器通信协议能够保证数据能够在二者之间准确的传输,并且能够抗击相关攻击。
该分布式运行环境将为***的实施提供运行平台。
该分布式运行环境将为行为分析提供大量的真实数据,以供后台服务器建立起行为分析的行为模式。
与现有技术相比,本发明的移动智能终端恶意软件行为分析***,通过分布式的总体框架以及采用神经网络对行为数据进行处理,减小了检测对移动智能终端***资源的开销,加强了恶意软件检测的效率。
附图说明
图1为本发明的移动智能终端恶意软件分析***实施例的结构示意图。
图2为本发明的移动智能终端恶意软件分析***实施例的神经网络分析算法示意图。
图3为本发明的移动智能终端恶意软件分析***实施例的单层、单神经元感知神经网络示意图。
具体实施方式
以下结合附图所示之实施例作进一步详述,以常见个人信息泄露恶意软件为例进行说明。
参见图1,本发明的移动智能终端恶意软件分析***实施例,大致包括一移动智能终端客户端程序,一软件行为信息分析后台服务器,移动智能终端与信息分析后台服务器通过网络进行连接,一客户端与后台服务器通信协议,保证移动智能终端与信息分析后台服务器之间的通信安全可靠,以及一分布式运行环境。其中,
移动智能终端客户端程序用以搜集设备相关信息、终端所安装的软件列表信息以及软件运行时的行为信息,该行为信息具体指软件在运行过程中调用的***核心函数的信息,客户端程序在搜集之后将信息按协议发送到后台服务器进行分析处理。对个人信息泄露恶意软件而言,其行为信息中会包含非按键操作、自启动以及对特殊网络访问的获取等,这些核心的行为将为神经网络分析提供依据。
软件行为信息分析后台服务器主要是根据协议抽取所收到的数据,重点从收到的数据中提取出有关软件行为的信息,按照神经网络算法对这些信息进行处理,通过对某软件行为信息的识别,检测该软件是否具有恶意行为,并将该软件划分到所属类别中。然后将结果信息按照协议发送给客户端程序,供用户参考。针对个人信息泄露恶意软件其具体过程:
1. 特征获取
将个人信息泄露恶意软件运行过程中的“按键”特征、“自启动”特征及“特殊网络访问”特征作为行为分析的特征。
2. 神经网络
l 特征向量表:将有无按键、是否自启动和是否访特殊问网络三个特征分别用“0”“1”表示,对于恶意软件(无按键、自启动、访问特殊网络)特征记为向量[1 1 1],正常软件(有按键、非自启动、访问正常网络)特征记为向量[0 0 0],可以据此方法得到特征向量表。
l 单层、但神经元感知神经网络:网络的输入向量包含3个元素,每个输入元素的取值范围[0 1];神经元采用hardlim传输函数,据此涉及感知神经网络:
Hard lim(n)= 
;
l 输出是一个二值向量(0或1,1代表病毒特征,0代表非病毒特征)
l 采用监督的学习方法对下列病毒样本进行训练:
l 输入向量:
P = ;
l 目标向量:T = [1 0 1 0 0 ]。
l 通过训练得到权值矩阵:a = hard lim(P1×2+P2×2+P3×1 - 3)
l 后台服务器接收到客户端传来的行为信息之后,进行上述分析,当程序行为特征与病毒的行为特征([1 1 1])的欧式距离大于与正常软件([0 0 0])的欧式距离时神经网络将自动判断其为病毒。
上述神经网络分析过程中,可以对输入分析方法进行改进,将程序行为的模式类别划分为正常程序、恶意程序和有可能具有恶意行为的程序。将程序的类别划分更加细化。
客户端与后台服务器通信协议采用的是HTTPS协议,与传统HTTP协议相比,HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比HTTP协议安全。用这种协议实现客户端与后台服务器之间的通信能够防止未授权软件向行为信息分析后台服务器发送相关信息以及恶意攻击者伪造错误数据等破坏***正常运行。
分布式运行环境能够为整个***提供实施平台,因为整个***是基于分布式架构的,采用这样的架构主要是考虑到移动智能终端计算资源的有限性,将行为信息的分析放在后台服务器端能够减少移动智能终端的资源开销。同时,作为行为分析核心的神经网络算法需要为其提供大量的软件行为数据,供其进行自学习,建立起各种软件的行为模式类别,这是进行恶意软件检测的基础。当某个软件的行为信息到达后台服务器时,会先计算其行为向量与已有各类模式行为向量的欧式距离,从而为其分类提供依据。
与现有技术相比,本发明的移动智能终端恶意软件分析***,综合考虑了移动智能终端对恶意软件进行检测是的资源开销以及对恶意软件进行检测的效率,在既减少移动智能终端计算资源开销又保证恶意软件检测效率的情况下,选用分布式框架和神经网络对软件的行为信息进行分析从而达到恶意软件检测的目的。采用本发明进行恶意软件检测能有效对新出现的恶意软件进行检测。
以上,仅为本发明之较佳实施例,意在进一步说明本发明,而非对其进行限定。凡根据上述之文字和附图所公开的内容进行的简单的替换,都在本专利的权利保护范围之列。
Claims (10)
1.一种移动智能终端恶意软件分析***,其特征在于,包括:
一移动智能终端客户端程序,用以搜集终端信息及软件运行时的行为信息,将该信息发送到后台服务器;
一软件行为信息分析后台服务器,采用相关算法对软件行为信息进行分析,判断软件是否有恶意行为,并将分析结果返回移动智能终端;
一客户端与后台服务器通信协议,用以实现二者之间的数据通信;以及
一分布式运行环境,用以提供***运行平台并为软件行为分析的大量数据。
2.如权利要求1所述的移动智能终端恶意软件分析***,其特征在于,该移动智能终端客户端程序搜集移动智能终端的相关信息,该信息包含设备信息和该设备上已安装的程序列表。
3.如权利要求1所述的移动智能终端恶意软件分析***,其特征在于,该移动智能终端客户端程序搜集软件运行时的相关信息,该信息指从***调用接口监听得到的软件运行过程中的***调用日志文件。
4.如权利要求1所述的移动智能终端恶意软件分析***,其特征在于,该信息分析后台服务器获取客户端程序发送的数据,从中提取出软件运行过程中的***调用日志文件。
5.如权利要求4所述的移动智能终端恶意软件分析***,其特征在于,该信息分析后台服务器对提取出的***调用日志文件建立软件的***调用向量,以反映软件行为。
6.如权利要求5所述的移动智能终端恶意软件分析***,其特征在于,该信息分析后台服务器采用算法对软件的***调用向量进行分析,判定软件类别。
7.如权利要求1所述的移动智能终端恶意软件分析***,其特征在于,该信息分析后台服务器将软件行为分析的结果传递给客户端,向用户给出提示信息。
8.如权利要求1所述的移动智能终端恶意软件分析***,其特征在于,该客户端与后台服务器通信协议能够保证数据能够在二者之间准确的传输,并且能够抗击相关攻击。
9.如权利要求1所述的移动智能终端恶意软件分析***,其特征在于,该分布式运行环境将为***的实施提供运行平台。
