[发明专利]指示恶意软件的信号标记

说明书

背景技术

服务提供商和制造商面临的挑战是例如通过向用户提供应用程序，以提供质量和价值给消费者。计算机系统和个人计算机一直是恶意软件或恶意软件程序的目标。此外，恶意软件开发者已经开始开发诸如智能手机的移动设备的恶意软件。

附图说明

下面的详细说明参照附图，附图中：

图1和图2为根据各个示例的、能够产生指示恶意软件的信号标记的计算设备的框图；

图3为根据一个示例的、用于根据指示恶意软件的标记的分组来产生成组信号标记的方法的流程图；

图4为根据一个示例的、能够被用来确定未知应用程序是否包括恶意软件的、用于产生信号标记恶意软件可能性数据库的方法的流程图；和

图5为根据一个示例的、能够根据标记的分组来产生指示恶意软件的信号标记的计算设备的框图。

具体实施方式

恶意软件攻击正在被向着诸如智能手机和平板电脑的移动设备编写。移动恶意软件正在上升，并且威胁要从消费者那里偷钱。应用程序商店或市场，例如专有的商店和可替代的交易市场，正在变得广为流行，并已成为移动恶意软件攻击的目标。移动恶意软件检测已被证明是一个难以实现并且具有挑战性的目标。除了其它挑战的原因，恶意软件应用程序可以很容易地改变它们的签名以欺骗并绕过使用签名的病毒扫描程序的检测。此外，对应用程序进行动态分析是昂贵且费时的。因此，在最终用户的设备上安装恶意软件期间，或当恶意软件正被在应用市场上提供时，检测恶意软件可能是富有挑战性的。

因此，本发明公开的各个实施例涉及用于帮助检测恶意软件应用程序的、用于产生信号标记的方法。该方法提供了低成本和低计算能力的益处，以及提供在安装时，从良性应用程序快速检测恶意软件应用程序。

静态分析引擎可以被用来对可能被存储在一个特定市场或多个市场上的二进制文件进行字节代码分析以产生标记。在某些示例中，标记是致使规则被激发的、应用程序的成组原始数据。二进制文件可以被配置来运行于一个特定类型的操作系统或多个类型的操作系统中。操作系统的示例包括安卓、视窗、IOS和赛班等。二进制文件可以包括已知是清洁的部分，以及已知具有恶意软件的部分。字节代码分析的结果可以通过启发式评估过程被运行，以产生可被用来把未知应用程序分类为是恶意软件或是良性的信号标记。因此，在一些示例中，信号标记是可以被作为离散条目记录在恶意软件可能性数据库中的已处理项目。这样，信号标记可以在恶意软件判定处理中，被用于根据对被与从未知应用程序产生的标记比较的信号标记的贝叶斯分析，来确定未知应用程序是否包括恶意软件。

图1和图2为根据各个示例的、能够产生指示恶意软件的信号标记的计算设备的框图。计算设备100a和100b包括可以被用于产生信号标记的组件，信号标记可以被用于确定应用程序代码或应用程序二进制文件是否包括恶意软件。各个计算设备100a和100b可以是笔记本计算机，台式计算机，平板计算设备，无线设备，服务器，工作站，或任何其它计算设备。在一些示例中，计算设备100可以连接到包括已知包括恶意软件或不包括恶意软件的一组或多组应用程序代码的一个或多个数据库。此外，应用程序代码可以是二进制的形式或另一种形式的形式(例如，作为书面语言，可扩展标记语言(XML)等)。

计算设备100可以包括静态代码分析模块110和信号产生模块112。计算设备100还可以包括输出模块114、规则116、预处理模块118、至少一个处理器130、存储器132和输入/输出接口134。此外，计算设备100b可以包括和/或使用一个或多个输入设备140或输出设备142。在一个示例中，存储器132可以存储器132中存储模块110-114和118的指令方面,并且处理器130可以执行指令。

静态代码分析模块110可以被用于根据分别对第一组已知恶意软件应用程序代码和第二组已知干净应用程序代码进行的静态代码分析，确定第一组标记和第二组标记。如上所述，应用程序代码可以是二进制文件的形式。在一个示例中，二进制文件可以是安卓二进制文件(例如，APK文件)的形式。这些文件可以被解压缩并通过dex2jar实用工具运行以将APK压缩中的一个或多个.dex文件转换为.jar文件。结果可以包括二进制XML文件。可以使用另一个工具来把二进制XML转换为可读XML格式。这是一个实施方式的具体示例。应当指出的是，其它示例实施方式可以被用于不同的应用程序和/或操作系统的特定的工具和框架。在一些示例中，预处理模块118可以被用来把二进制文件转换为其可以被标记化的形式。