导出和验证恶意代码的网络行为特征的方法和装置制造方法【专利摘要】本发明提供了用于导出和验证恶意代码的网络行为特征的方法和装置。用于导出恶意代码的网络行为特征的方法可以包括:获取由恶意代码引起的系统行为参数;基于所述系统行为参数生成系统行为特征;以及基于所述系统行为特征导出恶意代码的网络行为特征。用于验证恶意代码的网络行为特征的方法可以包括:确定与所要验证的网络行为特征相对应的网络行为参数;获取与所述网络行为参数相对应的系统行为参数;基于所述系统行为参数生成系统行为特征;以及将所述系统行为特征与所述网络行为特征进行比较,以确定所述网络行为特征的有效性。【专利说明】导出和验证恶意代码的网络行为特征的方法和装置【
技术领域:
】[0001]本发明一般涉及恶意代码检测,具体涉及用于导出和验证恶意代码的网络行为特征的方法和装置。【
背景技术:
】[0002]目前,恶意代码(例如,病毒、木马等)已经广泛采用了如多态、变形等更为高级的策略。通过这些策略,每当恶意代码进行复制时,其一部分或其结构就可能以随机和不可预测的方式发生改变。因此,如何检测和抑制恶意代码已经成为了人们所面临的巨大挑战。[0003]传统的恶意代码检测软件是基于特征码的,其可以通过特征码匹配的方式来检测恶意代码。例如,这类软件可以将从恶意代码中提取的特定特征存储在特征数据库中以用于随后检测相关的恶意代码实例,该特征数据库可以持续更新以便能够检测到与最近更新的特征相对应的恶意代码。然而,尽管使用特征数据库的这种检测方式可以获得对已知恶意代码的出色的检测率,这种方式却无法检测出新的未知恶意代码。尤其是多态和变形的出现,使得基于特征码的恶意代码检测方式的有效性大大降低。此外,恶意代码在互联网上的快速传播也会导致特征数据库无法及时跟进更新。例如,一些移动电话病毒安全系统或恶意信息过滤器可以检测出已知恶意病毒所涉及的统一资源定位符(URL)并且进而阻止相应的web站点,但是,这些系统或过滤器仅能够阻止已知的移动病毒服务器,却不能阻止新的未知移动病毒服务器。此外,移动病毒也可能通过改变病毒服务器的地址来避开这些系统或过滤器的检测。[0004]此外,存在基于系统行为的恶意代码检测方式。这种恶意代码检测方式可以包括基于启发式特征的检测、基于静态特征的检测和基于动态特征的检测等三种类型。[0005]基于启发式特征的检测可以利用启发式特征。启发式特征可以指例如从Win32可移植执行体(PEPortableExecute)头或可执行体内的字符串中提取的特征集。[0006]基于静态特征的检测可以利用通过静态分析而导出的特征。例如,该检测方式可以基于通过对可执行二进制码的反汇编而导出的汇编码、基于例如控制流图(CFG)的汇编码等。然而,对二进制码进行反汇编本身就是一个比较难解决的问题,并且尚未发现较为通用的方案。[0007]基于动态特征的检测是一种可以在恶意代码执行过程中基于系统行为所执行的检测方式。这种检测方式可以通过监视当前执行进程的例如尝试复制等操作来在运行时完成检测。例如,可以基于病毒对复制的尝试来检测已知的和未知的病毒。例如,可以利用通过系统调用挂钩技术而获得的木马的规则的可执行路径以及所获知的木马的行为特性(例如,修改注册表、注册系统服务、修改系统文件等)来检测和阻截木马。[0008]此外,在入侵检测领域存在基于网络行为的检测方式。在KDDCUP1999(http://www.sigkdd.0rg/kddcup/index.php?section=1999&method=info)文档中对网络行为特征做出了描述。该文档提供的网络入侵检测数据集(KDD99数据集)被用于测试所开发的算法以及预定义行为特征。每个数据项包含指示网络行为特征的41个字段和指示攻击类型的I个字段。对于数据分析工具而言,处理所有这些字段的开销是很昂贵的。更为重要的是,这种网络行为特征的描述仅仅用于入侵检测,而并非针对恶意代码。