10.如权利要求1所述的移动智能终端恶意软件分析***,其特征在于,该分布式运行环境将为行为分析提供大量的真实数据,以供后台服务器建立起行为分析的行为模式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011103927453A CN103136476A (zh) | 2011-12-01 | 2011-12-01 | 移动智能终端恶意软件分析*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011103927453A CN103136476A (zh) | 2011-12-01 | 2011-12-01 | 移动智能终端恶意软件分析*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103136476A true CN103136476A (zh) | 2013-06-05 |
Family
ID=48496293
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011103927453A Pending CN103136476A (zh) | 2011-12-01 | 2011-12-01 | 移动智能终端恶意软件分析*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103136476A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104424440A (zh) * | 2013-09-03 | 2015-03-18 | 韩国电子通信研究院 | 用于对于移动恶意软件进行多重检查的设备和方法 |
| CN104636914A (zh) * | 2013-11-06 | 2015-05-20 | ***股份有限公司 | 一种基于通信设备的应用评价进行支付的方法和装置 |
| CN104751052A (zh) * | 2013-12-30 | 2015-07-01 | 南京理工大学常熟研究院有限公司 | 基于svm算法的移动智能终端软件的动态行为分析方法 |
| WO2016169390A1 (zh) * | 2015-04-23 | 2016-10-27 | 腾讯科技(深圳)有限公司 | 应用安全防护方法、终端、存储介质 |
| CN108173854A (zh) * | 2017-12-28 | 2018-06-15 | 广东电网有限责任公司东莞供电局 | 一种电力私有协议的安全监测方法 |
| CN108959921A (zh) * | 2018-05-30 | 2018-12-07 | 盘石软件(上海)有限公司 | 一种基于智能终端芯片的恶意软件分析方法 |
| CN109344614A (zh) * | 2018-07-23 | 2019-02-15 | 厦门大学 | 一种Android恶意应用在线检测方法 |
| CN110119621A (zh) * | 2019-05-05 | 2019-08-13 | 网御安全技术(深圳)有限公司 | 异常***调用的攻击防御方法、***及防御装置 |
| CN111462410A (zh) * | 2019-12-25 | 2020-07-28 | 哈尔滨理工大学 | 一种基于云安全的智能手机柜 |
| CN112989204A (zh) * | 2021-04-14 | 2021-06-18 | 江苏国信安网络科技有限公司 | 手机应用溯源分析方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101894230A (zh) * | 2010-07-14 | 2010-11-24 | 国网电力科学研究院 | 一种基于静态和动态分析技术的主机***安全评估方法 |
| CN101924762A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云安全的主动防御方法 |
| CN101924761A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种依据白名单进行恶意程序检测的方法 |
| CN102082802A (zh) * | 2011-03-01 | 2011-06-01 | 陈彪 | 一种基于行为的移动终端的安全防护***和方法 |
-
2011
- 2011-12-01 CN CN2011103927453A patent/CN103136476A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101894230A (zh) * | 2010-07-14 | 2010-11-24 | 国网电力科学研究院 | 一种基于静态和动态分析技术的主机***安全评估方法 |
| CN101924762A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云安全的主动防御方法 |
| CN101924761A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种依据白名单进行恶意程序检测的方法 |
| CN102082802A (zh) * | 2011-03-01 | 2011-06-01 | 陈彪 | 一种基于行为的移动终端的安全防护***和方法 |
Non-Patent Citations (1)
| Title |
|---|
| 田四梅 等: "基于神经网络的智能手机安全监控***", 《现代电信科技》, no. 9, 30 September 2010 (2010-09-30), pages 58 - 60 * |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104424440A (zh) * | 2013-09-03 | 2015-03-18 | 韩国电子通信研究院 | 用于对于移动恶意软件进行多重检查的设备和方法 |
| CN104636914B (zh) * | 2013-11-06 | 2019-05-10 | ***股份有限公司 | 一种基于通信设备的应用评价进行支付的方法和装置 |
| CN104636914A (zh) * | 2013-11-06 | 2015-05-20 | ***股份有限公司 | 一种基于通信设备的应用评价进行支付的方法和装置 |
| CN104751052A (zh) * | 2013-12-30 | 2015-07-01 | 南京理工大学常熟研究院有限公司 | 基于svm算法的移动智能终端软件的动态行为分析方法 |
