一种识别病毒变种的方法及装置制造方法及图纸

本申请涉及互联网技术，公开了一种识别病毒变种的方法及装置，用以提高病毒查杀的准确率。该方法为，将待检测病毒样本在运行过程中产生的API调用序列和预设的病毒家族样本在运行过程中产生的标准API调用序列进行匹配，确定匹配成功时，判定待检测病毒样本为病毒变种，由于API调用序列反映了待检测病毒样本运行时调用的API类型和调用顺序，因此，无论待检测病毒样本是否经技术手段进行身份掩盖，都能够准确无误地检测出病毒变种，通过动态检测机制，扩大提高现有识别和查杀技术的应用范围，大大提高了病毒查全率。

【技术实现步骤摘要】

本申请涉及互联网技术，特别涉及一种识别病毒变种的方法及装置。
技术介绍
随着移动互联网技术和智能终端设备的日益普及，Android平台以其开放、免费等优势，成为目前占据市场份额最大的智能终端操作系统，且增长迅速。与此同时，Android平台由于代码开源，各类病毒带来的安全性问题也不断涌现，包括但不限于恶意程序、蠕虫、木马、僵尸等等。病毒开发和传播者也一直在不断研究新的“免杀”技术，包括但不限于修改特征码、利用Java反射调用机制、字符串加解密技术、以及对函数调用结构进行微调等，制造出大量的病毒变种，致使现有技术已无法完成有效识别和高效查杀。当前Android平台下的各类安全软件一般通过采用特征码方式进行病毒查杀。但病毒开发和传播者为了实现免杀功能，也在不断研究反病毒查杀技术，例如，采用包括Proguard在内的混淆机制，可将病毒程序中包括类名、函数名、常量字符串在内的各类特征信息混淆，导致现有的安全软件无法查杀病毒及其变种。
技术实现思路
本申请实施例提供一种识别病毒变种的方法及装置，用以提升病毒查杀的准确率。本申请实施例提供的具体技术方案如下：一种识别病毒变种的方法，包括：运行待检测病毒样本，记录运行过程中产生的应用程序编程接口API调用序列；获取预设的各个病毒家族样本对应的标准API调用序列，并将运行所述待检测病毒样本产生的API调用序列，与病毒家族样本对应的标准API调用序列进行匹配，获得匹配结果；根据所述匹配结果，确定所述待检测病毒样本的API调用序列与任一病毒家族样本对应的标准API调用序列匹配成功时，确定所述待检测病毒样本为病毒变种。这样，本申请以病毒家族样本对应的标准API调用情况为参考，对待检测病毒样本运行时产生的API的调用情况进行监控，无论待检测病毒样本是否经技术手段进行身份掩盖，若待检测病毒样本的API调用情况与病毒家族样本对应的标准API调用情况匹配，则被认为是病毒变种，从而能够准确无误地检测出病毒变种，通过动态检测机制，扩大提高现有识别和查杀技术的应用范围，大大提高了病毒查全率，并降低了病毒误杀率。特别需要说明的是，本申请实施例中所能够检测的病毒包括但不限于恶意程序、蠕虫、木马、僵尸等；适用范围包括但不限于针对修改特征码等各类病毒变种技术。较佳的，进一步包括：运行预设的病毒家族样本，记录每一种病毒家族在运行过程中调用的API类型和调用顺序，生成每一种病毒家族对应的标准API调用序列，构建API序列特征库。较佳的，进一步包括：在运行待检测病毒样本和预设的病毒家族样本的过程中，按照设定周期模拟用于激活病毒运行的物理触发事件。较佳的，将运行所述待检测病毒样本产生的API调用序列与任一病毒家族样本对应的标准API调用序列进行匹配，获得匹配结果，并根据所述匹配结果，确定所述待检测病毒样本的API调用序列与所述任一病毒家族样本对应的标