[0009]此外,考虑到恶意代码的传播越来越多地依赖于网络通道,由网络运营商在网络侧而不是在终端用户侧执行恶意代码检测和阻止将是有效的。例如,对于一些窃密病毒而言,其不能在没有网络的情况下上传隐私信息。在这种情况下,网络行为特征集的选择将是恶意代码检测的关键因素。例如,对于移动病毒而言,其网络行为可以包括通过网络的病毒传播行为、移动设备系统在感染后的网络行为以及网络侧系统在感染后的网络行为等。这些网络行为所对应的所有网络行为特征都可以通过网络数据流来实施。从而,将会存在大量的网络行为特征需要处理。例如数据挖掘等数据处理技术可以作为找出恶意代码的网络行为特征的一种有效手段。但是,通过数据挖掘过程会挖掘出大量的网络行为特征,并且错误拒绝率(FRR:FalseRejectRate)和错误接受率(FAR:FalseAcceptRate)都比较高。通过调整一些特征,可以使FRR和FAR产生波动,然而,不可能通过数据挖掘算法本身来验证这些网络行为特征。[0010]因此,本领域需要能够有效地找出恶意代码的网络行为特征以及能够高效地验证恶意代码的网络行为特征的解决方案。【
发明内容】[0011]本发明实施例提供了用于导出和验证恶意代码的网络行为特征的方法和装置。[0012]根据一个方面,本发明实施例提供了一种用于导出恶意代码的网络行为特征的方法。该方法可以包括:获取由恶意代码引起的系统行为参数;基于所述系统行为参数生成系统行为特征;以及基于所述系统行为特征导出恶意代码的网络行为特征。[0013]在上述方法中,所述获取由恶意代码引起的系统行为参数可以包括以下至少之一:获取与数据收发相关联的连接相关系统行为参数;以及获取与应用层内容相关联的内容相关系统行为参数。[0014]在上述方法中,所述基于所述系统行为参数生成系统行为特征可以包括以下至少之一:基于所述连接相关系统行为参数生成与数据收发相关联的连接相关系统行为特征;基于所述内容相关系统行为参数生成与应用层内容相关联的内容相关系统行为特征;以及基于所述连接相关系统行为参数和所述内容相关系统行为参数,生成与数据收发以及应用层内容都相关联的连接和内容相关系统行为特征。[0015]在上述方法中,所述基于所述系统行为特征导出恶意代码的网络行为特征可以包括以下至少之一:基于所述连接相关系统行为特征导出与网络连接相关联的连接相关网络行为特征;基于所述内容相关系统行为特征导出与应用层内容相关联的内容相关网络行为特征;以及基于所述连接和内容相关系统行为特征导出与网络连接和应用层内容都相关联的连接和内容相关网络行为特征。[0016]根据另一个方面,本发明实施例提供了一种用于导出恶意代码的网络行为特征的装置。该装置可以包括:系统行为参数获取器,用于获取由恶意代码引起的系统行为参数;系统行为特征生成器,用于基于所述系统行为参数生成系统行为特征;以及网络行为特征导出器,用于基于所述系统行为特征导出恶意代码的网络行为特征。[0017]在上述装置中,所述系统行为参数获取器可以进一步用于以下至少之一:获取与数据收发相关联的连接相关系统行为参数;以及获取与应用层内容相关联的内容相关系统行为参数。[0018]在上述装置中,所述系统行为特征生成器可以进一步用于以下至少之一:基于所述连接相关系统行为参数生成与数据收发相关联的连接相关系统行为特征;基于所述内容相关系统行为参数生成与应用层内容相关联的内容相关系统行为特征;以及基于所述连接相关系统行为参数和所述内容相关系统行为参数,生成与数据收发以及应用层内容都相关联的连接和内容相关系统行为特征。[0019]在上述装置中,所述网络行为特征导出器可以进一步用于以下至少之一:基于所述连接相关系统行为特征导出与网络连接相关联的连接相关网络行为特征;基于所述内容相关系统行为特征导出与应用层内容相关联的内容相关网络行为特征;以及基于所述连接和内容相关系统行为特征导出与网络连接和应用层内容都相关联的连接和内容相关网络行为特征。