| WO2016169390A1 (zh) * | 2015-04-23 | 2016-10-27 | 腾讯科技(深圳)有限公司 | 应用安全防护方法、终端、存储介质 |
| CN106156619A (zh) * | 2015-04-23 | 2016-11-23 | 腾讯科技(深圳)有限公司 | 应用安全防护方法及装置 |
| US11055406B2 (en) | 2015-04-23 | 2021-07-06 | Tencent Technology (Shenzhen) Company Limited | Application security protection method, terminal, and storage medium |
| CN108173854A (zh) * | 2017-12-28 | 2018-06-15 | 广东电网有限责任公司东莞供电局 | 一种电力私有协议的安全监测方法 |
| CN108959921A (zh) * | 2018-05-30 | 2018-12-07 | 盘石软件(上海)有限公司 | 一种基于智能终端芯片的恶意软件分析方法 |
| CN109344614A (zh) * | 2018-07-23 | 2019-02-15 | 厦门大学 | 一种Android恶意应用在线检测方法 |
| CN110119621A (zh) * | 2019-05-05 | 2019-08-13 | 网御安全技术(深圳)有限公司 | 异常***调用的攻击防御方法、***及防御装置 |
| CN111462410A (zh) * | 2019-12-25 | 2020-07-28 | 哈尔滨理工大学 | 一种基于云安全的智能手机柜 |
| CN112989204A (zh) * | 2021-04-14 | 2021-06-18 | 江苏国信安网络科技有限公司 | 手机应用溯源分析方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103136476A (zh) | 移动智能终端恶意软件分析*** | |
| Ahmed et al. | A survey of network anomaly detection techniques | |
| Gaber et al. | Injection attack detection using machine learning for smart IoT applications | |
| US8775333B1 (en) | Systems and methods for generating a threat classifier to determine a malicious process | |
| US11595435B2 (en) | Methods and systems for detecting phishing emails using feature extraction and machine learning | |
| Ahmed et al. | Network traffic analysis based on collective anomaly detection | |
| Yu et al. | Improving the quality of alerts and predicting intruder’s next goal with Hidden Colored Petri-Net | |
| CN103500307A (zh) | 一种基于行为模型的移动互联网恶意应用软件检测方法 | |
| Li et al. | Opcode sequence analysis of Android malware by a convolutional neural network | |
| Piskozub et al. | Malalert: Detecting malware in large-scale network traffic using statistical features | |
| Krishnaveni et al. | Ensemble approach for network threat detection and classification on cloud computing | |
| CN110493142B (zh) | 基于谱聚类和随机森林算法的移动应用程序行为识别方法 | |
| Alzahrani et al. | SMS mobile botnet detection using a multi-agent system: research in progress | |
| KR102259760B1 (ko) | 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템 | |
| Amrollahi et al. | Enhancing network security via machine learning: opportunities and challenges | |
| CN111049783A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN111049828B (zh) | 网络攻击检测及响应方法及*** | |
| CN110519228B (zh) | 一种黑产场景下恶意云机器人的识别方法及*** | |
| CN110365625B (zh) | 物联网安全检测方法、装置及存储介质 | |
| CN113132329A (zh) | Webshell检测方法、装置、设备及存储介质 | |
| Hu et al. | An adaptive smartphone anomaly detection model based on data mining | |
| Vuong et al. | N-tier machine learning-based architecture for DDoS attack detection | |
| CN117478403A (zh) | 一种全场景网络安全威胁关联分析方法及*** | |
| US20230164180A1 (en) | Phishing detection methods and systems | |
| CN112235242A (zh) | 一种c&c信道检测方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130605 |
|
| RJ01 | Rejection of invention patent application after publication |