本发明专利技术公开了一种应用程序检测方法及装置,其中,所述方法包括:在属于白名单的应用程序运行时,获取该应用程序的程序特征;根据所述程序特征获取与所述程序特征对应的应用程序的运行列表;根据所述运行列表监控与所述程序特征对应的应用程序的运行。本实施例中的应用程序检测方法能够有效监控白名单中应用程序的运行,进而保证客户端中程序运行的安全,且保证客户端的安全。
【技术实现步骤摘要】
本专利技术涉及网络安全技术,具体涉及一种应用程序检测方法及装置。
技术介绍
传统的恶意程序防杀主要依赖于特征库模式,特征库是由厂商收集到的恶意程序样本的特征码组成,而特征码则是分析工程师从恶意程序中找到和正当软件的不同之处,截取一段类似于“搜索关键词”的程序代码。当查杀过程中,引擎会读取文件并与特征库中的所有特征码“关键词”进行匹配,如果发现文件程序代码被命中,就可以判定该文件程序为恶意程序。之后又衍生出了在本地启发式杀毒的方式,是以特定方式实现的动态高度器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。恶意程序和正常程序的区别可以体现在许多方面,比如:通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而恶意程序通常最初的指令则是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处,一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术实际上就是把这种经验和知识移植到一个查杀病毒软件中的具体程序体现。但是上述查杀恶意软件的方法都是基于恶意行为和/或恶意特征,先对一个程序判定其是否为恶意程序,然后再决定是否进行查杀或清理。这就不可避免导致出现了如下弊端。第一:恶意程序数量呈几何级增长,基于这种爆发式的增速,特征库的生成与更新往往是滞后的,特征库中恶意程序的特征码的补充跟不上层出不穷的未知恶意程序;第二:恶意程序制作者对免杀技术的应用,通过对恶意程序加壳或修改该恶意程序的特征码的手法越来越多的出现;以及许多木马程序采用了更多更频繁快速的自动变形,这些都导致通过恶意行为和/或恶意特征对恶意程序进行判定的难度越来越大,导致较多的恶意程序被确定为白名单,由此,该些恶意程序在设备/客户端中造成破坏。鉴于此,如何保证白名单中所有的程序都能够安全运行成为当前需要解决的技术问题。
技术实现思路
针对现有技术中的缺陷,本专利技术提供了一种应用程序检测方法及装置,该应用程序检测方法能够有效保证客户端中属于白名单的应用程序的安全运行,保证客户端的安全。第一方面,本专利技术提供一种应用程序检测装置,包括:程序特征获取单元,用于在属于白名单的应用程序运行时,获取该应用程序的程序特征;运行列表获取单元,用于根据所述程序特征获取与所述程序特征对应的应用程序的运行列表;监控单元,用于根据所述运行列表监控与所述程序特征对应的应用程序的运行。可选的,所述运行列表获取单元,具体用于:将所述程序特征获取单元获取的应用程序的程序特征发送服务器,以使服务器根据预设规则确定与所述程序特征对应的应用程序的运行列表;接收所述服务器发送的所述应用程序的运行列表。可选的,所述运行列表获取单元,具体用于:将获取的该应用程序的程序特征和所述客户端的系统环境信息发送服务器,以使服务器查找与所述系统环境信息匹配的预设规则,根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表。可选的,所述运行列表获取单元,具体用于:将获取的该应用程序的程序特征和所述客户端的系统环境信息发送服务器,以使服务器查找与所述系统环境信息匹配的预设规则,根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表和所述客户端的风险等级。可选的,所述运行列表获取单元,具体用于:接收所述服务器发送的所述应用程序的运行列表和所述客户端的风险等级;所述监控单元,具体用于:采用所述客户端的风险等级对应的检测规则和所述运行列表监控与所述程序特征对应的应用程序的运行。可选的,所述监控单元,具体用于:在监控到与所述程序特征对应的应用程序的运行行为属于所述运行列表时,拦截该应用程序的运行行为;或者,在监控到与所述程序特征对应的应用程序的运行行为属于所述运行列表时,将该应用程序的运行行为的信息发送所述服务器,以使所述服务器根据统计规则判断是否允许该应用程序继续运行;接收所述服务器发送的判断结果,根据所述判断结果对所述应用程序进行处理;其中,所述运行列表包括:拦截该应用程序的至少一个运行行为的信息;所述统计规则为根据多个客户端中的该应用程序运行行为统计的。