发明名称 |
一种基于apk证书相似性的恶意代码检测方法及系统 |
摘要 |
本发明提出了一种基于apk证书相似性的恶意代码检测方法及系统,所述方法包括:提取所述待检测应用程序文件中的证书文件;提取所述证书文件中的证书信息;解析证书信息,获取所述证书信息中的关键字段信息;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。通过对证书具体内容相似性的识别匹配,能够解决大批量脚本化生成的恶意应用的识别和检测问题。相对于静态检测,能够极大提高检测效果。 |
申请公布号 |
CN105975855A |
申请公布日期 |
2016.09.28 |
申请号 |
CN201510538054.8 |
申请日期 |
2015.08.28 |
申请人 |
武汉安天信息技术有限责任公司 |
发明人 |
李勤涛;乔伟;潘宣辰 |
分类号 |
G06F21/56(2013.01)I |
主分类号 |
G06F21/56(2013.01)I |
代理机构 |
|
代理人 |
|
主权项 |
一种基于apk证书相似性的恶意代码检测方法,其特征在于,包括:接收待检测应用程序文件,提取所述待检测应用程序文件中的证书文件;提取所述证书文件中的证书信息,所述证书信息包括Subject、Issuer、StartTime、EndTime、PublicKey及Version信息;解析证书信息,获取所述证书信息中的关键字段信息,关键字段包括CN、OU、O、L、ST、C字段;所述关键字段信息为所述关键字段的字符串信息及字符串对应长度信息;将获取的证书信息的关键字段信息与恶意证书信息库中的信息匹配,如果匹配成功,则所述待检测应用程序文件为恶意,否则所述待检测应用程序文件安全。 |
地址 |
430000 湖北省武汉市东湖新技术开发区软件园东路1号软件产业4.1期B4栋12层01室 |