[0020]根据另一个方面,本发明实施例提供了一种用于验证恶意代码的网络行为特征的方法。该方法可以包括:确定与所要验证的网络行为特征相对应的网络行为参数;获取与所述网络行为参数相对应的系统行为参数;基于所述系统行为参数生成系统行为特征;以及将所述系统行为特征与所述网络行为特征进行比较,以确定所述网络行为特征的有效性。[0021]在上述方法中,所述网络行为特征可以包括以下至少之一:与网络连接相关联的连接相关网络行为特征;与应用层内容相关联的内容相关网络行为特征;以及与网络连接和应用层内容都相关联的连接和内容相关网络行为特征。在上述方法中,所述确定与所要验证的网络行为特征相对应的网络行为参数可以包括以下至少之一:确定与网络连接相关联的连接相关网络行为参数;以及确定与应用层内容相关联的内容相关网络行为参数。[0022]在上述方法中,所述获取与所述网络行为参数相对应的系统行为参数可以包括以下至少之一:获取与所述连接相关网络行为参数相对应的、与数据收发相关联的连接相关系统行为参数;以及获取与所述内容相关网络行为参数相对应的、与应用层内容相关联的内容相关系统行为参数。[0023]在上述方法中,所述基于所述系统行为参数生成系统行为特征可以包括以下至少之一:基于所述连接相关系统行为参数生成与数据收发相关联的连接相关系统行为特征;基于所述内容相关系统行为参数生成与应用层内容相关联的内容相关系统行为特征;以及基于所述连接相关系统行为参数和所述内容相关系统行为参数,生成与数据收发以及应用层内容都相关联的连接和内容相关系统行为特征。在上述方法中,所述将所述系统行为特征与所述网络行为特征进行比较可以包括以下至少之一:将所述连接相关网络行为特征与所述连接相关系统行为特征进行比较;将所述内容相关网络行为特征与所述内容相关系统行为特征进行比较;以及将所述连接和内容相关网络行为特征与所述连接和内容相关系统行为特征进行比较。[0024]根据另一个方面,本发明实施例提供了一种用于验证恶意代码的网络行为特征的装置。该装置可以包括:网络行为参数确定器,用于确定与所要验证的网络行为特征相对应的网络行为参数;系统行为参数获取器,用于获取与所述网络行为参数相对应的系统行为参数;系统行为特征生成器,用于基于所述系统行为参数生成系统行为特征;以及网络行为特征校验器,用于将所述系统行为特征与所述网络行为特征进行比较,以确定所述网络行为特征的有效性。[0025]通过本发明的方案,在一些方面,可以有效地导出恶意代码的网络行为特征,在另一些方面,可以高效地验证恶意代码的网络行为特征。从而,本发明可以显著地改进恶意代码的网络行为特征的有效性。【专利附图】【附图说明】[0026]图1示出了根据本发明实施例的用于导出恶意代码的网络行为特征的装置的结构示意图;[0027]图2示出了根据本发明实施例的用于导出恶意代码的网络行为特征的方法的流程图;[0028]图3示出了根据本发明实施例的用于导出恶意代码的网络行为特征的装置的示意图;[0029]图4示出了根据本发明实施例的用于验证恶意代码的网络行为特征的装置的结构示意图;[0030]图5示出了根据本发明实施例的用于验证恶意代码的网络行为特征的装置在网络中的部署的示意图;[0031]图6示出了根据本发明实施例的用于验证恶意代码的网络行为特征的方法的流程图;[0032]图7示出了根据本发明实施例的用于验证恶意代码的网络行为特征的装置的示意图;以及[0033]图8示出了根据本发明实施例的用于导出或验证恶意代码的网络行为特征的设备的不意图。【具体实施方式】[0034]本发明实施例考虑到了恶意代码通常会依赖于网络来传播并且通过网络来传输窃取到的私密信息等,因此,可以在网络侧通过分析网络行为特征来检测并阻止恶意代码。由于恶意代码的网络行为通常由恶意代码的系统行为引发,因此,恶意代码的行为在网络侧和终端用户侧存在对应关系,也就是说,恶意代码的网络行为特征与恶意代码的系统行为特征之间存在对应关系。