[发明专利]恶意行为检测方法、移动终端及存储介质

说明书

本发明公开了一种恶意行为检测方法，通过对恶意应用程序样本进行静态解析和动态解析，以获取恶意应用程序样本对应的静态信息和动态信息；然后基于静态信息和动态信息，挖掘各个种族恶意应用程序样本的组件特征、函数调用特征、以及系统调用特征；之后基于挖掘出的组件特征、函数调用特征、以及系统调用特征，识别恶意应用程序。本发明还公开了一种移动终端及存储介质。本方法在恶意应用多维分类的基础上，挖掘组件特征、函数调用特征及系统调用特征，并基于所挖掘的特征，识别恶意应用程序，重视权限之间的关联性，以及权限与应用程序的具体行为之间的关联性，有效保证终端设备的安全性，提升了用户体验。

技术领域

本发明涉及智能终端安全技术领域，尤其涉及一种恶意行为检测方法、移动终端及存储介质。

背景技术

随着Android系统的普及，Android用户的数量日益增多，已占据智能终端市场的绝大部分比例。而大量的用户亦代表有大量有价值的用户隐私信息，因此存在越来越多的恶意应用程序，对用户终端安全造成威胁。要保证用户终端设备的安全，需要终端系统能够快速准确识别恶意应用程序，这也是提升用户体验的关键环节。

传统的恶意应用程序检测方法，一般对应用程序的权限信息进行检查，而忽略了权限之间的关联性，以及权限与应用程序的具体行为之间的关联性，从而仅限于通过分析独立的权限请求以获取判断结果。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种恶意行为检测方法、移动终端及存储介质，旨在解决现有方法无法对权限之间的关联性和权限与行为之间的关联性进行检查的技术问题。

为实现上述目的，本发明提供一种恶意行为检测方法，所述恶意行为检测方法包括以下步骤：

对恶意应用程序样本进行静态解析和动态解析，以获取所述恶意应用程序样本对应的静态信息和动态信息；

基于所述静态信息和动态信息，挖掘各个种族恶意应用程序样本的组件特征、函数调用特征、以及系统调用特征；

基于挖掘出的所述组件特征、函数调用特征、以及系统调用特征，识别恶意应用程序。

在一实施方式中，对恶意应用程序样本进行静态解析，以获取所述恶意应用程序样本对应的静态信息，其中，所述静态信息包括组件信息；

对恶意应用程序样本进行动态解析，以获取所述恶意应用程序样本对应的动态信息，其中，所述动态信息包括函数调用信息和系统调用信息。

在一实施方式中，所述基于所述静态信息和动态信息，挖掘各个种族恶意应用程序样本的组件特征、函数调用特征、以及系统调用特征的步骤包括：

分别基于所述静态信息和动态信息包含的组件信息、函数调用信息、以及系统调用信息，获取对应的组件特征、函数调用特征、以及系统调用特征；

对所述组件特征、函数调用特征、以及系统调用特征进行标准化存储。

在一实施方式中，所述分别基于所述静态信息和动态信息包含的组件信息、函数调用信息、以及系统调用信息，获取对应的组件特征、函数调用特征、以及系统调用特征的步骤包括：

在获取到所述组件信息时，基于各个种族分类对所述组件信息进行特征提取，以获取组件特征；

在获取函数调用信息和系统调用信息时，基于各个种族分类对所述函数调用信息和系统调用信息进行频繁模式挖掘，以获取函数调用特征和系统调用特征。

在一实施方式中，所述基于挖掘出的所述组件特征、函数调用特征、以及系统调用特征，识别恶意应用程序的步骤包括：