程序特征的检测方法和装置制造方法及图纸

本发明专利技术公开了一种程序特征的检测方法和装置。其中，该方法包括：获取输入的待检测的程序特征和程序特征所属的特征类型；按照特征类型从数据库中查询具有程序特征的样本程序包的安全指示信息，其中，安全指示信息用于指示样本程序包的安全特性；根据样本程序包的安全指示信息确定待检测的程序特征是否为病毒特征。本发明专利技术解决了相关技术中不能对安卓软件的程序特征进行准确识别的技术问题。

Method and apparatus for detecting program characteristics

The invention discloses a method and a device for detecting program characteristics. Among them, the method comprises the following steps: feature type acquisition program features and program characteristics to be detected of the input is the feature type; query from the database security indicator information, has the characteristics of sample program package in accordance with the instructions, safety information is used for indicating the safety characteristics of the sample package; according to the sample package safety instructions to determine whether the program features to detect virus feature. The invention solves the technical problem that the program characteristics of the Android software can not be accurately identified in the relevant technology.

【技术实现步骤摘要】
程序特征的检测方法和装置
本专利技术涉及程序安全领域，具体而言，涉及一种程序特征的检测方法和装置。
技术介绍
随着移动互联网的迅速发展，具有移动操作系统的智能手机和平板得到了大范围应用。由于不再局限于普通的通讯功能，智能手机等拥有独立的操作系统，因而人们可以使用智能手机随时随地进行收发邮件、购物、交易等，移动互联网市场已经显露出它巨大的价值。而在此背景下的安全风险也随之而来：恶意软件、钓鱼网站越来越多，公共wifi之类的风险应用场景也越来越多。相比于其他操作系统，随着基于linux内核的安卓智能手机操作系统的市场份额越来越多，安卓手机已经成为当前恶意软件最重要的攻击目标。安卓系统是一种开源的操作系统，开发人员可以将应用程序直接上传到市场供用户使用而无需经过任何审查。方便快捷的开发方式激发了各种功能的应用程序的涌现，也进一步促进了安卓操作系统的发展和普及，但也使它面临着更大的风险。移动设备存储量的增长，使其能够存储大量的个人信息和商业数据；另外，安卓智能手机可以支持支付业务，且供应商，销售商，批发商，内容提供商，移动操作者以及银行都在创建各种新的移动支付业务。这些都使移动设备等成为了攻击者们的众矢之的。越来越多的恶意程序利用移动设备来获取用户资料，进行恶意扣费和系统破坏。恶意程序利用移动设备来恶意拨打电话，发送垃圾短信，泄露用户证书，和破坏手机软硬件的事例已经屡见不鲜。对安卓设备上的恶意软件检测方法主要分为静态检测和动态检测两种方法。静态检测是在不运行应用程序的前提下，通过分析反编译应用程序，获取程序的源代码，或者分析程序的外部特征如文件签名等对恶意软件进行检测。而动态检测则是将应用程序运行在沙箱或者安卓系统中，在程序运行的过程中，分析程序的运行轨迹，查看程序对系统敏感资源的通信情况和使用情况，检测出程序对用户资料或者系统敏感资源的泄露来判定为恶意软件或者病毒。在现有的静态检测中，主要是根据安卓包提取数字签名，或运行权限做的静态分析，并得到恶意软件检测结果，以确定该apk软件是否为恶意软件。在上述方法中，由于数字签名可以被更改，因此，其并不能全面地反映恶意软件的特征，因此，仅根据数字签名进行恶意软件检测，不能够高效准确地对恶意软件进行识别。针对上述的问题，目前尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供了一种程序特征的检测方法和装置，以至少解决相关技术中不能对安卓软件的程序特征进行准确识别的技术问题。根据本专利技术实施例的一个方面，提供了一种程序特征的检测方法，该方法包括：获取输入的待检测的程序特征和程序特征所属的特征类型；按照特征类型从数据库中查询具有程序特征的样本程序包的安全指示信息，其中，安全指示信息用于指示样本程序包的安全特性；根据样本程序包的安全指示信息确定待检测的程序特征是否为病毒特征。根据本专利技术实施例的另一方面，还提供了一种程序特征的检测装置，该装置包括：获取单元，用于获取输入的待检测的程序特征和程序特征所属的特征类型；查询单元，用于按照特征类型从数据库中查询具有程序特征的样本程序包的安全指示信息，其中，安全指示信息用于指示样本程序包的安全特性；确定单元，用于根据样本程序包的安全指示信息确定待检测的程序特征是否为病毒特征。在本专利技术实施例中，在获取输入的待检测的程序特征和程序特征所属的特征类型之后，按照特征类型从数据库中查询具有程序特征的样本程序包的安全指示信息(安全指示信息用于指示样本程序包的安全特性)，并根据得到的样本程序包的安全指示信息确定待检测的程序特征是否为病毒特征，与相关技术中使用程序的签名信息进行病毒检测的方法相比，本申请的方案可以将需要检测程序的各类程序特征与海量数据库(数据库中存储有实时采集到的各类应用市场的程序应用的特征，如google应用市场、安卓市场、机锋市场等)中的样本程序包进行对比，以确定待检测的程序特征是否为病毒特征，从而解决了相关技术中不能对安卓软件的程序特征进行准确识别的技术问题，实现了对安卓软件的程序特征是否为病毒特征或者安全特征的准确判断，同时还能通过对程序特征的识别判断出待检测程序是否为包括病毒或木马的恶意软件。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本申请的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1是根据本专利技术实施例的一种终端的硬件环境示意图；图2是根据本专利技术实施例的一种可选的程序特征的检测方法的流程图；图3是根据本专利技术实施例的另一种可选的程序特征的检测方法的流程图；图4是根据本专利技术实施例的第三种可选的程序特征的检测方法的流程图；图5是根据本专利技术实施例的第四种可选的程序特征的检测方法的流程图；图6是根据本专利技术实施例的第五种可选的程序特征的检测方法的流程图；图7是根据本专利技术实施例的第六种可选的程序特征的检测方法的流程图；图8是根据本专利技术实施例的一种可选的程序特征的检测装置的示意图；图9是根据本专利技术实施例的另一种可选的程序特征的检测装置的示意图；图10是根据本专利技术实施例的第三种可选的程序特征的检测装置的示意图；图11是根据本专利技术实施例的第四种可选的程序特征的检测装置的示意图；图12是根据本专利技术实施例的第五种可选的程序特征的检测装置的示意图；以及图13是根据本专利技术实施例的另一种终端的硬件环境示意图。具体实施方式首先，对本专利技术实施例中涉及的术语解释如下：APK：即安卓软件的安装包。Eclipse：一种用于编译安卓软件包的编译软件。AXMLPrinter2：一种典型的用于反编译的软件。为了使本
的人员更好地理解本专利技术方案，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分的实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本专利技术保护的范围。需要说明的是，本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。实施例1根据本专利技术实施例，提供了一种程序特征的检测方法，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。可选地，在本实施例中，上述的检测方法可以应用于如图1所示的检测终端10和服务器20所构成的硬件环境中。如图1所示，检测终端20通过网络与服务器20进行连接。上述的终端可以为移动终端或者固定终端，如笔记本电脑、台式电脑、平板电脑和PDA，以及其他的手持设备。上述网络包括但不限于：广域网、城域网或局域网。优选地，上述的网络为局域网。根据本专利技术实施例，提供本文档来自技高网...