准API调用序列匹配成功，包括：确定运行任一病毒家族样本对应的标准API调用序列时，所调用的第一API类型和调用顺序；确定运行所述待检测病毒样本产生的API调用序列中，所调用的第二API类型和调用顺序；计算所述第一API类型和调用顺序与所述第二API类型和调用顺序的匹配度，确定所述匹配度达到第一设定门限时，判定所述待检测病毒样本的API调用序列与所述任一病毒家族样本对应的标准API调用序列匹配成功。较佳的，确定所述第一API类型和调用顺序与所述第二API类型和调用顺序的匹配度未达到第一设定门限时，进一步包括：获取所述任一病毒家族样本对应的关键API调用序列，以及确定运行所述关键API调用序列时，所调用的第三API类型和调用顺序，其中，所述任一病毒家族样本对应的关键API调用序列中包含有从所述任一病毒家族对应的标准API调用序列中筛选出的关键API，所述关键API为预先设定的能够对系统安全运行造成影响的API；计算所述第二API类型和调用顺序与所述第三API类型和调用顺序的匹配度，确定所述匹配度达到第二设定门限时，判定匹配成功；或者，将匹配结果呈现给用户，根据用户反馈的结果判断是否匹配成功。一种识别病毒变种的装置，包括：执行单元，用于运行待检测病毒样本，记录运行过程中产生的应用程序编程接口API调用序列；匹配单元，获取预设的各个病毒家族样本对应的标准API调用序列，并将运行所述待检测病毒样本产生的API调用序列分别，与每一个病毒家族样本对应的标准API调用序列进行匹配，获得匹配结果；识别单元，用于根据所述匹配结果，确定所述待检测病毒样本的API调用序列与任一病毒家族样本对应的标准API调用序列匹配成功时，确定所述待检
测病毒样本为病毒变种。这样，本申请以病毒家族样本对应的标准API调用情况为参考，对待检测病毒样本运行时产生的API的调用情况进行监控，无论待检测病毒样本是否经技术手段进行身份掩盖，若待检测病毒样本的API调用情况与病毒家族样本对应的标准API调用情况匹配，则被认为是病毒变种，从而能够准确无误地检测出病毒变种，通过动态检测机制，扩大提高现有识别和查杀技术的应用范围，大大提高了病毒查全率，并降低了病毒误杀率。特别需要说明的是，本申请实施例中所能够检测的病毒包括但不限于恶意程序、蠕虫、木马、僵尸等；适用范围包括但不限于针对修改特征码等各类病毒变种技术。较佳的，所述执行单元进一步用于：运行预设的病毒家族样本，记录每一种病毒家族在运行过程中调用的API类型和调用顺序，生成每一种病毒家族对应的标准API调用序列，构建API序列特征库。较佳的，所述执行单元进一步用于：在运行待检测病毒样本和预设的病毒家族样本的过程中，按照设定周期模拟用于激活病毒运行的物理触发事件。较佳的，将运行所述待检测病毒样本产生的的API调用序列与任一病毒家族样本对应的标准API调用序列进行匹配，获得匹配结果，并根据所述匹配结果，确定所述待检测病毒样本的API调用序列与所述任一病毒家庭样本对应的标准API调用序列匹配成功时，所述匹配单元进一步用于：确定运行所述任一病毒家族样本对应的标准API调用序列时，所调用的第一API类型和调用顺序；确定运行所述所述待检测病毒样本对应的API调用序列时，所调用的第二API类型和调用顺序；计算所述第一API类型和调用顺序与所述第二API类型和调用顺序的匹配
度；所述识别单元进一步用于：确定所述匹配度达到第一设定门限时，判定所述待检测病毒样本的API调用序列与所述任一病毒家庭样本对应的标准API调用序列匹配成功。较佳的，所述匹配单元进一步用于：根据所述识别单元的通知确定所述第一API类型和调用顺序与所述第二API类型和调用顺序的匹配度未达到第一设定门限时，获取所述任一病毒家族样本对应的关键API调用序列，以及确定运行所述关键API调用序列时，所调用的第三API类型和调用顺序，其中，所述任一病毒家族对应的关键API调用序列中包含有从所述任一病毒家族对应的标准API调用序列中筛选出的指定的关键API，所述关键API为预先设定的能够对系统安全运行造成影响的API；计算所述第二API类型和调用顺序与所述第三API类型和调用顺序的匹配度；所述识别单元进一步用于：确定所述匹配度达到第二设定门限时，判定匹配成功；或者，将匹配结果本文档来自技高网...

