The invention discloses a method and a device for detecting program characteristics. Among them, the method comprises the following steps: feature type acquisition program features and program characteristics to be detected of the input is the feature type; query from the database security indicator information, has the characteristics of sample program package in accordance with the instructions, safety information is used for indicating the safety characteristics of the sample package; according to the sample package safety instructions to determine whether the program features to detect virus feature. The invention solves the technical problem that the program characteristics of the Android software can not be accurately identified in the relevant technology.
【技术实现步骤摘要】
程序特征的检测方法和装置
本专利技术涉及程序安全领域,具体而言,涉及一种程序特征的检测方法和装置。
技术介绍
随着移动互联网的迅速发展,具有移动操作系统的智能手机和平板得到了大范围应用。由于不再局限于普通的通讯功能,智能手机等拥有独立的操作系统,因而人们可以使用智能手机随时随地进行收发邮件、购物、交易等,移动互联网市场已经显露出它巨大的价值。而在此背景下的安全风险也随之而来:恶意软件、钓鱼网站越来越多,公共wifi之类的风险应用场景也越来越多。相比于其他操作系统,随着基于linux内核的安卓智能手机操作系统的市场份额越来越多,安卓手机已经成为当前恶意软件最重要的攻击目标。安卓系统是一种开源的操作系统,开发人员可以将应用程序直接上传到市场供用户使用而无需经过任何审查。方便快捷的开发方式激发了各种功能的应用程序的涌现,也进一步促进了安卓操作系统的发展和普及,但也使它面临着更大的风险。移动设备存储量的增长,使其能够存储大量的个人信息和商业数据;另外,安卓智能手机可以支持支付业务,且供应商,销售商,批发商,内容提供商,移动操作者以及银行都在创建各种新的移动支付业务。这些都使移动设备等成为了攻击者们的众矢之的。越来越多的恶意程序利用移动设备来获取用户资料,进行恶意扣费和系统破坏。恶意程序利用移动设备来恶意拨打电话,发送垃圾短信,泄露用户证书,和破坏手机软硬件的事例已经屡见不鲜。对安卓设备上的恶意软件检测方法主要分为静态检测和动态检测两种方法。静态检测是在不运行应用程序的前提下,通过分析反编译应用程序,获取程序的源代码,或者分析程序的外部特征如文件签名等对恶意软件进行 ...
【技术保护点】
一种程序特征的检测方法,其特征在于,包括:获取输入的待检测的程序特征和所述程序特征所属的特征类型;按照所述特征类型从数据库中查询具有所述程序特征的样本程序包的安全指示信息,其中,所述安全指示信息用于指示所述样本程序包的安全特性;根据所述样本程序包的安全指示信息确定所述待检测的程序特征是否为病毒特征。
【技术特征摘要】
1.一种程序特征的检测方法,其特征在于,包括:获取输入的待检测的程序特征和所述程序特征所属的特征类型;按照所述特征类型从数据库中查询具有所述程序特征的样本程序包的安全指示信息,其中,所述安全指示信息用于指示所述样本程序包的安全特性;根据所述样本程序包的安全指示信息确定所述待检测的程序特征是否为病毒特征。2.根据权利要求1所述的方法,其特征在于,在所述样本程序包为一个的情况下,根据所述样本程序包的安全指示信息确定所述待检测的程序特征是否为病毒特征包括:若所述安全指示信息指示所述样本程序包为病毒程序包,则确定所述待检测的程序特征为疑似病毒特征;若所述安全指示信息指示所述样本程序包是安全程序包,则确定所述待检测的程序特征为安全特征。3.根据权利要求1所述的方法,其特征在于,在所述样本程序包为多个的情况下,根据所述样本程序包的安全指示信息确定所述待检测的程序特征是否为病毒特征包括:基于各个所述样本程序包的安全指示信息确定所述样本程序包为病毒程序包或者为安全程序包;若确定多个所述样本程序包全部为所述安全程序包,则确定所述待检测的程序特征为安全特征;若确定的病毒程序包的个数超过预设个数,则确定所述待检测的程序特征为所述病毒特征;若确定的病毒程序包的个数不超过所述预设个数,则确定所述待检测的程序特征为疑似病毒特征。4.根据权利要求3所述的方法,其特征在于,所述安全指示信息包括多个安全维度信息,其中,基于各个所述样本程序包的安全指示信息确定所述样本程序包为病毒程序包或者为安全程序包包括:获取样本程序包的安全指示信息的每个所述安全维度信息的属性值和每个安全维度信息的权重;判断每个所述安全维度信息的属性值和权重的乘积之和是否超过预设阈值;若超过所述预设阈值,则确定所述样本程序包为所述安全程序包;若未超过所述预设阈值,则确定所述样本程序包为所述病毒程序包。5.根据权利要求1所述的方法,其特征在于,按照所述特征类型从数据库中查询具有所述程序特征的样本程序包的安全指示信息包括:按照所述特征类型从所述数据库中查询具有所述程序特征的程序碎片;将查找到的程序碎片中,属于同一程序包的程序碎片进行拼接,得到所述样本程序包;读取查找到的样本程序包的安全指示信息。6.根据权利要求5所述的方法,其特征在于,在按照所述特征类型从所述数据库中查询具有所述程序特征的程序碎片之前,所述方法还包括:从收集到的源程序包中提取属于多个特征类型的程序碎片;将提取到的程序碎片按照所述程序碎片所属的特征类型,保存入所述数据库,并以字典分词的方式建立所述数据库的索引。7.根据权利要求6所述的方法,其特征在于,按照所述特征类型从所述数据库中查询具有所述程序特征的程序碎片包括:利用所述特征类型和所述索引,查询所述数据库中具有所述程序特征的程序碎片。8.根据权利要求6所述的方法,其特征在于,所述多个特征类型包括下述至少之二:程序包名、程序证书、程序的数据容量大小、程序的版本、程序所属的类以及程序的常量字符串。9.一种程序特征的检...
【专利技术属性】
技术研发人员:罗绍华,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。