一种智能终端恶意软件的检测方法及系统.pdf

摘要
申请专利号：	CN201410450701.5	申请日：	2014.09.05
公开号：	CN104217162A	公开日：	2014.12.17
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):G06F 21/56申请日:20140905\|\|\|公开
IPC分类号：	G06F21/56(2013.01)I	主分类号：	G06F21/56
申请人：	四川长虹电器股份有限公司
发明人：	李强; 刘东; 李晓东
地址：	621000 四川省绵阳市高新区绵兴东路35号
优先权：
专利代理机构：	成都九鼎天元知识产权代理有限公司 51214	代理人：	袁春晓
PDF下载：	PDF下载

内容摘要

本发明公开了一种智能终端恶意软件的检测方法及系统，以预防恶意软件、木马软件危害智能家电用户，涉及智能家电的信息安全领域。本发明技术要点：步骤1：对智能终端上的安装包进行解压缩及反编译，得到至少一个配置文件；步骤2：逐行扫描所述配置文件，根据权限标签提取出配置文件中的权限要求；步骤3：判断所述权限要求是否为非法要求，若是则提示用户存在恶意软件；若不是则认为该安装包为合法的等。

权利要求书

1.  一种智能终端恶意软件的检测方法，其特征在于，包括：
步骤1：对智能终端上的安装包进行解压缩及反编译，得到至少一个配置文件；
步骤2：逐行扫描所述配置文件，根据权限标签提取出配置文件中的权限要求；
步骤3：判断所述权限要求是否为非法要求，若是则提示用户存在恶意软件；若不是则认为该安装包为合法的。

2.  根据权利要求1所述的一种智能终端恶意软件的检测方法，其特征在于，步骤3中当检测到所述安装包为合法时，将所述安装包的SHA-1值存入数据库。

3.  根据权利要求2所述的一种智能终端恶意软件的检测方法，其特征在于，在所述步骤1之前还包括：
步骤0：扫描智能终端上的安装包，检测安装包中的SHA-1值是否存在于所述数据库中，若存在，则直接认为所述安装包为合法的，否则执行步骤1~3。

4.  根据权利要求1所述的一种智能终端恶意软件的检测方法，其特征在于，使用步骤0~3一一检测智能终端上存储的全部安装包。

5.  根据权利要求1或2或3或4所述的一种智能终端恶意软件的检测方法，其特征在于，步骤3中判断权限要求是否合法的步骤进一步包括：将权限要求与恶意行为规则库记录的权项要求比较，如存在于恶意行为规则库中则认为所述权限要求为非法的，如不存在于恶意行为规则库中则认为所述权限要求为合法的。

6.  一种智能终端恶意软件的检测系统，其特征在于，包括：
解压反编译模块，用于对智能终端上的安装包进行解压缩及反编译，得到至少一个配置文件；
权限要求提取模块，用于逐行扫描所述配置文件，根据权限标签提取出配置文件中的权限要求；
权限要求检测模块，用于判断所述权限要求是否为非法要求，若是则提示用户存在恶意软件；若不是则认为该安装包为合法的。

7.  根据权利要求6所述的一种智能终端恶意软件的检测系统，其特征在于，所述权限要求检测模块还用于当检测到所述安装包为合法时，将所述安装包的SHA-1值存入数据库。

8.  根据权利要求7所述的一种智能终端恶意软件的检测系统，其特征在于，还包括SHA-1值检测模块，用于扫描智能终端上的安装包，检测安装包中的SHA-1值是否存在于所述数据库中，若存在，则直接认为所述安装包为合法的。

9.  根据权利要求6或7或8所述的一种智能终端恶意软件的检测系统，其特征在于，所述权限要求检测模块还用于将权限要求与恶意行为规则库记录的权限要求比较，如存在于恶意行为规则库中则认为所述权限要求为非法的，如不存在于恶意行为规则库中则认为所述权限要求为合法的。