第二方面,本专利技术还提供了一种应用程序检测方法,包括:在属于白名单的应用程序运行时,获取该应用程序的程序特征;根据所述程序特征获取与所述程序特征对应的应用程序的运行列表;根据所述运行列表监控与所述程序特征对应的应用程序的运行。可选的,所述根据所述程序特征获取与所述程序特征对应的应用程序的运行列表,包括:将获取的该应用程序的程序特征发送服务器,以使服务器根据预设规则确定与所述程序特征对应的应用程序的运行列表;所述根据所述运行列表监控与所述程序特征对应的应用程序的运行之前,所述方法还包括:接收所述服务器发送的所述应用程序的运行列表。可选的,所述根据所述程序特征获取与所述程序特征对应的应用程序的运行列表,包括:将获取的该应用程序的程序特征和所述客户端的系统环境信息发送服务器,以使服务器查找与所述系统环境信息匹配的预设规则,根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表。可选的,所述根据所述程序特征获取与所述程序特征对应的应用程序的运行列表,包括:将获取的该应用程序的程序特征和所述客户端的系统环境信息发送服务器,以使服务器查找与所述系统环境信息匹配的预设规则,根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表和所述客户端的风险等级。可选的,所述方法还包括:所述接收所述服务器发送的所述应用程序的运行列表,包括:接收所述服务器发送的所述应用程序的运行列表和所述客户端的风险等级;相应地,所述根据所述运行列表监控与所述程序特征对应的应用程序的运行,包括:采用所述客户端的风险等级对应的检测规则和所述运行列表监控与所述程序特征对应的应用程序的运行。可选的,所述根据所述运行列表监控与所述程序特征对应的应用程序的运行,包括:所述运行列表包括:拦截该应用程序的至少一个运行行为的信息;监控到与所述程序特征对应的应用程序的运行行为属于所述运行列表时,拦截该应用程序的运行行为;或者,监控到与所述程序特征对应的应用程序的运行行为属于所述运本文档来自技高网...
【技术保护点】
一种应用程序检测装置,其特征在于,包括:程序特征获取单元,用于在属于白名单的应用程序运行时,获取该应用程序的程序特征;运行列表获取单元,用于根据所述程序特征获取与所述程序特征对应的应用程序的运行列表;监控单元,用于根据所述运行列表监控与所述程序特征对应的应用程序的运行。
【技术特征摘要】
1.一种应用程序检测装置,其特征在于,包括:
程序特征获取单元,用于在属于白名单的应用程序运行时,获取
该应用程序的程序特征;
运行列表获取单元,用于根据所述程序特征获取与所述程序特征
对应的应用程序的运行列表;
监控单元,用于根据所述运行列表监控与所述程序特征对应的应
用程序的运行。
2.根据权利要求1所述的装置,其特征在于,所述运行列表获取
单元,具体用于:
将所述程序特征获取单元获取的应用程序的程序特征发送服务
器,以使服务器根据预设规则确定与所述程序特征对应的应用程序的
运行列表;
接收所述服务器发送的所述应用程序的运行列表。
3.根据权利要求1所述的装置,其特征在于,所述运行列表获取
单元,具体用于:
将获取的该应用程序的程序特征和所述客户端的系统环境信息
发送服务器,以使服务器查找与所述系统环境信息匹配的预设规则,
根据查找的预设规则确定与所述程序特征对应的应用程序的运行列
表。
4.根据权利要求1所述的装置,其特征在于,所述运行列表获取
单元,具体用于:
将获取的该应用程序的程序特征和所述客户端的系统环境信息
发送服务器,以使服务器查找与所述系统环境信息匹配的预设规则,
根据查找的预设规则确定与所述程序特征对应的应用程序的运行列
表和所述客户端的风险等级。
5.根据权利要求4所述的装置,其特征在于,所述运行列表获取
\t单元,具体用于:
接收所述服务器发送的所述应用程序的运行列表和所述客户端
的风险等级;
所述监控单元,具体用于:
采用所述客户端的风险等级对应的检测规则和所述运行列表监
控与所述程序特征对应的应用程序的运行。
6.一种应用程序检测方法,其特征在于,包括:
在属于白名单的应用程序运行时,获取该应用程序的程序特...
【专利技术属性】
技术研发人员:张晓霖,何博,张聪,王亮,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。