因此,本发明提出了利用恶意代码的系统行为特征来导出恶意代码的网络行为特征,其中,从系统行为特征导出的网络行为特征能够有效地反映恶意代码的网络行为特征。从而,本发明可以被用于在网络侧以较高的可靠性来识别出恶意代码。[0035]此外,本发明实施例还考虑到了通过数据挖掘等数据处理技术可能获得大量网络行为特征,并且网络行为特征过多会导致无法进行有效分析。因此,基于恶意代码的网络行为特征与恶意代码的系统行为特征之间存在的对应关系,本发明提出了对网络行为特征进行验证的方案。例如,本发明可以利用相对应的系统行为特征对所要验证的网络行为特征进行验证以确定所要验证的网络行为特征的有效性。由此,本发明可以进一步精简网络行为特征,适应设备的实际处理能力,并以较低的成本改进恶意代码检测系统的性能。[0036]以下将以明确易懂的方式通过对优选实施例的说明并结合附图来对本发明的上述特性、技术特征、优点及其实现方式予以进一步说明。[0037]图1示出了根据本发明实施例的用于导出恶意代码的网络行为特征的装置100的结构示意图。[0038]装置100可以包括系统行为参数获取器110、系统行为特征生成器120以及网络行为特征导出器130。[0039]系统行为参数获取器110可以获取由恶意代码引起的系统行为参数。[0040]系统行为参数可以指终端用户侧与恶意代码的行为相关联的参数。系统行为参数可以包括连接相关系统行为参数和内容相关系统行为参数中的至少一个。[0041]从网络侧来看,在数据包中,协议类型、服务类型、IP地址、端口号等参数可以从数据包的包头部分中获得,而URL、手机号码、短消息等参数需要从数据包的载荷部分中获得。在本发明中,将数据包的包头部分中包含的参数划分为连接相关的参数,将数据包的载荷部分中包含的参数划分为内容相关的参数。基于网络行为与系统行为之间存在的对应关系,在终端用户侧,系统行为参数也可被相应地划分连接相关系统行为参数和内容相关系统行为参数。[0042]连接相关系统行为参数可以指与数据收发相关联的系统行为参数。例如,连接相关系统行为参数可以包括连接相关的应用程序编程接口(API)调用时间及其调用参数、IP地址、端口号、协议类型、服务类型等。具体地,例如,连接相关的API调用时间及其调用参数可以包括网络API的调用时间及其调用参数、通信API的调用时间及其调用参数等。网络API可以指例如能够连接到网络以进行数据收发的API等,如GRPSAP1、短消息收发API等。通信API可以指蓝牙AP1、无线局域网API等。连接相关系统行为参数可以包括,但并不局限于,以上列举的几种参数中的一个或多个,其还可以包括其它与数据收发相关联的参数。优选地,系统行为参数获取器110可以进一步用于获取与数据收发相关联的连接相关系统行为参数。优选地,系统行为参数获取器110可以包括连接相关系统行为参数获取器,该连接相关系统行为参数获取器可以用于获取连接相关系统行为参数。[0043]内容相关系统行为参数可以指与应用层内容相关联的系统行为参数。例如,内容相关系统行为参数可以包括URL、敏感数据、内容属性等。URL可以是与恶意代码相关联的特定目的地地址等。敏感数据可以是涉及隐私或安全的数据等,例如,敏感数据可以包括用户身份信息(例如国际移动用户标识IMSI)、国际移动设备标识IME1、手机号码、短消息、彩信、通信录、位置信息等。内容属性可以包括文件名、文件类型、传输内容长度等。内容相关系统行为参数可以包括,但并不局限于,以上列举的几种参数中的一个或多个,其还可以包括其它与应用层内容相关联的参数。优选地,系统行为参数获取器110可以进一步用于获取与应用层内容相关联的内容相关系统行为参数。优选地,系统行为参数获取器110可以包括内容相关系统行为参数获取器,该内容相关系统行为参数获取器可以用于获取内容相关系统行为参数。例如,该内容相关系统行为参数获取器可以通过任何已知的技术手段,如敏感数据函数的API调用、恶意代码样本过滤等,来获取内容相关系统行为参数。