10.  根据权利要求6所述的一种智能终端恶意软件的检测系统，其特征在于，所述配置文件为AndroidManifest文件。

说明书

一种智能终端恶意软件的检测方法及系统
技术领域
本发明涉及智能家电的信息安全领域，尤其是一种智能终端上恶意软件的检测方法。
背景技术
近年来，电视机、冰箱等智能家电越来越智能化，这些智能家电上的中央处理器功能越来越强大，以至于原本在普通电脑上作恶的恶意软件逐步瞄上了这个新兴市场。
这些恶意软件在智能家电上盗取用户的资料、控制智能电视机连接的摄像头、偷窥用户的隐私，各种作恶手段层出不穷。
目前，智能家电对软件的保护通常是这样的，家电企业自建软件商店，智能家电连接企业自家的软件商店，软件商店内的所有软件都经过了企业的鉴定，用户下载和使用都是安全的。但是，某些智能电视机用户可能通过浏览器访问网页下载软件、通过U盘安装软件，这些途径安装的软件就难以保障智能家电的安全。
发明内容
鉴于上述问题，本发明提供了一种电视恶意软件的检测方法及系统，以预防恶意软件、木马软件危害智能家电用户。
本发明提供了一种智能终端恶意软件的检测方法，包括：
步骤1：对智能终端上的安装包进行解压缩及反编译，得到至少一个配置文件；步骤2：逐行扫描所述配置文件，根据权限标签提取出配置文件中的权限要求；步骤3：判断所述权限要求是否为非法要求，若是则提示用户存在恶意软件；若不是则认为该安装包为合法的。
进一步，步骤3中当检测到所述安装包为合法时，将所述安装包的SHA-1值存入数据库。
进一步，在所述步骤1之前还包括：步骤0：扫描智能终端上的安装包，检测安装包中的SHA-1值是否存在于所述数据库中，若存在，则直接认为所述安装包为合法的，否则执行步骤1~3。
进一步，使用步骤0~3一一检测智能终端上存储的全部安装包。
进一步，步骤3中判断权限要求是否合法的步骤进一步包括：将权限要求与恶意行为规则库记录的权限要求比较，如存在于恶意行为规则库中则认为所述权限要求为非法的，如不存在于恶意行为规则库中则认为所述权限要求为合法的。
本发明还提供了一种智能终端恶意软件的检测系统，包括：
解压反编译模块，用于对智能终端上的安装包进行解压缩及反编译，得到至少一个配置文件；
权限要求提取模块，用于逐行扫描所述配置文件，根据权限标签提取出配置文件中的权限要求；
权限要求检测模块，用于判断所述权限要求是否为非法要求，若是则提示用户存在恶意软件；若不是则认为该安装包为合法的。
进一步，所述权限要求检测模块还用于当检测到所述安装包为合法时，将所述安装包的SHA-1值存入数据库。
进一步，还包括SHA-1值检测模块，用于扫描智能终端上的安装包，检测安装包中的SHA-1值是否存在于所述数据库中，若存在，则直接认为所述安装包为合法的。
进一步，所述权限要求检测模块还用于将权限要求与恶意行为规则库记录的权限要求比较，如存在于恶意行为规则库中则认为所述权限要求为非法的，如不存在于恶意行为规则库中则认为所述权限要求为合法的。
进一步，所述配置文件为AndroidManifest文件。
综上所述，由于采用了上述技术方案，本发明的有益效果是：
实现了智能家电中恶意软件检测。利用安装包中的SHA-1值，在保证检测准确性的基础上，精简了恶意软件检测流程，有效节省了资源，提高了检测效率，尤其适用于智能家电。
附图说明
本发明将通过例子并参照附图的方式说明，其中：
图1为本发明中恶意软件检测流程图。
具体实施方式
本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。
本说明书中公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。
第一实施例
一种智能终端恶意软件的检测方法包括：
步骤1：对智能终端上的安装包进行解压缩及反编译，得到至少一个配置文件；步骤2：逐行扫描所述配置文件，根据权限标签提取出配置文件中的权限要求；步骤3：判断所述权限要求是否为非法要求，若是则提示用户存在恶意软件；若不是则认为该安装包为合法的。
第二实施例
一种智能终端恶意软件的检测方法包括：
步骤1：扫描智能终端上的所有存储设备，包括内存、Flash Disk、外设、U盘等。
步骤2：检测程序APK包（安装包）中的SHA-1值，并与后端数据库存储的SHA-1值进行比较。其中SHA-1值是国际开放的消息摘要算法，它可以用于校验某个设备上的安装软件是否为同一个APK，同一个软件不同的版本，它们的SHA-1值也是不同的。
步骤3：如果所述SHA-1值存在，表明该APK包已经检测过，可直接认为该APK包为合法的，无需进行下面的恶意软件检测步骤；如果SHA-1值不存在，表明该APK包还未检测，进入第4步，开始检测。
步骤4：对未检测的APK包进行解压和反编译，至少获得程序反编译后的AndroidManifest文件。其中解压可使用unzip解压缩软件完成，反编译可使用Google发布的Android SDK提供的反编译工具dexdump.exe。
步骤5：将AndroidManifest文件读到内存，逐行扫描内容，匹配权限标签<uses-permission>的文本行，提取出权限要求字符串，得到该APK包的权限要求；
步骤6：将所述权限要求与恶意行为规则库的内容进行比较，如所述权限要求存在于恶意行为规则库中则认为所述权限要求为非法的，如不存在于恶意行为规则库中则认为所述权限要求为合法的。
Android系统有上百个内置的权限，这些权限能够控制设备从拍照、发短信，到录音监听、网络控制等等操作功能。因此应用程序APK为了获取权限，就必须在AndroidManifest文件中明确的申请这些权限。申请权限使用的标签是<uses-permission>。
恶意行为规则库是自建的一个数据库，内容包含了我们对恶意行为进行恶意行为分类、恶意行为特征等信息，如安装包要求Android系统将发短信、发彩信、拨打电话、开启摄像头等权限开放给它们时，可以认为这些权限要求是恶意的，从而将这类权限要求写入恶意行为规则中。
步骤7：判断存储设备是否扫描完毕。如果没有，则继续扫码下一个软件APK包，从步骤1开始执行；如果扫描完毕，则输出扫描结果。
第三实施例
在第二实施例基础上，若检测出APK包为非法的，则提示用户存在恶意软件，并询问用户是否需要删除软件或对软件进行隔离。其中隔离是指在存取区建立一个目录专门用于存放恶意软件APK。用户在点击隔离按钮后，自动把软件APK包移动到这个目录下。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合，以及披露的任一新的方法或过程的步骤或任何新的组合。

