本发明专利技术公开了一种检测方法,包括:根据策略库指定的特征提取策略,下载特定时间窗口对应的第一应用的文件,并从下载的文件中提取特征信息;将提取的特征信息与特征信息库中的信息进行匹配,得到匹配结果;利用匹配结果检测所述第一应用是否为恶意应用软件。本发明专利技术同时还公开了一种检测装置及计算机可读存储介质。
【技术实现步骤摘要】
一种检测方法、装置及计算机可读存储介质
本专利技术涉及通信领域的安全技术,尤其涉及一种检测方法、装置及计算机可读存储介质。
技术介绍
随着移动终端互联网的迅速发展,移动应用的数量和种类得到了空前的提高,用户安装移动应用已十分普及,同时移动终端上相应的恶意代码威胁也逐渐增多,所以智能终端所面临的安全问题日益突出,尤其是移动恶意软件使广大用户的利益遭受损失。目前用户通过移动智能终端进行支付、转账越来越普遍,同时在移动智能终端上存储大量的敏感信息,如用户银行账号、用户密码、保密文件等敏感信息,用户一旦安装或被植入恶意软件,用户就面临着敏感信息被窃取、账户资金被转移等安全风险,从而导致用户利益受损失,所以用户面临着被远程控制、恶意扣费、隐私被窃取等安全威胁。目前针对移动智能终端侧恶意软件的查杀,主要采用完全下载应用程序(APP),并进行特征信息提取,判断所提取的恶意特征信息是否存在于预先构建的恶意特征信息库中,依据判断结果,确定APP是否为恶意软件,从而进行恶意软件删除。但是,上述方式需要完整下载应用,才能进行查杀,如此,会大大增加成本。
技术实现思路
为解决现有存在的技术问题,本专利技术实施例提供一种检测方法、装置及计算机可读存储介质。本专利技术实施例的技术方案是这样实现的:本专利技术实施例提供了一种检测方法,包括:根据策略库指定的特征提取策略,下载特定时间窗口对应的第一应用的文件,并从下载的文件中提取特征信息;将提取的特征信息与特征信息库中的信息进行匹配,得到匹配结果;利用匹配结果检测所述第一应用是否为恶意应用软件。上述方案中,所述根据策略库指定的特征提取策略,下载特定时间窗口对应的第一应用的文件之前,所述方法还包括:针对所述第一应用对应的每个时间窗口,利用文件头标识,判断时间窗口对应的数据是否是文件数据,当时间窗口对应的数据是文件数据时,确定对应的时间窗口为一个候选时间窗口,得到至少一个候选时间窗口;相应地,所述根据策略库指定的特征提取策略,下载特定时间窗口对应的第一应用的文件,包括:从所述至少一个候选时间窗口中确定时间窗口对应的文件包含所述策略库指定的策略文件的至少一个特定时间窗口;针对确定的每个特定时间窗口,下载对应的第一应用的文件。上述方案中,所述从下载的文件中提取特征信息,包括:对下载的文件中的文件数据进行还原处理;从还原处理后的文件数据中提取特征信息。上述方案中,所述对下载的文件中的文件数据进行还原处理,包括:利用下载的所有文件数据形成第一部分文件;利用下载的所有文件数据的相关信息,构造对应的核心目录及目录结束标识,形成第二部分文件;将所述第一部分文件和第二部分文件进行组合,得到第一文件;将所述第一文件进行解压处理。上述方案中,所述从下载的文件中提取特征信息,包括:根据所述策略库中针对每个文件的特征提取策略,从对应的文件中提取特征信息。上述方案中,所述根据策略库指定的特征提取策略,下载特定时间窗口对应的第一应用的文件之前,所述方法还包括:利用所述第一应用的文件头标识,确定需要检测所述第一应用是否为恶意应用软件。上述方案中,所述方法还包括:依据应用的文件组成,创建所述策略库。本专利技术实施例还提供了一种检测装置,包括:下载及提取单元,用于根据策略库指定的特征提取策略,下载特定时间窗口对应的第一应用的文件,并从下载的文件中提取特征信息;检测单元,用于将提取的特征信息与特征信息库中的信息进行匹配,得到匹配结果;以及利用匹配结果检测所述第一应用是否为恶意应用软件。上述方案中,所述下载及提取单元,还用于:针对所述第一应用对应的每个时间窗口,利用文件头标识,判断时间窗口对应的数据是否是文件数据,当时间窗口对应的数据是文件数据时,确定对应的时间窗口为一个候选时间窗口,得到至少一个候选时间窗口;从所述至少一个候选时间窗口中确定时间窗口对应的文件包含所述策略库指定的策略文件的至少一个特定时间窗口;针对确定的每个特定时间窗口,下载对应的第一应用的文件。上述方案中,所述下载及提取单元,具体用于:对下载的文件中的文件数据进行还原处理;从还原处理后的文件数据中提取特征信息。上述方案中,所述下载及提取单元,还用于:利用所述第一应用的文件头标识,确定需要检测所述第一应用是否为恶意应用软件。上述方案中,所述装置还包括:创建单元,用于依据应用的文件组成,创建所述策略库。本专利技术实施例又提供了一种检测装置,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器用于运行所述计算机程序时,执行上述方法的步骤。本专利技术实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现上述方法的步骤。