(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113343236A(43)申请公布日2021.09.03(21)申请号202110696841.0(22)申请日2021.06.23(71)申请人西安邮电大学地址710061陕西省西安市长安南路563号(72)发明人韩刚王贇玲罗维(74)专利代理机构西安亚信智佳知识产权代理事务所(普通合伙)61241代理人张西娟(51)Int.Cl.G06F21/56(2013.01)权利要求书2页说明书7页附图2页(54)发明名称一种动静检测融合的勒索病毒检测系统及方法(57)摘要本发明实施例是关于一种动静检测融合的勒索病毒检测系统及方法。包括：动态检测分析组件，用于实例化Observer组件并实时监控APK文件信息熵值，当所述APK文件信息熵值变大时判断所述APK文件为勒索病毒文件；静态检测分析组件，包括：信息提取模块，用于获取APK文件的基本信息，所述基本信息至少包括文件包名和API版本号；文件提取模块，用于获取所述APK文件的源码文件和资源文件；检测分析模块，至少包括签名分析子模块、权限分析子模块、API调用分析子模块和资源文件分析子模块中的一个。上述检测系统，可对安卓系统进行动态勒索病毒检测和静态勒索病毒检测，为后续病毒查杀打好基础，解决了传统安卓系统勒索病毒泛滥影响用户数据资产和计算资源安全问题。CN113343236ACN113343236A权利要求书1/2页1.一种动静检测融合的勒索病毒检测系统，应用于安卓系统的电子设备，其特征在于，包括：动态检测分析组件，用于实例化Observer组件并实时监控APK文件信息熵值，当所述APK文件信息熵值变大时判断所述APK文件为勒索病毒文件；静态检测分析组件，包括：信息提取模块，用于获取APK文件的基本信息，所述基本信息至少包括文件包名和API版本号；文件提取模块，用于获取所述APK文件的源码文件和资源文件；检测分析模块，至少包括签名分析子模块、权限分析子模块、API调用分析子模块和资源文件分析子模块中的一个；所述签名分析子模块用于根据所述APK文件中的开发者签名信息判断所述APK文件是否为勒索病毒文件；所述权限分析子模块用于根据所述APK文件权限判断所述APK文件是否为勒索病毒文件；所述API调用分析子模块用于调用所述源码文件，通过分析所述源码文件判断所述APK文件是否为勒索病毒文件；所述资源文件分析子模块用于调用所述资源文件，通过分析所述资源文件判断所述APK文件是否为勒索病毒文件；综合分析组件，用于当所述动态检测分析组件、签名分析子模块、权限分析子模块、API调用分析子模块和资源文件分析子模块中至少一个的判断结果为勒索病毒文件时，判定所述电子设备具有勒索病毒。2.根据权利要求1所述动静检测融合的勒索病毒检测系统，其特征在于，所述文件提取模块包括：反编译单元，用于对所述APK文件进行反编译从而得到源码文件和资源文件；发送单元，用于将所述源码文件发送至所述API调用分析子模块和将所述资源文件发送至所述资源文件分析子模块。3.根据权利要求2所述动静检测融合的勒索病毒检测系统，其特征在于，所述签名分析子模块包括：开发者存储单元，用于存储的勒索病毒开发者名单；签名比对单元，用于将所述APK文件中的开发者签名信息与所述勒索病毒开发者名单进行比对；第一判断单元，用于当所述勒索病毒开发者名单中存在所述APK文件中的开发者签名信息时判断所述APK文件为勒索病毒文件。4.根据权利要求2所述动静检测融合的勒索病毒检测系统，其特征在于，所述权限分析子模块包括：权限存储单元，用于存储已知的勒索病毒种类及与各种类勒索病毒分别对应的权限类型；权限比对单元，用于将所述APK文件权限类型与所述权限存储单元的权限类型进行比对；第二判断单元，用于当所述APK文件权限类型均存在于所述权限存储单元中时，判断所述APK文件为勒索病毒文件。5.根据权利要求4所述动静检测融合的勒索病毒检测系统，其特征在于，所述第二判断单元还用于当所述APK文件权限类型均存在于所述权限存储单元中且均属于某一勒索病毒2CN113343236A权利要求书2/2页种类所对应的权限类型时，判断所述APK文件为勒索病毒文件并获知其勒索病毒种类。6.根据权利要求2所述动静检测融合的勒索病毒检测系统，其特征在于，所述API调用分析子模块包括：程序化单元，用于调用所述源码文件，对所述源码文件中的各函数序列进行程序化处理，重构出所述各函数执行的调用关系；还原单元，通过所述各函数执行的调用关系还原所述源码文件原本执行的功能；第三判断单元，用于根据所述功能判断所述APK文件是否为勒索病毒文件。7.根据权利要求2所述动静检测融合的勒索病毒检测系统，其特征在于，所述资源文件包括：字符串、图片和文