资源描述

《一种智能终端恶意软件的检测方法及系统.pdf》由会员分享，可在线阅读，更多相关《一种智能终端恶意软件的检测方法及系统.pdf（6页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104217162A43申请公布日20141217CN104217162A21申请号201410450701522申请日20140905G06F21/5620130171申请人四川长虹电器股份有限公司地址621000四川省绵阳市高新区绵兴东路35号72发明人李强刘东李晓东74专利代理机构成都九鼎天元知识产权代理有限公司51214代理人袁春晓54发明名称一种智能终端恶意软件的检测方法及系统57摘要本发明公开了一种智能终端恶意软件的检测方法及系统，以预防恶意软件、木马软件危害智能家电用户，涉及智能家电的信息安全领域。本发明技术要点步骤1对智能终端上的安装包进行解压缩及反编译，得到。

2、至少一个配置文件；步骤2逐行扫描所述配置文件，根据权限标签提取出配置文件中的权限要求；步骤3判断所述权限要求是否为非法要求，若是则提示用户存在恶意软件；若不是则认为该安装包为合法的等。51INTCL权利要求书1页说明书3页附图1页19中华人民共和国国家知识产权局12发明专利申请权利要求书1页说明书3页附图1页10申请公布号CN104217162ACN104217162A1/1页21一种智能终端恶意软件的检测方法，其特征在于，包括步骤1对智能终端上的安装包进行解压缩及反编译，得到至少一个配置文件；步骤2逐行扫描所述配置文件，根据权限标签提取出配置文件中的权限要求；步骤3判断所述权限要求是否为非法。

3、要求，若是则提示用户存在恶意软件；若不是则认为该安装包为合法的。2根据权利要求1所述的一种智能终端恶意软件的检测方法，其特征在于，步骤3中当检测到所述安装包为合法时，将所述安装包的SHA1值存入数据库。3根据权利要求2所述的一种智能终端恶意软件的检测方法，其特征在于，在所述步骤1之前还包括步骤0扫描智能终端上的安装包，检测安装包中的SHA1值是否存在于所述数据库中，若存在，则直接认为所述安装包为合法的，否则执行步骤13。4根据权利要求1所述的一种智能终端恶意软件的检测方法，其特征在于，使用步骤03一一检测智能终端上存储的全部安装包。5根据权利要求1或2或3或4所述的一种智能终端恶意软件的检测方。

