本發(fā)明提供一種基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的檢測(cè)方法及系統(tǒng)，包括應(yīng)用程序預(yù)處理模塊、應(yīng)用程序依賴圖構(gòu)建模塊、敏感信息標(biāo)記模塊、敏感信息傳播模塊、導(dǎo)引信息提取模塊、符號(hào)化執(zhí)行模塊和檢測(cè)模塊；通過(guò)將應(yīng)用程序行為的敏感信息與惡意節(jié)點(diǎn)二叉樹中的相似節(jié)點(diǎn)進(jìn)行對(duì)比，并分析此惡意節(jié)點(diǎn)下的所有子類，并在應(yīng)用程序行為的敏感信息與系統(tǒng)預(yù)配置的信息相同時(shí)，判斷應(yīng)用程序行為是惡意行為。本發(fā)明的基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的檢測(cè)方法及系統(tǒng)對(duì)符號(hào)執(zhí)行技術(shù)進(jìn)行改進(jìn)，引入導(dǎo)向性符號(hào)執(zhí)行技術(shù)，使符號(hào)執(zhí)行技術(shù)有很大的擴(kuò)展性；大幅縮短惡意行為檢測(cè)過(guò)程的耗時(shí)；將遺漏應(yīng)用程序惡意行為的風(fēng)險(xiǎn)降到最低。

技術(shù)領(lǐng)域

本發(fā)明涉及一種惡意行為搜索方法及系統(tǒng)，特別是涉及一種基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的檢測(cè)方法及系統(tǒng)。

背景技術(shù)

隨著移動(dòng)終端的不斷發(fā)展與普及，其已經(jīng)成為人們?nèi)粘Ｉ畈豢苫蛉钡牟糠帧Ｈ藗兺ㄟ^(guò)移動(dòng)終端進(jìn)行網(wǎng)絡(luò)連接的操作越來(lái)越頻繁。與此同時(shí)，一些惡意分子開發(fā)自動(dòng)訪問程序來(lái)自動(dòng)地在移動(dòng)終端上進(jìn)行惡意扣費(fèi)、隱私竊取、遠(yuǎn)程控制、惡意傳播、資費(fèi)消耗、系統(tǒng)破壞、誘騙欺詐、流氓行為等自動(dòng)化惡意行為。因此，針對(duì)惡意行為的檢測(cè)越來(lái)越迫在眉睫。

現(xiàn)有技術(shù)中，如申請(qǐng)?zhí)枮?01310394868.X、發(fā)明名稱為《一種檢測(cè)惡意行為的方法及裝置》的中國(guó)發(fā)明專利公開一種檢測(cè)惡意行為的方法，所述方法包括：接收終端待執(zhí)行的操作的操作請(qǐng)求消息，所述操作請(qǐng)求消息中攜帶用戶的用戶標(biāo)識(shí)和所述待執(zhí)行的操作的操作標(biāo)識(shí)；根據(jù)所述用戶標(biāo)識(shí)，從已存儲(chǔ)的用戶標(biāo)識(shí)與操作路徑的對(duì)應(yīng)關(guān)系中獲取對(duì)應(yīng)的操作路徑，所述操作路徑是由所述終端在離當(dāng)前時(shí)間最近的預(yù)設(shè)時(shí)間段之內(nèi)已執(zhí)行的操作的操作標(biāo)識(shí)構(gòu)成的；在所述操作路徑包括的最后一個(gè)操作標(biāo)識(shí)之后串聯(lián)所述待執(zhí)行的操作的操作標(biāo)識(shí)，構(gòu)成所述待執(zhí)行的操作當(dāng)前所在的操作路徑；根據(jù)已存儲(chǔ)的惡意操作路徑集合和所述待執(zhí)行的操作當(dāng)前所在的操作路徑，判斷所述待執(zhí)行的操作是否為惡意行為。

然而，現(xiàn)有的惡意行為檢測(cè)方法操作較為復(fù)雜，導(dǎo)致檢測(cè)時(shí)間過(guò)長(zhǎng)，且檢測(cè)結(jié)果的準(zhǔn)確度不高。

符號(hào)執(zhí)行(Symbolic Execution)是一種程序分析技術(shù)，其通過(guò)將程序?qū)嶋H輸入替換為符號(hào)輸入，將程序運(yùn)行狀態(tài)表示為符號(hào)輸入的約束條件，并利用該約束條件遍歷軟件所有執(zhí)行路徑。由于符號(hào)執(zhí)行技術(shù)具有最大遍歷軟件行為的能力、以及代碼覆蓋面大等特點(diǎn)，因此能夠用于檢測(cè)軟件惡意行為。

但是，符號(hào)執(zhí)行技術(shù)具有可擴(kuò)展性差、執(zhí)行時(shí)間長(zhǎng)等制約，不能快速的分析應(yīng)用行為。因此需要對(duì)該技術(shù)進(jìn)行改進(jìn)以滿足移動(dòng)終端應(yīng)用程序分析的需要。

發(fā)明內(nèi)容

鑒于以上所述現(xiàn)有技術(shù)的缺點(diǎn)，本發(fā)明的目的在于提供一種基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的檢測(cè)方法及系統(tǒng)，對(duì)移動(dòng)終端上應(yīng)用程序進(jìn)行基于導(dǎo)向性符號(hào)的惡意行為搜索，從而能夠快速的對(duì)應(yīng)用程序行為進(jìn)行分析，將遺漏應(yīng)用程序惡意行為的風(fēng)險(xiǎn)降到最低。

為實(shí)現(xiàn)上述目的及其他相關(guān)目的，本發(fā)明提供一種基于導(dǎo)向性符號(hào)的移動(dòng)終端惡意行為的檢測(cè)方法及系統(tǒng)，包括應(yīng)用程序預(yù)處理模塊、應(yīng)用程序依賴圖構(gòu)建模塊、敏感信息標(biāo)記模塊、敏感信息傳播模塊、導(dǎo)引信息提取模塊、符號(hào)化執(zhí)行模塊和檢測(cè)模塊；所述應(yīng)用程序預(yù)處理模塊用于在應(yīng)用程序安裝時(shí)，對(duì)應(yīng)用程序進(jìn)行預(yù)處理，以獲取應(yīng)用程序的相關(guān)信息；所述應(yīng)用程序依賴圖構(gòu)建模塊用于構(gòu)建應(yīng)用程序權(quán)限的依賴關(guān)系；所述敏感信息標(biāo)記模塊用于標(biāo)記應(yīng)用程序行為的敏感信息；所述敏感信息傳播模塊用于傳播應(yīng)用程序的敏感信息；所述導(dǎo)引信息提取模塊用于將傳播的敏感信息按類引導(dǎo)到相應(yīng)的特征和行為權(quán)限；所述符號(hào)化執(zhí)行模塊用于將傳播的敏感信息與惡意節(jié)點(diǎn)二叉樹中的相似節(jié)點(diǎn)進(jìn)行對(duì)比，并分析此惡意節(jié)點(diǎn)下的所有子類，其中惡意節(jié)點(diǎn)二叉樹通過(guò)二叉樹的形式對(duì)惡意行為進(jìn)行逐層描述，每個(gè)惡意節(jié)點(diǎn)表示惡意行為的系統(tǒng)預(yù)配置的信息；檢測(cè)模塊用于在應(yīng)用程序行為的敏感信息與系統(tǒng)預(yù)配置的信息相同時(shí)，判斷應(yīng)用程序行為是惡意行為。