[发明专利]程序的行为特征提取方法、恶意程序的检测方法及其装置

说明书

本发明提出一种程序的行为特征提取方法、恶意程序的检测方法、装置和客户端，其中程序的行为特征提取方法包括以下步骤：运行待测程序；接收第一测试短信，并获取待测程序在匹配第一测试短信时调用的预置关键字；以及根据预置关键字生成第二测试短信，并提取待测程序根据第二测试短信产生的行为特征，并将行为特征添加至待测程序对应的行为特征集合。根据本发明实施例方法，能够实现对恶意程序的行为特征进行快速有效的识别，同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。

技术领域

本发明涉及终端安全领域，尤其涉及一种程序的行为特征提取方法、装置和客户端以及恶意程序的检测方法、装置和客户端。

背景技术

随着智能移动终端的不断发展，针对智能移动终端的恶意程序也大幅增长。恶意程序可被添加至各种移动应用中，当移动终端安装了具有恶意程序的移动应用后，恶意程序会在后台运行，并根据接收到的短信指令进行相应的操作，如收集并上传用户位置信息或通讯录等数据、向固定号码拨打电话或更改用户设置等，给用户带来极大安全隐患。目前，可通过静态分析技术对程序包名以及其他静态特征进行分析，判断程序类型。还可通过动态分析技术获取程序在虚拟机中运行时产生的行为特征，并据此对恶意程序进行识别。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：当恶意程序被加密或者进行变种后，无法通过静态分析技术准确识别出该恶意程序。同时，对于远程控制的恶意程序，如通过短信指令控制的恶意程序，其行为特征会根据不同的远程控制指令而不同，现有的动态分析技术则无法对此种恶意程序的行为特征进行有效分析，用户的数据安全仍然存在安全隐患。

发明内容

本发明旨在至少解决上述技术问题之一。

为此，本发明的第一个目的在于提出一种程序的行为特征提取方法。该方法能够实现对恶意程序的行为特征进行快速有效的识别，同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。

本发明的第二个目的在于提出一种程序的行为特征提取装置。

本发明的第三个目的在于提出一种客户端。

本发明的第四个目的在于提出一种恶意程序的检测方法。

本发明的第五个目的在于提出一种恶意程序的检测装置。

本发明的第六个目的在于提出另一种客户端。

为了实现上述目的，本发明第一方面实施例的程序的行为特征提取方法包括以下步骤：运行待测程序；接收第一测试短信，并获取所述待测程序在匹配所述第一测试短信时调用的预置关键字；以及根据所述预置关键字生成第二测试短信，并提取所述程序根据所述第二测试短信产生的行为特征，并将所述行为特征添加至所述程序对应的行为特征集合。

根据本发明实施例的程序的行为特征提取方法，可获取待测程序在匹配第一测试短信是调用的预置关键字，进而根据预置关键字生成第二测试短信，并获取该待测程序根据第二测试短信产生的行为特征，因此，该方法能够获取恶意程序的行为特征以建立恶意行为特征库，从而实现对恶意程序的行为特征进行快速有效的识别，同时对包含危害行为的恶意程序的阻断和清除提供了有利依据。

为了实现上述目的，本发明第二方面实施例的程序的行为特征提取装置，包括：程序运行模块，用于运行待测程序；接收模块，用于接收第一测试短信；获取模块，用于获取所述待测程序在匹配所述第一测试短信时调用的预置关键字；生成模块，用于根据所述预置关键字生成第二测试短信；以及提取模块，用于提取所述程序根据所述第二测试短信产生的行为特征，并将所述行为特征添加至所述程序对应的行为特征集合。