4、法，其特征在于，步骤3中判断权限要求是否合法的步骤进一步包括将权限要求与恶意行为规则库记录的权项要求比较，如存在于恶意行为规则库中则认为所述权限要求为非法的，如不存在于恶意行为规则库中则认为所述权限要求为合法的。6一种智能终端恶意软件的检测系统，其特征在于，包括解压反编译模块，用于对智能终端上的安装包进行解压缩及反编译，得到至少一个配置文件；权限要求提取模块，用于逐行扫描所述配置文件，根据权限标签提取出配置文件中的权限要求；权限要求检测模块，用于判断所述权限要求是否为非法要求，若是则提示用户存在恶意软件；若不是则认为该安装包为合法的。7根据权利要求6所述的一种智能终端恶意软件的检测系统，其特征。

5、在于，所述权限要求检测模块还用于当检测到所述安装包为合法时，将所述安装包的SHA1值存入数据库。8根据权利要求7所述的一种智能终端恶意软件的检测系统，其特征在于，还包括SHA1值检测模块，用于扫描智能终端上的安装包，检测安装包中的SHA1值是否存在于所述数据库中，若存在，则直接认为所述安装包为合法的。9根据权利要求6或7或8所述的一种智能终端恶意软件的检测系统，其特征在于，所述权限要求检测模块还用于将权限要求与恶意行为规则库记录的权限要求比较，如存在于恶意行为规则库中则认为所述权限要求为非法的，如不存在于恶意行为规则库中则认为所述权限要求为合法的。10根据权利要求6所述的一种智能终端恶意软件的。

6、检测系统，其特征在于，所述配置文件为ANDROIDMANIFEST文件。权利要求书CN104217162A1/3页3一种智能终端恶意软件的检测方法及系统技术领域0001本发明涉及智能家电的信息安全领域，尤其是一种智能终端上恶意软件的检测方法。背景技术0002近年来，电视机、冰箱等智能家电越来越智能化，这些智能家电上的中央处理器功能越来越强大，以至于原本在普通电脑上作恶的恶意软件逐步瞄上了这个新兴市场。0003这些恶意软件在智能家电上盗取用户的资料、控制智能电视机连接的摄像头、偷窥用户的隐私，各种作恶手段层出不穷。0004目前，智能家电对软件的保护通常是这样的，家电企业自建软件商店，智能家电连接。

7、企业自家的软件商店，软件商店内的所有软件都经过了企业的鉴定，用户下载和使用都是安全的。但是，某些智能电视机用户可能通过浏览器访问网页下载软件、通过U盘安装软件，这些途径安装的软件就难以保障智能家电的安全。发明内容0005鉴于上述问题，本发明提供了一种电视恶意软件的检测方法及系统，以预防恶意软件、木马软件危害智能家电用户。0006本发明提供了一种智能终端恶意软件的检测方法，包括步骤1对智能终端上的安装包进行解压缩及反编译，得到至少一个配置文件；步骤2逐行扫描所述配置文件，根据权限标签提取出配置文件中的权限要求；步骤3判断所述权限要求是否为非法要求，若是则提示用户存在恶意软件；若不是则认为该安装包。

8、为合法的。0007进一步，步骤3中当检测到所述安装包为合法时，将所述安装包的SHA1值存入数据库。0008进一步，在所述步骤1之前还包括步骤0扫描智能终端上的安装包，检测安装包中的SHA1值是否存在于所述数据库中，若存在，则直接认为所述安装包为合法的，否则执行步骤13。0009进一步，使用步骤03一一检测智能终端上存储的全部安装包。0010进一步，步骤3中判断权限要求是否合法的步骤进一步包括将权限要求与恶意行为规则库记录的权限要求比较，如存在于恶意行为规则库中则认为所述权限要求为非法的，如不存在于恶意行为规则库中则认为所述权限要求为合法的。0011本发明还提供了一种智能终端恶意软件的检测系统，。