本专利技术实施例提供的检测方法、装置及计算机可读存储介质,根据策略库指定的特征提取策略,下载特定时间窗口对应的第一应用的文件,并从下载的文件中提取特征信息;将提取的特征信息与特征信息库中的信息进行匹配,得到匹配结果;利用匹配结果检测所述第一应用是否为恶意应用软件,采用基于时间窗口的检测技术,只需要下载少量数据就可提取应用恶意特征信息,不需要完整下载应用,用较少的资源即可进行恶意性检测,如此,大大降低了成本。附图说明在附图(其不一定是按比例绘制的)中,相似的附图标记可在不同的视图中描述相似的部件。附图以示例而非限制的方式大体示出了本文中所讨论的各个实施例。图1为本专利技术实施例检测的方法流程示意图;图2为本专利技术具体实施例恶意软件检测的方法流程示意图;图3为本专利技术具体实施例文件字节流格式示意图;图4为本专利技术具体实施例恶意软件检测框架流程示意图;图5本专利技术实施例检测装置结构示意图;图6为本专利技术实施例检测装置硬件结构示意图。具体实施方式下面结合附图及实施例对本专利技术再作进一步详细的描述。专利技术人在实现本专利技术的过程中,发现目前移动应用恶意软件检测的主要方式有两种:(1)下载完整样本文件后,在不需要对样本解包的情况下,计算样本消息摘要算法第五版(MD5)值、安全哈希算法(SHA1)等样本特征值,判断所计算得到的样本特征值是否存在于预先构建的恶意特征信息库中,依据判断结果,确定是否为恶意软件。这种方式可以在不解析应用样本的前提下,直接计算样本MD5、SHA1等特征值,与已预先构建的特征库进行比对的方式实现,实现简单方便。但是,前提是必须下载完整的应用样本,同时只能简单计算MD5等特征值,特征比对较为单一,难以取得较好的检测效果。(2)下载完整样本文件后,对样本进行解包、反汇编源代码,然后对生成的代码文件进行解析,提取文件特征、签名证书特征、代码结构特征、恶意行为特征等样本特征信息,判断所提取的样本特征信息是否存在于预先构建的恶意特征信息库中,依据判断结果,确定是否为恶意软件。这种方式中,需要对已下载的应用样本进行解包并生成源代码,通过提取源代码文件中的特征信息,已预先构建的特征库进行比对的方式实现。然而,目前应用样本文件大小越来远大,有些应用文件大小能够达到几百兆,甚至几千兆。对于这么大的应用样本进行解包,还原源代码进行特征提取,需要较长的时间,检测效率较低,同时仍需下载完整的应用样本,用户体验较差。基于此,在本专利技术的各种实施例中:根据策略库指定的特征提取策略,下载特定时间窗口对应的第一应用的文件,并从下载的文件中提取本文档来自技高网...
【技术保护点】
1.一种检测方法,其特征在于,所述方法包括:根据策略库指定的特征提取策略,下载特定时间窗口对应的第一应用的文件,并从下载的文件中提取特征信息;将提取的特征信息与特征信息库中的信息进行匹配,得到匹配结果;利用匹配结果检测所述第一应用是否为恶意应用软件。
【技术特征摘要】
1.一种检测方法,其特征在于,所述方法包括:根据策略库指定的特征提取策略,下载特定时间窗口对应的第一应用的文件,并从下载的文件中提取特征信息;将提取的特征信息与特征信息库中的信息进行匹配,得到匹配结果;利用匹配结果检测所述第一应用是否为恶意应用软件。2.根据权利要求1所述的方法,其特征在于,所述根据策略库指定的特征提取策略,下载特定时间窗口对应的第一应用的文件之前,所述方法还包括:针对所述第一应用对应的每个时间窗口,利用文件头标识,判断时间窗口对应的数据是否是文件数据,当时间窗口对应的数据是文件数据时,确定对应的时间窗口为一个候选时间窗口,得到至少一个候选时间窗口;相应地,所述根据策略库指定的特征提取策略,下载特定时间窗口对应的第一应用的文件,包括:从所述至少一个候选时间窗口中确定时间窗口对应的文件包含所述策略库指定的策略文件的至少一个特定时间窗口;针对确定的每个特定时间窗口,下载对应的第一应用的文件。3.根据权利要求1所述的方法,其特征在于,所述从下载的文件中提取特征信息,包括:对下载的文件中的文件数据进行还原处理;从还原处理后的文件数据中提取特征信息。4.根据权利要求3所述的方法,其特征在于,所述对下载的文件中的文件数据进行还原处理,包括:利用下载的所有文件数据形成第一部分文件;利用下载的所有文件数据的相关信息,构造对应的核心目录及目录结束标识,形成第二部分文件;将所述第一部分文件和第二部分文件进行组合,得到第一文件;将所述第一文件进行解压处理。5.根据权利要求1所述的方法,其特征在于,所述从下载的文件中提取特征信息,包括:根据所述策略库中针对每个文件的特征提取策略,从对应的文件中提取特征信息。6.根据权利要求1至5任一项所述的方法,其特征在于,所述根据策略库指定的特征提取策略,下载特定时间窗口对应的第一应用的文件之前,所述方法还包括:利用所述第一应用的文件头标...
【专利技术属性】
技术研发人员:张二鹏,彭华熹,
申请(专利权)人:中国移动通信有限公司研究院,中国移动通信集团公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。