[发明专利]手机病毒分析和威胁关联的方法和系统

说明书

提供了一种手机病毒分析和威胁关联的方法和系统。所述手机病毒分析和威胁关联的方法，包括：接收移动终端应用的信息文件；对接收的信息文件进行分析，以提取所述信息文件中的有关恶意行为的数据；从提取的有关恶意行为的数据提取键值对列表<数据源标识，威胁值>，其中，作为键值的数据源标识为所述信息文件的标识，威胁值为所述恶意行为的特征值；通过对键值对列表<数据源标识，威胁值>与病毒知识库数据进行多次MapReduce计算及匹配，生成生成列表<数据源标识，病毒关联数据列表>，其中，所述病毒关联数据列表中的每个项目包括病毒家族标识以及威胁值列表；以图形的形式输出所述列表<数据源标识，病毒关联数据列表>。

技术领域

本申请涉及一种手机病毒分析和威胁关联的方法和系统，尤其涉及一种通过对移动终端应用的多种信息数据进行分析及MapReduce计算来取得其深度的病毒威胁关联的技术。

背景技术

随着例如智能手机、平板电脑等的智能移动终端的广泛使用以及各种移动终端应用的推广，智能移动终端的安全问题成为移动互联网行业以及移动互联网用户最为重视的问题之一。2012年手机病毒的指数级增长是移动互联网安全的一个爆发点。根据统计，在2012年10月，手机病毒只有22万，而2013年上半年已经突破了100万。病毒的快速变换使传统杀毒软件很难检测它们，而手机电池寿命短使得无法使用传统的基于病毒行为的检测方法，导致现有的手机杀毒方法无法适应大量即将出现的病毒，检测效果将会下降。

另一方面，越来越多的用户使用自己的移动设备访问企业服务器、进行业务操作，甚至替换PC进行日常工作处理。此外，很多设备不受管理员的控制，这就意味着企业敏感数据没有受到企业现有遵从、安全及数据丢失防护等政策的约束。现有的企业手机应用保护方案仅仅检测手机应用商店里的软件是否有毒，然后让用户通过手机下载运行。然而目前普遍使用的安卓系统不是闭合的，比如中国手机应用不通过谷歌安卓商店，大家各自为营，造成病毒在开环的环境泛滥。上述的防范方法存在很大的漏洞。

通常在对例如智能手机的应用进行恶意软件的分析时，是对所述应用的程序代码（即apk文件）进行分析，提取有安全风险的函数/方法调用、内容以及软件行为的关联数据。然而，这种对应用执行静态分析的方法能够分析出的恶意威胁数据较为有限，无法捕捉更多在使用的过程中产生安全风险的行为以及产生不合理流量的行为的信息，也无法获得深度的病毒威胁关联数据。

发明内容

本发明的目的在于提供一种用于手机病毒分析和威胁关联的方法和系统，通过对移动终端应用的多种信息数据进行分析及多次MapReduce计算来取得多层次、深度的病毒威胁关联数据，以便于准确地识别移动终端应用涉及的病毒威胁以及威胁关联，利于确保移动终端应用的安全性。

根据本发明的一方面，提供一种手机病毒分析和威胁关联的方法，包括，在云端执行以下步骤：A）接收移动终端应用的信息文件；B）对接收的信息文件进行分析，以提取所述信息文件中的有关恶意行为的数据；C）根据提取的有关恶意行为的数据生成键值对列表<数据源标识，威胁值>，其中，作为键值的数据源标识为所述信息文件的标识，威胁值为所述恶意行为的特征值；D）对键值对列表<数据源标识，威胁值>与病毒知识库数据进行第一轮MapReduce计算及匹配，生成列表<威胁标识，威胁值列表>，其中，所述病毒知识库包括<病毒家族标识，威胁标识，至少一个威胁值>记录；E）对列表<威胁标识，威胁值列表>与病毒知识库数据进行第二轮第一阶段MapReduce计算及匹配，生成列表<威胁值，病毒家族标识列表>；F）对列表<威胁值，病毒家族标识列表>、键值对列表<数据源标识，威胁值>、列表<威胁标识，威胁值列表>以及病毒知识库数据进行第二轮第二阶段MapReduce计算及匹配，生成列表<数据源标识，病毒关联数据列表>，其中，所述病毒关联数据列表中的每个项目包括病毒家族标识以及威胁值列表；G）输出所述列表<数据源标识，病毒关联数据列表>。