【技术保护点】
一种程序特征的检测方法，其特征在于，包括：获取输入的待检测的程序特征和所述程序特征所属的特征类型；按照所述特征类型从数据库中查询具有所述程序特征的样本程序包的安全指示信息，其中，所述安全指示信息用于指示所述样本程序包的安全特性；根据所述样本程序包的安全指示信息确定所述待检测的程序特征是否为病毒特征。

【技术特征摘要】
1.一种程序特征的检测方法，其特征在于，包括：获取输入的待检测的程序特征和所述程序特征所属的特征类型；按照所述特征类型从数据库中查询具有所述程序特征的样本程序包的安全指示信息，其中，所述安全指示信息用于指示所述样本程序包的安全特性；根据所述样本程序包的安全指示信息确定所述待检测的程序特征是否为病毒特征。2.根据权利要求1所述的方法，其特征在于，在所述样本程序包为一个的情况下，根据所述样本程序包的安全指示信息确定所述待检测的程序特征是否为病毒特征包括：若所述安全指示信息指示所述样本程序包为病毒程序包，则确定所述待检测的程序特征为疑似病毒特征；若所述安全指示信息指示所述样本程序包是安全程序包，则确定所述待检测的程序特征为安全特征。3.根据权利要求1所述的方法，其特征在于，在所述样本程序包为多个的情况下，根据所述样本程序包的安全指示信息确定所述待检测的程序特征是否为病毒特征包括：基于各个所述样本程序包的安全指示信息确定所述样本程序包为病毒程序包或者为安全程序包；若确定多个所述样本程序包全部为所述安全程序包，则确定所述待检测的程序特征为安全特征；若确定的病毒程序包的个数超过预设个数，则确定所述待检测的程序特征为所述病毒特征；若确定的病毒程序包的个数不超过所述预设个数，则确定所述待检测的程序特征为疑似病毒特征。4.根据权利要求3所述的方法，其特征在于，所述安全指示信息包括多个安全维度信息，其中，基于各个所述样本程序包的安全指示信息确定所述样本程序包为病毒程序包或者为安全程序包包括：获取样本程序包的安全指示信息的每个所述安全维度信息的属性值和每个安全维度信息的权重；判断每个所述安全维度信息的属性值和权重的乘积之和是否超过预设阈值；若超过所述预设阈值，则确定所述样本程序包为所述安全程序包；若未超过所述预设阈值，则确定所述样本程序包为所述病毒程序包。5.根据权利要求1所述的方法，其特征在于，按照所述特征类型从数据库中查询具有所述程序特征的样本程序包的安全指示信息包括：按照所述特征类型从所述数据库中查询具有所述程序特征的程序碎片；将查找到的程序碎片中，属于同一程序包的程序碎片进行拼接，得到所述样本程序包；读取查找到的样本程序包的安全指示信息。6.根据权利要求5所述的方法，其特征在于，在按照所述特征类型从所述数据库中查询具有所述程序特征的程序碎片之前，所述方法还包括：从收集到的源程序包中提取属于多个特征类型的程序碎片；将提取到的程序碎片按照所述程序碎片所属的特征类型，保存入所述数据库，并以字典分词的方式建立所述数据库的索引。7.根据权利要求6所述的方法，其特征在于，按照所述特征类型从所述数据库中查询具有所述程序特征的程序碎片包括：利用所述特征类型和所述索引，查询所述数据库中具有所述程序特征的程序碎片。8.根据权利要求6所述的方法，其特征在于，所述多个特征类型包括下述至少之二：程序包名、程序证书、程序的数据容量大小、程序的版本、程序所属的类以及程序的常量字符串。9.一种程序特征的检...

【专利技术属性】
技术研发人员：罗绍华，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44