[发明专利]恶意行为识别方法、装置、系统和存储介质

说明书

本发明公开了一种恶意行为识别方法、装置、系统和存储介质，涉及信息安全技术领域。恶意行为识别方法包括：监控运行中的终端应用中的一个或多个目标应用程序编程接口API；响应于终端应用调用一个或多个目标API，记录终端应用对一个或多个API的调用信息；根据一个或多个API的调用信息生成行为序列；根据行为序列在恶意行为序列库中的匹配结果识别恶意行为。本发明的实施例可以从终端应用的运行时的安全角度出发，通过监测目标API的调用情况生成行为序列，以识别恶意行为。从而，实现了恶意行为的动态检测。相较于相关技术，可以更全面地识别终端应用中的恶意行为。

技术领域

本发明涉及信息安全技术领域，特别涉及一种恶意行为识别方法、装置、系统和存储介质。

背景技术

移动互联网的高速发展引发了各类新型的安全风险的产生。这些安全风险涉及移动用户的流量资费、个人隐私、金融资产、商业情报乃至国家机密等重要信息。一旦产生安全问题，会使得广泛的资源被隐匿地窃取。

近年来，移动终端应用的安全漏洞事件频发，例如海马苹果助手收集用户的苹果账户和密码事件、手机病毒(XcodeGhost)安全事件、爱思助手漏洞(FairPlay)事件等。为了预防此类事件的发生，在相关技术中的应用安全测试方案中，技术人员多倾向于利用分析工具对终端应用的源代码进行安全分析，以对潜在的安全威胁进行防范。

发明内容

发明人认识到，相关技术中的源代码分析方式得到的结果仅仅是静态的，无法获知运行时(Runtime)恶意行为。因此，相关技术中的方案对恶意行为的识别较为片面。

本发明实施例所要解决的一个技术问题是：如何更全面地识别终端应用中的恶意行为。

根据本发明一些实施例的第一个方面，提供一种恶意行为识别方法，包括：监控运行中的终端应用中的一个或多个目标应用程序编程接口API；响应于终端应用调用一个或多个目标API，记录终端应用对一个或多个API的调用信息；根据一个或多个API的调用信息生成行为序列；根据行为序列在恶意行为序列库中的匹配结果识别恶意行为。

在一些实施例中，恶意行为识别方法还包括：逆向开发工具Theos或修改系统框架服务Xposed接收输入的一个或多个目标API，以便监控运行中的终端应用中的一个或多个目标API。

在一些实施例中，第一终端监控在第一终端运行中的终端应用中的一个或多个目标应用程序编程接口API，第一终端为移动终端；响应于终端应用调用一个或多个目标API，第一终端记录终端应用对一个或多个API的调用信息；第二终端根据第一终端发送的一个或多个API的调用信息生成行为序列；第二终端根据行为序列在恶意行为序列库中的匹配结果识别恶意行为。

在一些实施例中，API的调用信息包括API的调用时间，以及调用参数、返回值中的至少一种。

在一些实施例中，根据一个或多个API的调用时间，排列一个或多个API的调用时间以外的其他调用信息，生成行为序列。

在一些实施例中，目标API包括文件系统读写API、用户偏好设置API、密钥读取API、加密API、系统未授权API、通信API、粘贴板API、不同的终端应用间的数据交互API、配置文件操作API中的至少一种。

根据本发明一些实施例的第二个方面，提供一种恶意行为识别系统，包括：监控模块，被配置为监控运行中的终端应用中的一个或多个目标应用程序编程接口API；调用信息记录模块，被配置为响应于终端应用调用一个或多个目标API，记录终端应用对一个或多个API的调用信息；行为序列生成模块，被配置为根据一个或多个API的调用信息生成行为序列；恶意行为识别模块，被配置为根据行为序列在恶意行为序列库中的匹配结果识别恶意行为。