[发明专利]一种恶意代码识别装置及方法

说明书

本发明提供一种恶意代码识别装置，它包括：检测应用模块，用于系统初始化；进程注入模块，用于在装有Android系统的终端运行过程中，对系统进程进行注入并加载API HOOK动态库；监控模块，用于通过API HOOK对敏感API进行监控，并输出行为监控向量；检测服务模块，用于对行为监控向量进行分析，识别出具有威胁性的行为。本发明通过针对恶意代码运行时的行为来判定代码的恶意性，解决了静态恶意代码检测遇到恶意代码加固以及不能识别未知恶意代码的瓶颈，同时由于采用动态注入的API HOOK技术，使得在不修改源码的基础就能实现未知恶意代码识别和阻断，解决了基于修改系统源码的行为识别的恶意代码检测技术遇到的开发周期长，可移植性差的问题。

技术领域

本发明涉及移动网络安全技术领域，尤其涉及一种恶意代码识别装置及方法。

背景技术

移动设备上的恶意代码检测技术目前主要是基于规则库的恶意代码检测技术和基于修改系统源码的行为识别的恶意代码检测技术。其中基于规则库的恶意代码检测技术由于其规则库是基于已知恶意代码静态分析而提取的，因此其具有一定的滞后性，且只能针对已知恶意代码进行检测，并且当恶意代码采用加固手段时，静态代码检测技术往往就达不到预期的效果了；而基于修改系统源码的行为识别的恶意代码检测技术，在目前手机系统版本繁多、更新换代频繁、且很多ROM厂商不会公开源码的情况下，导致基于源码的行为识别技术存在移植性差，研发周期长和针对那些无公开源码的ROM系统无法提供相关恶意代码检测技术的问题。

发明内容

本发明要解决的技术问题是：提供一种恶意代码识别装置及方法，解决静态恶意代码检测遇到的恶意代码加固、不能识别未知恶意代码的问题。

本发明为解决上述技术问题所采取的技术方案为：一种恶意代码识别装置，其特征在于：它包括：

进程注入模块，用于在装有Android系统的终端运行过程中，对系统进程进行注入并加载API HOOK动态库；

监控模块，用于通过API HOOK对敏感API进行监控，并输出行为监控向量；

检测服务模块，用于对行为监控向量进行分析，识别出具有威胁性的行为。

按上述装置，它还包括检测应用模块，用于提供用户交互界面及系统初始化。

按上述装置，它还包括行为拦截模块，用于接收具有威胁性的行为，并对该行为进行拦截。

按上述装置，所述的监控模块包括：

行为监控模块，用于在用户态，通过API HOOK对敏感API进行监控，并输出行为监控向量；和/或

内核监控模块，用于在内核态，通过API HOOK对敏感API进行监控，并输出行为监控向量。

按上述装置，所述的监控模块还包括流量捕获模块，用于捕获网卡的所有流量，并实时传送流量数据供分析。

按上述装置，所述的检测服务模块包括：

消息分发模块，用于监控模块与检测服务模块之间、检测服务模块与行为拦截模块之间、以及检测服务模块与检测应用模块之间的通信；

行为学习知识库，用于提供检测的规则；

行为分析模块，用于对行为监控向量和流量数据进行分析，结合行为学习知识库进行检测，从而识别出具有威胁性的行为和流量数据。

一种恶意代码识别方法，其特征在于：它包括以下步骤：

在装有Android系统的终端运行过程中，对系统进程进行注入并加载API HOOK动态库；

通过API HOOK对敏感API进行监控，并输出行为监控向量；