[0044]系统行为特征生成器120可以基于系统行为参数生成系统行为特征。[0045]系统行为特征可以指与系统行为相关联的特征。优选地,可以通过对系统行为参数进行数据处理来生成系统行为特征。此处的数据处理可以为数理统计、数据挖掘等技术。例如,优选地,系统行为特征生成器120可以利用数据挖掘等技术来对系统行为参数进行统计、关联分析等处理以便得到系统行为特征。系统行为特征可以包括连接相关系统行为特征、内容相关系统行为特征以及连接和内容相关系统行为特征中的至少一个。[0046]连接相关系统行为特征可以指与数据收发相关联的系统行为特征。例如,连接相关系统行为特征可以包括调用网络API的频率、IP地址的变化情况、端口号的变化情况等。连接相关系统行为特征可以包括,但并不局限于,以上列举的几种特征中的一个或多个,其还可以包括其它与数据收发相关联的特征。优选地,系统行为特征生成器120可以进一步用于基于连接相关系统行为参数生成与数据收发相关联的连接相关系统行为特征。优选地,系统行为特征生成器120可以包括连接相关系统行为特征生成器,该连接相关系统行为特征生成器可以用于基于连接相关系统行为参数生成连接相关系统行为特征。优选地,可以通过对连接相关系统行为参数进行数据处理来生成连接相关系统行为特征。[0047]内容相关系统行为特征可以指与应用层内容相关联的系统行为特征。例如,内容相关系统行为特征可以包括:所发送内容中包含URL、所发送内容中包含敏感数据等。具体地,例如,内容相关系统行为特征可以是所发送内容中包含与恶意代码相关联的特定URL、所发送内容中包含用户身份信息等。内容相关系统行为特征可以包括,但并不局限于,以上列举的几种特征中的一个或多个,其还可以包括其它与应用层内容相关联的特征。优选地,系统行为特征生成器120可以进一步用于基于内容相关系统行为参数生成与应用层内容相关联的内容相关系统行为特征。优选地,系统行为特征生成器120可以包括内容相关系统行为特征生成器,该内容相关系统行为特征生成器可以用于基于内容相关系统行为参数生成内容相关系统行为特征。优选地,可以通过对内容相关系统行为参数进行数据处理来生成内容相关系统行为特征。[0048]连接和内容相关系统行为特征可以指与数据收发以及应用层内容均相关联的系统行为特征。例如,连接和内容相关系统行为特征可以是频繁调用网络API发送敏感数据等。连接和内容相关系统行为特征也可以是其它与数据收发以及应用层内容均相关联的特征。优选地,系统行为特征生成器120可以进一步用于基于连接相关系统行为参数和内容相关系统行为参数,生成与数据收发以及应用层内容都相关联的连接和内容相关系统行为特征。优选地,系统行为特征生成器120可以包括连接和内容相关系统行为特征生成器,该连接和内容相关系统行为特征生成器可以用于基于连接相关系统行为参数和内容相关系统行为参数生成连接和内容相关系统行为特征。优选地,可以通过对连接相关系统行为参数和内容相关系统行为参数进行数据处理来生成连接和内容相关系统行为特征。[0049]网络行为特征导出器130可以基于系统行为特征导出恶意代码的网络行为特征。[0050]网络行为特征可以指网络侧与恶意代码的行为相关联的特征。网络行为特征可以包括连接相关网络行为特征、内容相关网络行为特征以及连接和内容相关网络行为特征中的至少一个。[0051]连接相关网络行为特征可以指与网络连接相关联的网络行为特征。例如,连接相关网络行为特征可以包括基本连接特征、基于时间的数据流特征、基于用户的数据流特征等。具体地,例如,基本连接特征可以指源IP地址的变化情况、目的地IP地址的变化情况、协议类型的变化情况、服务类型的变化情况等。基于时间的数据流特征可以指在预定时间段内收发数据包的情况等,例如,在2秒内发往某个目的地IP地址的数据包的情况、在2秒内使用某种协议类型的数据包的收发情况等。基于用户的数据流特征可以指一个用户收发数据包的情况等,例如,一个用户在指定时间段内收发数据包的情况、一个用户发往某个目的地IP地址的数据包的情况等。