[發明專利]嵌入式Linux系統惡意程序檢測方法及裝置在審
| 申請號: | 202010952166.9 | 申請日: | 2020-09-11 |
| 公開(公告)號: | CN112084497A | 公開(公告)日: | 2020-12-15 |
| 發明(設計)人: | 胡東方;王軍;韓林峰;王文浩;方旭;薛晨光;張田田;潘智斌;劉佳易;楊帥;張建民;楊艷芳;盧健生;譚沛然;張美玲;肖春;王微榮 | 申請(專利權)人: | 國網山西省電力公司營銷服務中心;河南許繼儀表有限公司;許繼集團有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 北京中政聯科專利代理事務所(普通合伙) 11489 | 代理人: | 朱曉娟 |
| 地址: | 030032 山西省太原市唐*** | 國省代碼: | 山西;14 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 嵌入式 linux 系統 惡意程序 檢測 方法 裝置 | ||
1.一種嵌入式Linux系統惡意程序檢測方法,其特征在于,包括:
基于靜態分析和動態分析結合的方式,提取待檢測應用程序的第一特征集與第二特征集;
將所述第一特征集中包含的特征與惡意程序特征庫中的惡意程序特征進行匹配,判斷待檢測應用程序是否為已知惡意程序,所述惡意程序特征庫中包含已知惡意程序及其特征的對應關系;
若否,將所述第二特征集中的特征輸入預設的惡意程序預測模型中,判斷待檢測應用程序是否為未知惡意程序。
2.根據權利要求1所述的嵌入式Linux系統惡意程序檢測方法,其特征在于,所述第一特征集中包括代碼特征和敏感信息特征,所述代碼特征包括程序類名、程序包名、JVM執行文件的MD5值、程序的方法名稱,所述敏感信息特征包括郵箱地址、手機號、密碼、URL地址。
3.根據權利要求1所述的嵌入式Linux系統惡意程序檢測方法,其特征在于,所述第二特征集中包含以下特征:
硬件組件、請求的權限、申請的組件、意圖過濾器、受限API調用、使用的權限、可疑的API調用、網絡地址、郵箱地址。
4.根據權利要求1所述的嵌入式Linux系統惡意程序檢測方法,其特征在于,還包括:
若待檢測應用程序為已知惡意程序,則根據對應的已知惡意程序特征集生成惡意程序檢測報告;
若待檢測應用程序為未知惡意程序,則根據對判斷結果的影響權重選擇對應的未知惡意程序特征集,根據選擇的未知惡意程序特征集生成惡意程序檢測報告。
5.根據權利要求4所述的嵌入式Linux系統惡意程序檢測方法,其特征在于,所述惡意程序檢測報告中包含:
惡意程序名稱;
惡意程序類型;
惡意程序主要行為;以及
惡意程序匹配到的郵箱地址、手機號、密碼和/或URL地址。
6.根據權利要求1所述的嵌入式Linux系統惡意程序檢測方法,其特征在于,所述惡意程序特征庫的建立方法,包括:
基于開源威脅情報平臺提供的數據,獲取已知的惡意程序應用的特征信息;
根據獲取的特征信息,建立惡意程序及其特征的對應關系,形成所述惡意程序特征庫。
7.根據權利要求1所述的嵌入式Linux系統惡意程序檢測方法,其特征在于,所述惡意程序預測模型的建立方法,包括:
以訓練樣本的特征集作為輸入,訓練樣本的屬性作為輸出,對基于支持向量機的初始預測模型進行訓練,得到初始惡意程序預測模型,所述訓練樣本的屬性包括惡意樣本和非惡意樣本;
以測試樣本的特征集作為輸入,測試樣本的屬性作為輸出,對初始惡意程序預測模型進行校正,得到所述惡意程序預測模型。
8.根據權利要求1所述的嵌入式Linux系統惡意程序檢測方法,其特征在于,所述基于靜態特征和動態特征結合的方式,提取待檢測應用程序的第一特征集與第二特征集,包括:
通過反編譯工具獲取待檢測應用程序的目標靜態特征;
在真實設備上運行待檢測應用,使用自動化工具發送用戶事件流模擬用戶操作,觸發待檢測應用真實行為,通過嵌入式Linux底層驅動監控與所述待檢測應用相關的系統調用信息并記錄待檢測應用運行時的相關數據,得到待檢測應用程序的目標動態特征;
根據所述目標動態特征和目標靜態特征,生成所述第一特征集和第二特征集。
9.一種嵌入式Linux系統惡意程序檢測裝置,其特征在于,包括:
特征提取模塊,用于基于靜態分析和動態分析結合的方式,提取待檢測應用程序的第一特征集與第二特征集;
第一判斷模塊,用于將所述第一特征集中包含的特征與惡意程序特征庫中的惡意程序特征進行匹配,判斷待檢測應用程序是否為已知惡意程序,所述惡意程序特征庫中包含已知惡意程序及其特征的對應關系;
第二判斷模塊,用于若否,則將所述第二特征集中的特征輸入預設的惡意程序預測模型中,判斷待檢測應用程序是否為未知惡意程序。
10.根據權利要求9所述的嵌入式Linux系統惡意程序檢測裝置,其特征在于,所述第一特征集中包括代碼特征和敏感信息特征,所述代碼特征包括程序類名、程序包名、JVM執行文件的MD5值、程序的方法名稱,所述敏感信息特征包括郵箱地址、手機號、密碼、URL地址。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于國網山西省電力公司營銷服務中心;河南許繼儀表有限公司;許繼集團有限公司,未經國網山西省電力公司營銷服務中心;河南許繼儀表有限公司;許繼集團有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010952166.9/1.html,轉載請聲明來源鉆瓜專利網。
