CN105488412A - 基于android终端日志的恶意代码检测方法及*** - Google Patents
基于android终端日志的恶意代码检测方法及*** Download PDFInfo
- Publication number
- CN105488412A CN105488412A CN201510343505.2A CN201510343505A CN105488412A CN 105488412 A CN105488412 A CN 105488412A CN 201510343505 A CN201510343505 A CN 201510343505A CN 105488412 A CN105488412 A CN 105488412A
- Authority
- CN
- China
- Prior art keywords
- log
- daily record
- malicious code
- malicious
- object instance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种基于android终端日志的恶意代码检测方法及***,包括:主进程启动日志获取进程;日志获取进程通过运行时接口函数获取android***自带日志进程的对象实例;调用所述日志进程的对象实例的日志获取函数,获取已生成的所有日志记录;对日志记录进行预处理;将预处理后的日志记录与恶意代码库匹配,如果匹配成功,则存在恶意行为,并将结果反馈给主进程;否则不存在恶意行为。本发明还对应提供了***,通过本发明内容,将程序运行过程中的附加信息作为检查点,解决静态分析的逆向成本以及动态检测成本过高的问题。
Description
技术领域
本发明涉及移动终端安全领域,特别涉及一种基于android终端日志的恶意代码检测方法及***。
背景技术
对于Android操作***的病毒检测,一般是由动态检测技术与静态检测技术完成的。动态检测实时性要求比较高,一般需要确保在恶意行为产生危害之前将其检测出来,由于动态检测技术必须通过执行程序来捕获应用代码运行行为轨迹,对硬件资源消耗较大,执行效率比较低。静态检测技术需要先利用反编译技术对软件进行反编译并获取代码,然后检测代码的控制流程与代码逻辑,静态检测的检测基于已知的恶意程序,使得它对抗未知恶意程序的能力相对较差。
发明内容
本发明提出了一种基于android终端日志的恶意代码检测方法及***,通过针对Android***日志的检测,避免了以上不足,进一步提高了检测能力、节约***资源。
一种基于android终端日志的恶意代码检测方法,包括:
主进程启动日志获取进程;
日志获取进程通过运行时接口函数获取android***自带日志进程的对象实例;
调用所述日志进程的对象实例的日志获取函数,获取已生成的所有日志记录;
对日志记录进行预处理;
将预处理后的日志记录与恶意代码库匹配,如果匹配成功,则存在恶意行为,并将结果反馈给主进程;否则不存在恶意行为。
所述的方法中,所述对日志记录进行预处理包括:正则过滤或哈希计算。
所述的方法中,所述将预处理后的日志记录与恶意代码库匹配的方式包括:字符串匹配或哈希相似性匹配。
一种基于android终端日志的恶意代码检测***,包括:
主模块,用于主进程启动日志获取进程;
日志获取模块,用于日志获取进程通过运行时接口函数获取android***自带日志进程的对象实例;调用所述日志进程的对象实例的日志获取函数,获取已生成的所有日志记录;
日志检测模块,用于对日志记录进行预处理;将预处理后的日志记录与恶意代码库匹配,如果匹配成功,则存在恶意行为,并将结果反馈给主进程;否则不存在恶意行为。
所述的***中,所述对日志记录进行预处理包括:正则过滤或哈希计算。
所述的***中,所述将预处理后的日志记录与恶意代码库匹配的方式包括:字符串匹配或哈希相似性匹配。
本发明的优势在于,通过运行时接口函数获取Android操作***自带的日志进程的对象实例,并通过对象实例的日志获取函数获取日志,将日志与病毒库匹配定位恶意应用,并启动警告策略。
本发明提供了一种基于android终端日志的恶意代码检测方法及***,包括:主进程启动日志获取进程;日志获取进程通过运行时接口函数获取android***自带日志进程的对象实例;调用所述日志进程的对象实例的日志获取函数,获取已生成的所有日志记录;对日志记录进行预处理;将预处理后的日志记录与恶意代码库匹配,如果匹配成功,则存在恶意行为,并将结果反馈给主进程;否则不存在恶意行为。本发明还对应提供了***,通过本发明内容,将程序运行过程中的附加信息作为检查点,解决静态分析的逆向成本以及动态检测成本过高的问题。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于android终端日志的恶意代码检测方法实施例流程图;
图2为本发明一种基于android终端日志的恶意代码检测***实施例结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提出了一种基于android终端日志的恶意代码检测方法及***,通过针对Android***日志的检测,进一步提高了检测能力、节约***资源。
一种基于android终端日志的恶意代码检测方法,如图1所示,包括:
S101:主进程启动日志获取进程;
S102:日志获取进程通过运行时接口函数Runtime获取android***自带日志进程logcat的对象实例;logcat进程为***进程,用于实时获取操作***及应用程序产生的日志信息
