[发明专利]嵌入式Linux系统恶意程序检测方法及装置

权利要求书

1.一种嵌入式Linux系统恶意程序检测方法，其特征在于，包括：

基于静态分析和动态分析结合的方式，提取待检测应用程序的第一特征集与第二特征集；

将所述第一特征集中包含的特征与恶意程序特征库中的恶意程序特征进行匹配，判断待检测应用程序是否为已知恶意程序，所述恶意程序特征库中包含已知恶意程序及其特征的对应关系；

若否，将所述第二特征集中的特征输入预设的恶意程序预测模型中，判断待检测应用程序是否为未知恶意程序。

2.根据权利要求1所述的嵌入式Linux系统恶意程序检测方法，其特征在于，所述第一特征集中包括代码特征和敏感信息特征，所述代码特征包括程序类名、程序包名、JVM执行文件的MD5值、程序的方法名称，所述敏感信息特征包括邮箱地址、手机号、密码、URL地址。

3.根据权利要求1所述的嵌入式Linux系统恶意程序检测方法，其特征在于，所述第二特征集中包含以下特征：

硬件组件、请求的权限、申请的组件、意图过滤器、受限API调用、使用的权限、可疑的API调用、网络地址、邮箱地址。

4.根据权利要求1所述的嵌入式Linux系统恶意程序检测方法，其特征在于，还包括：

若待检测应用程序为已知恶意程序，则根据对应的已知恶意程序特征集生成恶意程序检测报告；

若待检测应用程序为未知恶意程序，则根据对判断结果的影响权重选择对应的未知恶意程序特征集，根据选择的未知恶意程序特征集生成恶意程序检测报告。

5.根据权利要求4所述的嵌入式Linux系统恶意程序检测方法，其特征在于，所述恶意程序检测报告中包含：

恶意程序名称；

恶意程序类型；

恶意程序主要行为；以及

恶意程序匹配到的邮箱地址、手机号、密码和/或URL地址。

6.根据权利要求1所述的嵌入式Linux系统恶意程序检测方法，其特征在于，所述恶意程序特征库的建立方法，包括：

基于开源威胁情报平台提供的数据，获取已知的恶意程序应用的特征信息；

根据获取的特征信息，建立恶意程序及其特征的对应关系，形成所述恶意程序特征库。

7.根据权利要求1所述的嵌入式Linux系统恶意程序检测方法，其特征在于，所述恶意程序预测模型的建立方法，包括：

以训练样本的特征集作为输入，训练样本的属性作为输出，对基于支持向量机的初始预测模型进行训练，得到初始恶意程序预测模型，所述训练样本的属性包括恶意样本和非恶意样本；

以测试样本的特征集作为输入，测试样本的属性作为输出，对初始恶意程序预测模型进行校正，得到所述恶意程序预测模型。

8.根据权利要求1所述的嵌入式Linux系统恶意程序检测方法，其特征在于，所述基于静态特征和动态特征结合的方式，提取待检测应用程序的第一特征集与第二特征集，包括：

通过反编译工具获取待检测应用程序的目标静态特征；

在真实设备上运行待检测应用，使用自动化工具发送用户事件流模拟用户操作，触发待检测应用真实行为，通过嵌入式Linux底层驱动监控与所述待检测应用相关的系统调用信息并记录待检测应用运行时的相关数据，得到待检测应用程序的目标动态特征；

根据所述目标动态特征和目标静态特征，生成所述第一特征集和第二特征集。

9.一种嵌入式Linux系统恶意程序检测装置，其特征在于，包括：

特征提取模块，用于基于静态分析和动态分析结合的方式，提取待检测应用程序的第一特征集与第二特征集；

第一判断模块，用于将所述第一特征集中包含的特征与恶意程序特征库中的恶意程序特征进行匹配，判断待检测应用程序是否为已知恶意程序，所述恶意程序特征库中包含已知恶意程序及其特征的对应关系；

第二判断模块，用于若否，则将所述第二特征集中的特征输入预设的恶意程序预测模型中，判断待检测应用程序是否为未知恶意程序。

10.根据权利要求9所述的嵌入式Linux系统恶意程序检测装置，其特征在于，所述第一特征集中包括代码特征和敏感信息特征，所述代码特征包括程序类名、程序包名、JVM执行文件的MD5值、程序的方法名称，所述敏感信息特征包括邮箱地址、手机号、密码、URL地址。