连接相关网络行为特征可以包括,但并不局限于,以上列举的几种特征中的一个或多个,其还可以包括其它与网络连接相关联的特征。优选地,网络行为特征导出器130可以进一步用于基于连接相关系统行为特征导出与网络连接相关联的连接相关网络行为特征。优选地,网络行为特征导出器130可以包括连接相关网络行为特征导出器,该连接相关网络行为特征导出器可以用于基于连接相关系统行为特征导出连接相关网络行为特征。将在后面结合具体实例说明该导出过程。[0052]内容相关网络行为特征可以指与应用层内容相关联的网络行为特征。例如,内容相关网络行为特征可以包括:所发送数据包中包含URL、所发送数据包中包含敏感数据等。具体地,例如,内容相关网络行为特征可以是所发送数据包中包含与恶意代码相关联的特定URL、所发送数据包中包含用户身份信息等。内容相关网络行为特征可以包括,但并不局限于,以上列举的几种特征中的一个或多个,其还可以包括其它与应用层内容相关联的特征。优选地,网络行为特征导出器130可以进一步用于基于内容相关系统行为特征导出与应用层内容相关联的内容相关网络行为特征。优选地,网络行为特征导出器130可以包括内容相关网络行为特征导出器,该内容相关网络行为特征导出器可以用于基于内容相关系统行为特征导出内容相关网络行为特征。将在后面结合具体实例说明该导出过程。[0053]连接和内容相关网络行为特征可以指与网络连接和应用层内容都相关联的网络行为特征。例如,连接和内容相关网络行为特征可以是频繁发送包含敏感信息的数据包等。连接和内容相关网络行为特征也可以是其它与网络连接和应用层内容都相关联的特征。优选地,网络行为特征导出器130可以进一步用于基于连接和内容相关系统行为特征导出与网络连接和应用层内容都相关联的连接和内容相关网络行为特征。优选地,网络行为特征导出器130可以包括连接和内容相关网络行为特征导出器,该连接和内容相关网络行为特征导出器可以用于基于连接和内容相关系统行为特征导出连接和内容相关网络行为特征。将在后面结合具体实例说明该导出过程。[0054]可选地,作为进一步的应用,网络行为特征导出器130所导出的恶意代码的网络行为特征可以被用作在网络数据流中检测恶意代码的捕获规则。例如,恶意代码的网络行为特征可被用于创建或添加到网络行为特征数据库,从而,可以利用该网络行为特征数据库中的网络行为特征去检测相对应的恶意代码。[0055]图2示出了根据本发明实施例的用于导出恶意代码的网络行为特征的方法200的流程图。[0056]在S210处,可以获取由恶意代码引起的系统行为参数。例如,可以由图1所示的系统行为参数获取器110来获取由恶意代码引起的系统行为参数。[0057]优选地,S210中的获取由恶意代码引起的系统行为参数的操作可以包括以下至少之一:获取与数据收发相关联的连接相关系统行为参数;以及获取与应用层内容相关联的内容相关系统行为参数。[0058]在S220处,可以基于系统行为参数生成系统行为特征。例如,可以由图1所示的系统行为特征生成器120来基于系统行为参数生成系统行为特征。[0059]优选地,S220中的基于系统行为参数生成系统行为特征的操作可以包括以下至少之一:基于连接相关系统行为参数生成与数据收发相关联的连接相关系统行为特征;基于内容相关系统行为参数生成与应用层内容相关联的内容相关系统行为特征;以及基于连接相关系统行为参数和内容相关系统行为参数,生成与数据收发以及应用层内容都相关联的连接和内容相关系统行为特征。[0060]在S230处,可以基于系统行为特征导出恶意代码的网络行为特征。例如,可以由图1所示的网络行为特征导出器130来基于系统行为特征导出恶意代码的网络行为特征。[0061]优选地,S230中的基于系统行为特征导出恶意代码的网络行为特征的操作可以包括以下至少之一:基于连接相关系统行为特征导出与网络连接相关联的连接相关网络行为特征;基于内容相关系统行为特征导出与应用层内容相关联的内容相关网络行为特征;以及基于连接和内容相关系统行为特征导出与网络连接和应用层内容都相关联的连接和内容相关网络行为特征。