一種嵌入式Linux系統惡意程序檢測方法及裝置，所述方法包括使用動靜態結合的方式提取待檢測應用程序的第一特征集與第二特征集；將所述第一特征集中包含的特征與惡意程序特征庫中的惡意程序特征進行匹配，判斷待檢測應用程序是否為已知惡意程序，所述惡意程序特征庫中包含已知惡意程序及其特征的對應關系；若否，將所述第二特征集中的特征輸入預設的惡意程序預測模型中，判斷待檢測應用程序是否為未知惡意程序。該方法使用動靜態檢測技術，結合特征值匹配和機器學習方法，可以實現快速、高效、精準的檢測效果。

技術領域

本發明涉及發電設備控制領域，具體涉及一種基于特征庫與機器學習的嵌入式Linux系統惡意程序檢測方法。

背景技術

嵌入式Linux系統因其適用性強、可塑性強，近年來已成為當今主流的移動系統，隨著互聯網、物聯網等技術在各行各業的滲透和普及，對嵌入式Linux系統的應用動態升級更新要求越來越高，在嵌入式Linux之上基于嵌入式JVM構建的應用程序框架體系已經成為業界主流選擇。然而，由于嵌入式Linux和JVM的開放性，以及安全監測和審核機制的延后，惡意應用程序可能滲透到智能終端，威脅用戶信息安全。

因此，面向嵌入式Linux系統應用的惡意程序檢測系統亟待出現。檢測系統應基于已有的惡意程序樣本對未知應用進行分析，自動、高效地檢測目標應用是否為惡意軟件或存在惡意行為，并生成可解釋的檢測結果。既可以幫助終端安全監測機構快速完成發布智能終端軟件更新升級的安全審核，同時可以在終端用戶動態加載應用前給出安全建議，減輕甚至避免惡意程序造成的危害。

現有的惡意應用程序檢測方法主要依賴于特征提取技術和分類模型的結合使用，其中根據特征提取技術的不同可以分為基于靜態特征的檢測方法、基于動態特征的檢測方法和基于混合特征的檢測方法：1)基于靜態特征的檢測方法通過反編譯工具提取應用程序的代碼和配置文件，具有速度快、成本低的優勢。但是部分惡意應用會使用混淆、加密、加固等方式逃避靜態檢測工具的分析。2)基于動態特征的檢測方法獲取應用運行時的特征，通過讀取系統相關文件、root系統等方式監測應用的API調用、網絡流量、系統組件狀態等信息，進一步分析應用的惡意性。其缺點是需要真實運行目標應用，速度較慢、成本更高。3)基于混合特征的檢測方法結合靜態特征和動態特征對應用程序進行綜合判斷，雖然可以取得較高的惡意應用識別率，但是考慮到在動靜態特征基礎上如何建立更加高效的惡意程序檢測方法，從而快速有效提取應用特征并及時得出用戶易理解的檢測結果，依舊有較大的改進空間。

發明內容

(一)發明目的

本發明的目的在于提供一種嵌入式Linux系統惡意程序檢測方法及裝置，該方法使用動靜態檢測技術，惡意應用特征庫構建與匹配和機器學習方法，可以實現快速、高效、精準的檢測效果。

(二)技術方案

為解決上述問題，本發明的第一方面提供了一種嵌入式Linux系統惡意程序檢測方法，包括：

基于靜態分析和動態分析結合的方式，提取待檢測應用程序的第一特征集與第二特征集，其中，所述第一特征集中可包含多個可擴展特征，將被用于與特征庫中所記載特征進行匹配，第二特征集將被用于送入惡意程序預測模型以進一步排查；

將所述第一特征集中包含的特征與惡意程序特征庫中的惡意程序特征進行匹配，判斷待檢測應用程序是否為已知惡意程序。對于一個未知的應用，如果其行為特征與特征庫內數據相匹配，則可被認為是惡意程序。該惡意程序特征庫是上一步中所提的提取方法對已知惡意程序的惡意特征進行積累而建立。

若匹配成功，則可依據匹配結果生成檢測報告，以警示該應用中的存在惡意威脅；

若否，將所述第二特征集中的特征輸入預設的惡意程序預測模型中，判斷待檢測應用程序是否為未知惡意程序。