[发明专利]威胁情报分析方法和装置

说明书

本公开提供一种威胁情报分析方法和装置，涉及移动应用安全领域。其中威胁情报分析装置通过对待检测的应用样本进行分析以得到可疑特征，根据可疑特征在样本库中进行检索，以得到具有可疑特征的恶意应用，提取与恶意应用相关联的攻击特征，根据攻击特征生成相应的威胁情报分析报告。本公开通过大数据的角度对应用进行威胁情报分析，从而实现以动态的手段对抗变换的威胁。

技术领域

本公开涉及通信领域，特别涉及一种威胁情报分析方法和装置。

背景技术

移动互联网的高速发展不可避免的引发各类新兴安全风险，针对移动用户的流量资费，个人隐私，金融资产，商业情报乃至国家机密等重要信息资源的窃取，给信息安全带来了极大的隐患。

2016年监测到的感染移动恶意程序的用户达到2292万，其中Android(安卓)平台1575万。在Android应用数据交互所包含的恶意行为中，排在前四位的是隐私窃取、恶意扣费、资费消耗和流氓行为，表现出明显的逐利倾向，从而移动应用APP数据交互方面的安全性面临巨大挑战。

在传统的Android应用安全测试方案中，人们多倾向于利用分析工具收集Android应用的威胁情报。事实上，利用这种检测方式得到的结果仅仅是静态的，无法对抗变化的威胁。

发明内容

本公开的实施例解决的一个技术问题是：利用分析工具收集到的威胁情报是静态结果，无法对抗变化的威胁。

根据本公开的一个或多个实施例的一个方面，提供一种威胁情报分析方法，包括：

获取待检测的应用样本；

对应用样本进行分析，以得到可疑特征；

根据可疑特征在样本库中进行检索，以得到具有可疑特征的恶意应用；

提取与恶意应用相关联的攻击特征；

根据攻击特征生成相应的威胁情报分析报告。

可选地，对应用样本进行分析包括以下的至少一种情况：

对应用样本的图标进行分析，将与指定图标相似的相似图标作为可疑特征；

对应用样本的证书进行分析，将重复签名作为可疑特征；

对应用样本的链接进行分析，将恶意链接作为可疑特征。

可选地，检索恶意应用包括以下的至少一种情况：

将具有相似图标的全部应用作为恶意应用；

将具有重复签名的全部应用作为恶意应用；

将具有恶意链接的全部应用作为恶意应用。

可选地，上述方法还包括：

将待检测的应用样本添加到样本库中；

将可疑特征进行标识，以便对样本库进行更新。

根据本公开的一个或多个实施例的另一个方面，提供一种威胁情报分析装置，包括：

获取模块，被配置为获取待检测的应用样本；

分析模块，被配置为对应用样本进行分析，以得到可疑特征；

检索模块，被配置为根据可疑特征在样本库中进行检索，以得到具有可疑特征的恶意应用；

攻击特征提取模块，被配置为提取与恶意应用相关联的攻击特征；

分析报告生成模块，被配置为根据攻击特征生成相应的威胁情报分析报告。