[0062]下面将以较为流行的移动恶意代码“小媒体(xiaomeiti)”为例来进一步示例性地说明图2所示的用于导出恶意代码的网络行为特征的方法的具体实现。[0063]“小媒体”是一种通常与安全软件、地图软件和办公软件绑定的木马。小媒体的可执行文件为mservice.exe,该可执行文件可以搜集手机系统的各种私密信息。所述私密信息可以包括手机用户名称字符串、手机IMSI号码、手机IMEI号码、手机操作系统主版本号/次版本号/修改版本号、手机屏幕尺寸、手机物理内存大小、手机系统语言、手机型号、平台信息、ID、联系人、呼叫记录、应用软件的帐号和密码等信息。小媒体可以将这些私密信息通过短消息发送到特定的移动号码,或者通过GPRS发送到指定网站的URL,如http://mob1.xiaomeit1.com。这些网站可能会对用户的私密信息进行分析并出售给不法分子。不法分子可能进而对感染木马的手机用户进行短信诈骗、电话骚扰、甚至远程控制等。小媒体可以由木马开发者手工附加到其它第三方应用软件的CAB安装包中,然后在手机用户下载该安装包时传播到手机。小媒体还可以定期地链接到网站(如mobile,xiaomeit1.com)以便尝试下载升级包。[0064]根据本发明的实施例,可以首先获取由小媒体引起的系统行为参数。优选地,系统行为参数可以包括连接相关系统行为参数和内容相关系统行为参数中的至少一个。[0065]由于小媒体可以调用敏感数据函数的API以获取私密信息、调用短消息API和短消息收发API以向特定的移动号码发送短消息、以及调用网络API以向http://mob1.xiaomeit1.com发送信息和从http://mob1.xiaomeit1.com下载文件等,因此,所获取的连接相关系统行为参数可以示意性地包括:[0066]【权利要求】1.一种用于导出恶意代码的网络行为特征的方法,包括:获取由恶意代码引起的系统行为参数;基于所述系统行为参数生成系统行为特征;以及基于所述系统行为特征导出恶意代码的网络行为特征。2.如权利要求1所述的方法,其中,所述获取由恶意代码引起的系统行为参数包括以下至少之一:获取与数据收发相关联的连接相关系统行为参数;以及获取与应用层内容相关联的内容相关系统行为参数。3.如权利要求2所述的方法,其中,所述基于所述系统行为参数生成系统行为特征包括以下至少之一:基于所述连接相关系统行为参数生成与数据收发相关联的连接相关系统行为特征;基于所述内容相关系统行为参数生成与应用层内容相关联的内容相关系统行为特征;以及基于所述连接相关系统行为参数和所述内容相关系统行为参数,生成与数据收发以及应用层内容都相关联的连接和内容相关系统行为特征。4.如权利要求3所述的方法,其中,所述基于所述系统行为特征导出恶意代码的网络行为特征包括以下至少之一:基于所述连接相关系统行为特征导出与网络连接相关联的连接相关网络行为特征;基于所述内容相关系统行为特征导出与应用层内容相关联的内容相关网络行为特征;以及基于所述连接和内容相关系统行为特征导出与网络连接和应用层内容都相关联的连接和内容相关网络行为特征。5.一种用于导出恶意代码的网络行为特征的装置,包括:系统行为参数获取器,用于获取由恶意代码引起的系统行为参数;系统行为特征生成器,用于基于所述系统行为参数生成系统行为特征;以及网络行为特征导出器,用于基于所述系统行为特征导出恶意代码的网络行为特征。6.如权利要求5所述的装置,其中,所述系统行为参数获取器进一步用于以下至少之获取与数据收发相关联的连接相关系统行为参数;以及获取与应用层内容相关联的内容相关系统行为参数。7.