[发明专利]用于检测恶意应用的方法及装置

说明书

本申请公开一种用于检测恶意应用的方法及装置。该方法包括：获取待分析的应用文件；在至少一个虚拟系统上安装并运行所述应用文件，所述至少一个虚拟系统部署在云端；获取所述应用文件的运行数据。本公开提出的用于检测恶意应用的方法，能够快速检测应用是否为恶意应用，并灵活使用系统资源。

技术领域

本发明涉及计算机安全领域，具体而言，涉及一种用于检测恶意应用的方法及装置。

背景技术

近几年来，Android平台已经成为了一个非常流行的智能终端操作平台，并且占据了世界上超过一半的智能终端系统的市场份额。随着Android平台的发展，基于Android的恶意应用也发展迅猛。尽管Android系统相比苹果iOS系统和诺基亚的symbian系统更年轻，但是由于Android设备的广泛使用，以及其框架的开源，吸引了众多的数字犯罪团伙将Android设备做为主要的攻击对象。由于网络连接的多样性，Android设备很容易受到基于恶意应用的僵尸网络的攻击。

传统的检验Android系统上应用是否为恶意应用的方法可分为两种：一种是基于应用签名的恶意应用检测方法，另一种是基于应用行为的恶意应用检测方法。基于应用应用签名的恶意应用检测方法，一般可通过判断Android系统中各个应用之间签名是否一致，来寻找并判断恶意应用。基于应用行为的恶意应用检测方法，一般情况下，可通过获取在应用程序运行时，网络数据中tcp窗口大小、持续时间来寻找并判断恶意应用。但是现有的恶意软件检测灵敏度都不高，而且检测速度较慢。

因此，需要一种新的用于检测恶意应用的方法及装置。

在所述背景技术部分公开的上述信息仅用于加强对本发明的背景的理解，因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

有鉴于此，本发明提供一种用于检测恶意应用的方法及装置，能够快速检测应用是否为恶意应用，并灵活使用系统资源。

本发明的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本发明的实践而习得。

根据本发明的一方面，提出一种用于检测恶意应用的方法，该方法包括：获取待分析的应用文件；在至少一个虚拟系统上安装并运行应用文件，至少一个虚拟系统部署在云端；以及获取应用文件的运行数据。

在本公开的一种示例性实施例中，该方法还包括：通过多级分类算法对运行数据进行分析，得到恶意应用怀疑程度曲线。

在本公开的一种示例性实施例中，获取待分析的应用文件，包括：获取待分析的应用的apk文件。

在本公开的一种示例性实施例中，在至少一个虚拟系统上安装并运行应用文件，至少一个虚拟系统部署在云端，包括：判断应用文件是否已经经过恶意应用检测。

在本公开的一种示例性实施例中，获取应用文件的运行数据，包括：通过特征提取工具获取应用文件的运行数据。

在本公开的一种示例性实施例中，特征提取工具包括：Monky、Strace、Netflow、Logcat、sysdump以及wireshark中的至少一种。

在本公开的一种示例性实施例中，通过多级分类算法对数据进行分析，得到恶意应用怀疑程度曲线，包括：运行数据与训练集数据进行欧式距离相似性测量，得到相似性值；由相似性值与第一预定权重系数，得到恶意应用值；以及由相似性值与第二预定权重系数，得到僵尸网络值。

在本公开的一种示例性实施例中，通过多级分类算法对数据进行分析，得到恶意应用怀疑程度曲线，包括：由恶意应用值、僵尸网络值以及第三预定权重系数，得到恶意应用怀疑程度曲线。

在本公开的一种示例性实施例中，还包括：通过梯度算法与恶意应用怀疑程度曲线，确定应用所属的恶意应用类型。