9、包括解压反编译模块，用于对智能终端上的安装包进行解压缩及反编译，得到至少一个配置文件；权限要求提取模块，用于逐行扫描所述配置文件，根据权限标签提取出配置文件中的权限要求；权限要求检测模块，用于判断所述权限要求是否为非法要求，若是则提示用户存在恶说明书CN104217162A2/3页4意软件；若不是则认为该安装包为合法的。0012进一步，所述权限要求检测模块还用于当检测到所述安装包为合法时，将所述安装包的SHA1值存入数据库。0013进一步，还包括SHA1值检测模块，用于扫描智能终端上的安装包，检测安装包中的SHA1值是否存在于所述数据库中，若存在，则直接认为所述安装包为合法的。0014进一步，。

10、所述权限要求检测模块还用于将权限要求与恶意行为规则库记录的权限要求比较，如存在于恶意行为规则库中则认为所述权限要求为非法的，如不存在于恶意行为规则库中则认为所述权限要求为合法的。0015进一步，所述配置文件为ANDROIDMANIFEST文件。0016综上所述，由于采用了上述技术方案，本发明的有益效果是实现了智能家电中恶意软件检测。利用安装包中的SHA1值，在保证检测准确性的基础上，精简了恶意软件检测流程，有效节省了资源，提高了检测效率，尤其适用于智能家电。附图说明0017本发明将通过例子并参照附图的方式说明，其中图1为本发明中恶意软件检测流程图。具体实施方式0018本说明书中公开的所有特征，。

11、或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。0019本说明书中公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。0020第一实施例一种智能终端恶意软件的检测方法包括步骤1对智能终端上的安装包进行解压缩及反编译，得到至少一个配置文件；步骤2逐行扫描所述配置文件，根据权限标签提取出配置文件中的权限要求；步骤3判断所述权限要求是否为非法要求，若是则提示用户存在恶意软件；若不是则认为该安装包为合法的。0021第二实施例一种智能终端恶意软件的检测方法包括步骤1扫描智。

12、能终端上的所有存储设备，包括内存、FLASHDISK、外设、U盘等。0022步骤2检测程序APK包（安装包）中的SHA1值，并与后端数据库存储的SHA1值进行比较。其中SHA1值是国际开放的消息摘要算法，它可以用于校验某个设备上的安装软件是否为同一个APK，同一个软件不同的版本，它们的SHA1值也是不同的。0023步骤3如果所述SHA1值存在，表明该APK包已经检测过，可直接认为该APK包为合法的，无需进行下面的恶意软件检测步骤；如果SHA1值不存在，表明该APK包还未检测，进入第4步，开始检测。0024步骤4对未检测的APK包进行解压和反编译，至少获得程序反编译后的ANDROIDMANIFE。

13、ST文件。其中解压可使用UNZIP解压缩软件完成，反编译可使用GOOGLE发说明书CN104217162A3/3页5布的ANDROIDSDK提供的反编译工具DEXDUMPEXE。0025步骤5将ANDROIDMANIFEST文件读到内存，逐行扫描内容，匹配权限标签的文本行，提取出权限要求字符串，得到该APK包的权限要求；步骤6将所述权限要求与恶意行为规则库的内容进行比较，如所述权限要求存在于恶意行为规则库中则认为所述权限要求为非法的，如不存在于恶意行为规则库中则认为所述权限要求为合法的。0026ANDROID系统有上百个内置的权限，这些权限能够控制设备从拍照、发短信，到录音监听、网络控制等等操。

14、作功能。因此应用程序APK为了获取权限，就必须在ANDROIDMANIFEST文件中明确的申请这些权限。申请权限使用的标签是。0027恶意行为规则库是自建的一个数据库，内容包含了我们对恶意行为进行恶意行为分类、恶意行为特征等信息，如安装包要求ANDROID系统将发短信、发彩信、拨打电话、开启摄像头等权限开放给它们时，可以认为这些权限要求是恶意的，从而将这类权限要求写入恶意行为规则中。0028步骤7判断存储设备是否扫描完毕。如果没有，则继续扫码下一个软件APK包，从步骤1开始执行；如果扫描完毕，则输出扫描结果。0029第三实施例在第二实施例基础上，若检测出APK包为非法的，则提示用户存在恶意软件，并询问用户是否需要删除软件或对软件进行隔离。其中隔离是指在存取区建立一个目录专门用于存放恶意软件APK。用户在点击隔离按钮后，自动把软件APK包移动到这个目录下。0030本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合，以及披露的任一新的方法或过程的步骤或任何新的组合。说明书CN104217162A1/1页6图1说明书附图CN104217162A。

展开阅读全文