S103:调用所述日志进程的对象实例的日志获取函数,获取已生成的所有日志记录;
S104:对日志记录进行预处理;
S105:将预处理后的日志记录与恶意代码库匹配,如果匹配成功,则存在恶意行为,并将结果反馈给主进程;否则不存在恶意行为。
所述的方法中,所述对日志记录进行预处理包括:正则过滤或哈希计算。
所述的方法中,所述将预处理后的日志记录与恶意代码库匹配的方式包括:字符串匹配或哈希相似性匹配。
一种基于android终端日志的恶意代码检测***,如图2所示,包括:
主模块201,用于主进程启动日志获取进程;
日志获取模块202,用于日志获取进程通过运行时接口函数获取android***自带日志进程的对象实例;调用所述日志进程的对象实例的日志获取函数,获取已生成的所有日志记录;
日志检测模块203,用于对日志记录进行预处理;将预处理后的日志记录与恶意代码库匹配,如果匹配成功,则存在恶意行为,并将结果反馈给主进程;否则不存在恶意行为。
所述的***中,所述对日志记录进行预处理包括:正则过滤或哈希计算。
所述的***中,所述将预处理后的日志记录与恶意代码库匹配的方式包括:字符串匹配或哈希相似性匹配。
本发明的优势在于,通过运行时接口函数获取Android操作***自带的日志进程的对象实例,并通过对象实例的日志获取函数获取日志,将日志与病毒库匹配定位恶意应用,并启动警告策略。
本发明提供了一种基于android终端日志的恶意代码检测方法及***,包括:主进程启动日志获取进程;日志获取进程通过运行时接口函数获取android***自带日志进程的对象实例;调用所述日志进程的对象实例的日志获取函数,获取已生成的所有日志记录;对日志记录进行预处理;将预处理后的日志记录与恶意代码库匹配,如果匹配成功,则存在恶意行为,并将结果反馈给主进程;否则不存在恶意行为。本发明还对应提供了***,通过本发明内容,将程序运行过程中的附加信息作为检查点,解决静态分析的逆向成本以及动态检测成本过高的问题。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于***实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (6)
1.一种基于android终端日志的恶意代码检测方法,其特征在于,包括:
主进程启动日志获取进程;
日志获取进程通过运行时接口函数获取android***自带日志进程的对象实例;
调用所述日志进程的对象实例的日志获取函数,获取已生成的所有日志记录;
对日志记录进行预处理;
将预处理后的日志记录与恶意代码库匹配,如果匹配成功,则存在恶意行为,并将结果反馈给主进程;否则不存在恶意行为。
2.如权利要求1所述的方法,其特征在于,所述对日志记录进行预处理包括:正则过滤或哈希计算。
3.如权利要求2所述的方法,其特征在于,所述将预处理后的日志记录与恶意代码库匹配的方式包括:字符串匹配或哈希相似性匹配。
4.一种基于android终端日志的恶意代码检测***,其特征在于,包括:
主模块,用于主进程启动日志获取进程;
日志获取模块,用于日志获取进程通过运行时接口函数获取android***自带日志进程的对象实例;调用所述日志进程的对象实例的日志获取函数,获取已生成的所有日志记录;
日志检测模块,用于对日志记录进行预处理;将预处理后的日志记录与恶意代码库匹配,如果匹配成功,则存在恶意行为,并将结果反馈给主进程;否则不存在恶意行为。
5.如权利要求4所述的***,其特征在于,所述对日志记录进行预处理包括:正则过滤或哈希计算。
6.如权利要求5所述的***,其特征在于,所述将预处理后的日志记录与恶意代码库匹配的方式包括:字符串匹配或哈希相似性匹配。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510343505.2A CN105488412A (zh) | 2015-06-19 | 2015-06-19 | 基于android终端日志的恶意代码检测方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510343505.2A CN105488412A (zh) | 2015-06-19 | 2015-06-19 | 基于android终端日志的恶意代码检测方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105488412A true CN105488412A (zh) | 2016-04-13 |
Family
ID=55675386
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510343505.2A Pending CN105488412A (zh) | 2015-06-19 | 2015-06-19 | 基于android终端日志的恶意代码检测方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105488412A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105933186A (zh) * | 2016-06-30 | 2016-09-07 | 北京奇虎科技有限公司 | 安全检测的方法、装置及*** |
| CN113687973A (zh) * | 2021-08-30 | 2021-11-23 | 浪潮卓数大数据产业发展有限公司 | 一种日志动态化输出的控制方法、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102479084A (zh) * | 2010-11-26 | 2012-05-30 | 腾讯科技(深圳)有限公司 | 一种Android终端获取日志的方法及装置 |
