本發(fā)明公開了一種異構(gòu)雙引擎檢測移動終端惡意代碼的方法，先使用靜態(tài)特征比對方法對被檢應用進行檢測，若未檢測出惡意代碼，再使用動態(tài)行為特征檢測方法進行檢測，所述動態(tài)行為特征檢測方法為：將被檢應用導入實體沙箱中進行行為仿真，搜集被檢應用在實體沙箱中產(chǎn)生的所有行為并分析，判斷所有行為中是否包含有惡意行為，若有惡意行為，且惡意行為的惡意度超出設定閾值，則判定被檢應用中含有惡意代碼。本發(fā)明的目的在于解決現(xiàn)有技術(shù)中存在的上述問題，提供一種異構(gòu)雙引擎檢測移動終端惡意代碼的方法，本發(fā)明通過采用異構(gòu)雙引擎的雙重檢測方法全方位地檢測惡意代碼，能夠明顯提升惡意代碼的檢測效率和檢測準確率。

技術(shù)領域

本發(fā)明屬于信息安全技術(shù)領域，具體地說涉及一種異構(gòu)雙引擎檢測移動終端惡意代碼的方法，該檢測方法主要用于對移動終端系統(tǒng)中的應用程序進行檢測。

背景技術(shù)

隨著移動互聯(lián)網(wǎng)的快速發(fā)展，惡意代碼的種類增多、傳播速度增快和影響范圍逐漸增大。惡意代碼已經(jīng)成為威脅智能移動終端信息安全和系統(tǒng)安全的重要因素，因此研制更加高效的惡意代碼檢測技術(shù)是所有移動終端安全策略中的重要環(huán)節(jié)。

目前，現(xiàn)有的常規(guī)移動終端惡意代碼檢測技術(shù)大部分都是采用靜態(tài)特征比對方法來識別惡意代碼程序，主要是利用已知的惡意代碼樣本，通過抽取其二進制指令特征來建立惡意代碼特征庫，在進行惡意代碼檢測的時候通過將待檢測文件的指令特征和惡意代碼特征庫進行對比，以此來判斷文檔片段是否為惡意代碼。每當有新種類的惡意代碼發(fā)布后，就將該類特征追加到惡意代碼特征庫中。這種方式具有檢測速度快、準確率高、可識別惡意代碼名稱、誤報率低的優(yōu)點，但由于其檢測原理造成了其存在著應急響應滯后、對未知新惡意代碼無法處理、以及因特征庫容量不斷增加而導致檢索開銷的技術(shù)問題。

發(fā)明內(nèi)容

本發(fā)明的目的在于解決現(xiàn)有技術(shù)中存在的上述問題，提供一種異構(gòu)雙引擎檢測移動終端惡意代碼的方法，本發(fā)明通過采用異構(gòu)雙引擎的雙重檢測方法全方位地檢測惡意代碼，能夠明顯提升惡意代碼的檢測效率和檢測準確率。

為實現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案如下：

一種異構(gòu)雙引擎檢測移動終端惡意代碼的方法，其特征在于：先使用靜態(tài)特征比對方法對被檢應用進行檢測，若未檢測出惡意代碼，再使用動態(tài)行為特征檢測方法進行檢測，所述動態(tài)行為特征檢測方法為：將被檢應用導入實體沙箱中進行行為仿真，搜集被檢應用在實體沙箱中產(chǎn)生的所有行為并分析，判斷所有行為中是否包含有惡意行為，若有惡意行為，且惡意行為的惡意度超出設定閾值，則判定被檢應用中含有惡意代碼。

所述的檢測方法為靜態(tài)特征比對方法與動態(tài)行為特征檢測方法配合依次對移動終端中的被檢應用進行檢測。

所述的檢測方法為先使用靜態(tài)特征比對方法依次對移動終端中的被檢應用進行檢測后，再使用動態(tài)行為特征檢測方法依次或同時對未檢測出惡意代碼的被檢應用進行檢測，且同時進行檢測時，實體沙箱的數(shù)量與被檢應用的數(shù)量相同。

所述的分析包括對單個行為的分析和對多個組合行為的分析。

所述的惡意行為包括如下一種或任意幾種的組合：

（1）是否有對系統(tǒng)的關鍵文件進行篡改；

（2）是否有靜默發(fā)送短信；

（3）是否有惡意搜集用戶的隱私數(shù)據(jù)，所述隱私數(shù)據(jù)包括通話記錄、通訊錄、短信記錄和麥克風監(jiān)聽；

（4）是否有惡意消耗系統(tǒng)資源，造成系統(tǒng)崩潰；

（5）是否有與惡意IP有通訊行為；

（6）是否有與惡意URL有通訊行為；

（7）是否有與惡意域名有通訊行為。

所述實體沙箱為手機，且手機系統(tǒng)與被檢移動終端系統(tǒng)相同。

采用本發(fā)明的優(yōu)點在于：