[发明专利]一种自动化判定样本恶意性的检测方法和装置

摘要

本发明提出一种自动化判定样本恶意性的检测方法，包括以下步骤：获取样本并反编译为源码文件；遍历源码文件，根据预设规则对源码文件进行API匹配，若源码文件存在敏感特征API，则定位该敏感特征API；根据每个敏感特征API回溯敏感调用链；根据敏感调用链及预设的规则判断样本行为的主被动性；当样本行为具有被动性时，判断样本具有恶意性。本发明能自动检测恶意代码，具有检测效率高、检测准确率高的特点。另外，通过对每个敏感特征API回溯敏感调用链，可以帮助分析人员理清整个样本的引用关系，有利于总结出更多恶意代码规则，从而进一步提升恶意代码检测准确度。本发明还公开了一种自动化判定样本恶意性的检测系统。 1

主权项

1.一种自动化判定样本恶意性的检测方法，其特征在于，包括以下步骤：

获取样本并反编译为源码文件；

遍历源码文件，根据预设规则对源码文件进行API匹配，若源码文件存在敏感特征API，则定位该敏感特征API；

根据每个敏感特征API回溯敏感调用链；

根据敏感调用链及预设的规则判断样本行为的主被动性；

当样本行为具有被动性时，判断样本具有恶意性。

2.如权利要求1所述的检测方法，其特征在于，在定位该敏感特征API及根据每个敏感特征API回溯敏感调用链之间还对已命中的敏感特征API按照预设规则进行筛选，筛选出直接执行敏感行为的API。

3.一种自动化判定样本恶意性的检测装置，其特征在于，该装置包括获取模块、定位模块、回溯模块、判断模块，其中：

获取模块，用于获取样本并反编译为源码文件；

定位模块，用于遍历源码文件，根据预设规则对源码文件进行API匹配，若源码文件存在敏感特征API，则定位该敏感特征API；

回溯模块，用于根据每个敏感特征API回溯敏感调用链；

判断模块，用于根据敏感调用链及预设的规则判断样本行为的主被动性，当样本行为具有被动性时，判断样本具有恶意性。

4.如权利要求1所述的检测方法或如权利要求3所述的检测装置，其特征在于，根据预设规则对源码文件进行API匹配的方法包括：构建敏感特征API字典及与各敏感特征API对应的敏感特征权限库，遍历源码文件，根据敏感特征API字典及敏感特征权限库进行API匹配。

5.如权利要求1所述的检测方法或如权利要求3所述的检测装置，其特征在于，定位源码文件敏感特征API的方法包括：以方法为单位循环遍历源码文件并查找匹配敏感特征的API字符串，若在某方法中存在被命中的敏感特征API字符串，即返回该方法的索引和方法签名。

6.如权利要求1所述的检测方法或如权利要求3所述的检测装置，其特征在于，回溯敏感调用链的方法包括：以敏感特征API为根节点，在源码文件范围内遍历查找所有引用过该API的方法，完成一级调用链回溯；通过递归查找上级引用，一级一级地向上回溯，直至找到调用链源头，完成从该API出发的所有调用链的还原。

7.如权利要求1所述的检测方法或如权利要求3所述的检测装置，其特征在于，根据敏感调用链及预设的规则判断样本行为的主被动性的方法包括：

构建主动、被动触发特征库；

以主动、被动特征库中的特征量对每条敏感调用链中的每个节点做遍历匹配，若敏感调用链的节点中存在主动特征量，则将该条调用链划归主动行为链；若敏感调用链的节点中存在被动特征量，且从根节点直至源头未发现主动特征量，则将其划归被动行为链。

8.如权利要求7所述的检测方法，其特征在于，以主动、被动特征库中的特征量对每条敏感调用链中的每个节点做遍历匹配时还分别对主动特征量、被动特征量赋予权重，根据预设值判断调用链为主动行为链或被动行为链。

9.如权利要求7所述的检测装置，其特征在于，以主动、被动特征库中的特征量对每条敏感调用链中的每个节点做遍历匹配时还分别对主动特征量、被动特征量赋予权重，根据预设值判断调用链为主动行为链或被动行为链。

10.如权利要求3所述的检测装置，其特征在于，所述定位模块，还用于在定位该敏感特征API后还对已命中的敏感特征API按照预设规则进行筛选，筛选出直接执行敏感行为的API。