| CN104021346A (zh) * | 2014-06-06 | 2014-09-03 | 东南大学 | 基于程序流程图的Android恶意软件检测方法 |
| CN104598824A (zh) * | 2015-01-28 | 2015-05-06 | 国家计算机网络与信息安全管理中心 | 一种恶意程序检测方法及其装置 |
-
2015
- 2015-06-19 CN CN201510343505.2A patent/CN105488412A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102479084A (zh) * | 2010-11-26 | 2012-05-30 | 腾讯科技(深圳)有限公司 | 一种Android终端获取日志的方法及装置 |
| CN104021346A (zh) * | 2014-06-06 | 2014-09-03 | 东南大学 | 基于程序流程图的Android恶意软件检测方法 |
| CN104598824A (zh) * | 2015-01-28 | 2015-05-06 | 国家计算机网络与信息安全管理中心 | 一种恶意程序检测方法及其装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105933186A (zh) * | 2016-06-30 | 2016-09-07 | 北京奇虎科技有限公司 | 安全检测的方法、装置及*** |
| CN113687973A (zh) * | 2021-08-30 | 2021-11-23 | 浪潮卓数大数据产业发展有限公司 | 一种日志动态化输出的控制方法、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3588285B1 (en) | Sequence optimizations in a high-performance computing environment | |
| US8978141B2 (en) | System and method for detecting malicious software using malware trigger scenarios | |
| CN102831035B (zh) | 备份信息的方法及装置 | |
| CN103365758B (zh) | 一种虚拟化环境下的进程监控方法及*** | |
| KR101857001B1 (ko) | 안드로이드 동적 로딩 파일 추출 방법, 이를 수행하기 위한 기록 매체 및 시스템 | |
| JP2013529335A5 (zh) | ||
| CN101923617A (zh) | 一种基于云的样本数据库动态维护方法 | |
| CN104636435A (zh) | 云终端录屏方法 | |
| CN104932972B (zh) | 一种反动态调试应用程序的方法及装置 | |
| CN109271414B (zh) | 一种基于ipc的数据库本地通信的审计方法 | |
| WO2016095570A1 (zh) | 一种嵌入式***的调试方法及装置、存储介质 | |
| CN103886229A (zh) | 一种提取pe文件特征的方法及装置 | |
| CN105701195A (zh) | 一种根据文件类型自动分类存储的实现方法及*** | |
| CN102646066B (zh) | 一种开机时间的获取方法及装置 | |
| US20190205239A1 (en) | Code update based on detection of change in runtime code during debugging | |
| CN105956191B (zh) | 一种数据迁移的方法及*** | |
| CN105488412A (zh) | 基于android终端日志的恶意代码检测方法及*** | |
| Casolare et al. | A model checking based proposal for mobile colluding attack detection | |
| EP3127036A1 (en) | Systems and methods for identifying a source of a suspect event | |
| CN103902890A (zh) | 一种Android程序行为的监控方法及监控*** | |
| US20170344461A1 (en) | Automated exception resolution during a software development session based on previous exception encounters | |
| CN103279334A (zh) | 一种android软件快速动态检测装置和方法 | |
| CN103019760B (zh) | 安装软件的结构及安装方法 | |
| KR101724412B1 (ko) | 확장 코드를 이용한 어플리케이션 분석 장치 및 방법 | |
| CN204407010U (zh) | 脱机烧录*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160413 |