[发明专利]一种自动化判定样本恶意性的检测方法和装置

说明书

本发明提出一种自动化判定样本恶意性的检测方法，包括以下步骤：获取样本并反编译为源码文件；遍历源码文件，根据预设规则对源码文件进行API匹配，若源码文件存在敏感特征API，则定位该敏感特征API；根据每个敏感特征API回溯敏感调用链；根据敏感调用链及预设的规则判断样本行为的主被动性；当样本行为具有被动性时，判断样本具有恶意性。本发明能自动检测恶意代码，具有检测效率高、检测准确率高的特点。另外，通过对每个敏感特征API回溯敏感调用链，可以帮助分析人员理清整个样本的引用关系，有利于总结出更多恶意代码规则，从而进一步提升恶意代码检测准确度。本发明还公开了一种自动化判定样本恶意性的检测系统。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种自动化判定样本恶意性的检测方法和装置。

背景技术

移动互联网近几年的迅猛发展，带来的是平台安全问题的与日俱增。尤以Android平台最为突出，其生态圈繁荣的表象之下，是潜藏着的以巨额利益为驱动的黑色产业链。

在多年来的相互对抗中，黑色产业滋生出的恶意应用对抗程度不断升级，。与此相对的是，安全分析人员手中的工具未曾有过实质性优化，更多的还是依靠自身能力和素质，导致从整个行业的角度观察，安全分析从业者都处在劣势一方。

目前针对移动平台恶意应用的分析工作基本是人工借助IDA、JEB等静态反编译工具对恶意样本的dex等文件进行逆向，从反编译代码中找到执行恶意行为的具体代码，并搜集相关恶意数据的过程。以JEB为例，分析人员如果想要找出一个样本中所有的恶意行为，就需要全局搜索敏感API字符串，如果敏感API在样本中出现多次，则需单步顺序遍历。

这种方法主要面临以下问题：

第一，分析人员需要对样本有一个预判，大概知道这个样本干了些什么。如果一个分析人员不能事先确定样本可能存在的恶意行为，那他就需要想尽所有可能的敏感API，然后一一尝试全局查找。即便这样，仍有很大可能出现遗漏，因为决定一种恶意行为执行的敏感API往往有很多，有的单个出现，有的组合出现，还需要配合以敏感权限的认定，分析人员很难做到算无遗策。

第二，也就是敏感API在样本中出现多次的情况，这时候需要人工单步去遍历。如果敏感API较多，有时连遍历完了都难以发觉。如果一个样本里同时又有多个恶意行为，每个恶意行为又存在多种敏感API表现形式，情况就会更加棘手。

第三，与定位样本中所有出现过的敏感API相比，更大的挑战是从这些API出发回溯敏感调用链。面对庞杂的引用关系网，如果分析人员不具备丰富的经验和足够深厚的功力，势必迷失在其中。

针对恶意代码检索、分析过程中可能遇到的种种困难，实有必要提出了一种自动化判定样本恶意性的方法，以避免人工遍历反编译源码、定位高风险敏感API等方法的弊端。自动追踪回溯敏感调用链并通过判断用户是否参与决策敏感行为的执行以判定样本恶意性的方法。

发明内容

本发明的目的在于提供一种自动化判定样本恶意性的检测方法和装置，能有效解决人工分析可能造成误判、检测效率低的问题。

为了实现上述目的，本发明公开了一种自动化判定样本恶意性的检测方法，包括以下步骤：

获取样本并反编译为源码文件；

遍历源码文件，根据预设规则对源码文件进行API匹配，若源码文件存在敏感特征API，则定位该敏感特征API；

根据每个敏感特征API回溯敏感调用链；

根据敏感调用链及预设的规则判断样本行为的主被动性；

当样本行为具有被动性时，判断样本具有恶意性。