如权利要求6所述的装置,其中,所述系统行为特征生成器进一步用于以下至少之基于所述连接相关系统行为参数生成与数据收发相关联的连接相关系统行为特征;基于所述内容相关系统行为参数生成与应用层内容相关联的内容相关系统行为特征;以及基于所述连接相关系统行为参数和所述内容相关系统行为参数,生成与数据收发以及应用层内容都相关联的连接和内容相关系统行为特征。8.如权利要求7所述的装置,其中,所述网络行为特征导出器进一步用于以下至少之基于所述连接相关系统行为特征导出与网络连接相关联的连接相关网络行为特征;基于所述内容相关系统行为特征导出与应用层内容相关联的内容相关网络行为特征;以及基于所述连接和内容相关系统行为特征导出与网络连接和应用层内容都相关联的连接和内容相关网络行为特征。9.一种用于导出恶意代码的网络行为特征的设备,包括:存储器,用于存储可执行指令;处理器,用于根据所存储的可执行指令,执行如权利要求1-4中的任意一个权利要求所包括的步骤。10.一种机器可读介质,其上存储有可执行指令,当所述可执行指令被执行时,使得机器执行如权利要求1-4中的任意一个权利要求所包括的步骤。11.一种用于验证恶意代码的网络行为特征的方法,包括:确定与所要验证的网络行为特征相对应的网络行为参数;获取与所述网络行为参数相对应的系统行为参数;基于所述系统行为参数生成系统行为特征;以及将所述系统行为特征与所述网络行为特征进行比较,以确定所述网络行为特征的有效性。12.如权利要求11所述的方法,其中,所述网络行为特征包括以下至少之一:与网络连接相关联的连接相关网络行为特征;与应用层内容相关联的内容相关网络行为特征;以及与网络连接和应用层内容都相关联的连接和内容相关网络行为特征,并且其中,所述确定与所要验证的网络行为特征相对应的网络行为参数包括以下至少之一:确定与网络连接相关联的连接相关网络行为参数;以及确定与应用层内容相关联的内容相关网络行为参数。13.如权利要求12所述的方法,其中,所述获取与所述网络行为参数相对应的系统行为参数包括以下至少之一:获取与所述连接相关网络行为参数相对应的、与数据收发相关联的连接相关系统行为参数;以及获取与所述内容相关网络行为参数相对应的、与应用层内容相关联的内容相关系统行为参数。14.如权利要求13所述的方法,其中,所述基于所述系统行为参数生成系统行为特征包括以下至少之一:基于所述连接相关系统行为参数生成与数据收发相关联的连接相关系统行为特征;基于所述内容相关系统行为参数生成与应用层内容相关联的内容相关系统行为特征;以及基于所述连接相关系统行为参数和所述内容相关系统行为参数,生成与数据收发以及应用层内容都相关联的连接和内容相关系统行为特征,并且其中,所述将所述系统行为特征与所述网络行为特征进行比较包括以下至少之一:将所述连接相关网络行为特征与所述连接相关系统行为特征进行比较;将所述内容相关网络行为特征与所述内容相关系统行为特征进行比较;以及将所述连接和内容相关网络行为特征与所述连接和内容相关系统行为特征进行比较。15.一种用于验证恶意代码的网络行为特征的装置,包括:网络行为参数确定器,用于确定与所要验证的网络行为特征相对应的网络行为参数;系统行为参数获取器,用于获取与所述网络行为参数相对应的系统行为参数;系统行为特征生成器,用于基于所述系统行为参数生成系统行为特征;以及网络行为特征校验器,用于将所述系统行为特征与所述网络行为特征进行比较,以确定所述网络行为特征的有效性。16.一种用于验证恶意代码的网络行为特征的设备,包括:存储器,用于存储可执行指令;处理器,用于根据所存储的可执行指令,执行如权利要求11-14中的任意一个权利要求所包括的步骤。17.一种机器可读介质,其上存储有可执行指令,当所述可执行指令被执行时,使得机器执行如权利要求11-14中的任意一个权利要求所包括的步骤。【文档编号】H04L29/06GK103916365SQ201210592809【公开日】2014年7月9日申请日期:2012年12月31日优先权日:2012年12月31日【发明者】隋爱芬,郭代飞,李作为,汪涛,郭涛申请人:西门子公司