[发明专利]用于确定未知应用的安全等级的系统和方法

说明书

本申请描述了一种用于采用训练分类模型确定针对未知应用的安全等级的系统和方法。本申请描述了一种用于训练分类模型的系统和方法，这样，分类模型可随后用于确定未知应用是否被归类为恶意的和/或良性的。

技术领域

本发明涉及一种用于确定安全等级的系统和方法。

背景技术

目前，基于Linux的操作系统，例如，Android操作系统，广泛应用在移动设备、智能手机、平板电脑以及便携式电脑中。针对此类操作系统而开发的应用通常在Java中进行开发，并存在于操作系统的应用层。通常，操作系统中的每个应用均包括4种组件类型。第一种组件类型为定义应用的用户界面的活动组件，第二种组件类型为进行后台处理的业务组件，第三种组件类型为采用相关数据库接口存储并共享数据的内容提供商组件，第四种组件类型是为来自其他应用的消息充当邮箱的广播接收机组件。

当一个组件要和另一个组件通信时，操作系统通常会在这两个组件之间发起组件间通信(inter-component communication，ICC)流程。需要注意的是，组件间通信并不仅限于存在于单个应用上的组件之间的通信，还可以用于促进两个不同应用上的组件之间的交互。为了促进ICC流程，采用了称为意图(Intent)的消息对象。通常有两种意图类型：显式意图和隐式意图。

显式意图指定了目标的应用程序包和类别名称。特别地，显式意图包含了目标组件的目的地或地址。这样，数据将会通过显式意图从发起组件发送到目标组件。对于隐式意图而言，一个隐式意图只指定了意图的动作、种类或数据字段，由操作系统确定哪一个应用或组件将会接收该意图。为了使组件能够接收隐式意图，必须为应用的清单文件或源文件中的组件指定意图过滤器。特别地，意图过滤器将会描述应由操作系统下发至组件的意图的动作、种类或者数据字段。

尽管基于Linux的操作系统受到沙盒机制以及各种权限机制保护，但是此类操作系统仍然容易受到各种恶意软件的攻击，例如，代码注入、返回导向编程(return-orientedprogramming，ROP)以及权限提升攻击。这是由于操作系统的用户能够向其移动设备中安装各种应用，既有来自官方的，也有来自非官方的。一旦安装进用户的设备后，此类恶意软件能够运用其自身的权限来利用其他应用的特殊权限，以获得并使用该设备上包含的敏感数据。一个普通的恶意软件攻击通常会导致移动设备上包含的个人联系人和个人照片被盗，以及电子邮件和社交媒体账户遭到泄密。为了降低此类恶意软件的危害，已经提出了各种解决方法。

一种已经研发出的用以解决上述问题的解决方案包括：在操作系统中安装安全业务，以进行轻度恶意软件检测。在允许安装新应用到操作系统中之前，该安全业务会对该应用的配置进行评估。这是通过根据一套安全规则对该应用的配置进行评估来完成的。如果该应用的配置没有通过该安全检查，则安全业务将会阻止该应用安装到操作系统中。这类安全业务的缺点是：难以形成和维护能够检测各种类型恶意软件的更新的安全规则数据库。

鉴于以上原因，本领域的技术人员正在不断努力寻求找到一种不依赖于安全规则配置、声明权限检查或敏感应用编程接口监控的系统和方法。

发明内容

通过本发明实施例提供的系统和方法，解决了上述问题，并使现有技术取得了进步。

本发明第一方面，提供了一种用于确定未知应用的安全等级的方法，所述方法包括以下步骤：从所述未知应用中提取组件间通信源宿端；解析所提取的组件间通信源宿端，以获得组件间通信相关属性以及对应于每个所获得的组件间通信相关属性的值；采用所述所获得的组件间通信相关属性、所述对应于每个所获得的组件间通信相关属性的值以及预设的属性矢量，生成行为模式；将所述生成的未知应用的行为模式与分类模型中包含的破坏性行为模式进行对比，以确定所述未知应用的安全等级。