【技术保护点】
一种识别病毒变种的方法，其特征在于，包括：运行待检测病毒样本，记录运行过程中产生的应用程序编程接口API调用序列；获取预设的各个病毒家族样本对应的标准API调用序列，并将运行所述待检测病毒样本产生的API调用序列，与病毒家族样本对应的标准API调用序列进行匹配，获得匹配结果；根据所述匹配结果，确定所述待检测病毒样本的API调用序列与任一病毒家族样本对应的标准API调用序列匹配成功时，确定所述待检测病毒样本为病毒变种。

【技术特征摘要】
1.一种识别病毒变种的方法，其特征在于，包括：运行待检测病毒样本，记录运行过程中产生的应用程序编程接口API调用序列；获取预设的各个病毒家族样本对应的标准API调用序列，并将运行所述待检测病毒样本产生的API调用序列，与病毒家族样本对应的标准API调用序列进行匹配，获得匹配结果；根据所述匹配结果，确定所述待检测病毒样本的API调用序列与任一病毒家族样本对应的标准API调用序列匹配成功时，确定所述待检测病毒样本为病毒变种。2.如权利要求1所述的方法，其特征在于，进一步包括：运行预设的病毒家族样本，记录每一种病毒家族在运行过程中调用的API类型和调用顺序，生成每一种病毒家族对应的标准API调用序列，构建API序列特征库。3.如权利要求2所述的方法，其特征在于，进一步包括：在运行待检测病毒样本和预设的病毒家族样本的过程中，按照设定周期模拟用于激活病毒运行的物理触发事件。4.如权利要求1、2或3所述的方法，其特征在于，将运行所述待检测病毒样本产生的API调用序列与任一病毒家族样本对应的标准API调用序列进行匹配，获得匹配结果，并根据所述匹配结果，确定所述待检测病毒样本的API调用序列与所述任一病毒家族样本对应的标准API调用序列匹配成功，包括：确定运行任一病毒家族样本对应的标准API调用序列时，所调用的第一API类型和调用顺序；确定运行所述待检测病毒样本产生的API调用序列中，所调用的第二API类型和调用顺序；计算所述第一API类型和调用顺序与所述第二API类型和调用顺序的匹配
\t度，确定所述匹配度达到第一设定门限时，判定所述待检测病毒样本的API调用序列与所述任一病毒家族样本对应的标准API调用序列匹配成功。5.如权利要求4所述的方法，其特征在于，确定所述第一API类型和调用顺序与所述第二API类型和调用顺序的匹配度未达到第一设定门限时，进一步包括：获取所述任一病毒家族样本对应的关键API调用序列，以及确定运行所述关键API调用序列时，所调用的第三API类型和调用顺序，其中，所述任一病毒家族样本对应的关键API调用序列中包含有从所述任一病毒家族对应的标准API调用序列中筛选出的关键API，所述关键API为预先设定的能够对系统安全运行造成影响的API；计算所述第二API类型和调用顺序与所述第三API类型和调用顺序的匹配度，确定所述匹配度达到第二设定门限时，判定匹配成功；或者，将匹配结果呈现给用户，根据用户反馈的结果判断是否匹配成功。6.一种识别病毒变种的装置，其特征在于，包括：执行单元，用于运行待检测病毒样本，记录运行过程中产生的应用...

【专利技术属性】
技术研发人员：郭跃华，唐虹刚，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY