恶意软件检测方法及装置制造方法及图纸

本发明专利技术公开了一种恶意软件检测方法及装置，属于软件检测技术领域。所述方法包括：获取待检测软件的软件名称；提取待检测软件的软件名称中包含的目标类型字符；检测是否存在与待检测软件的软件名称中包含的目标类型字符相匹配的恶意软件字符，恶意软件字符是指恶意软件的软件名称中包含的目标类型字符；若存在，则确定待检测软件为恶意软件。本发明专利技术利用恶意软件的软件名称与正常的非恶意软件的软件名称存在明显区别这一特性，通过获取待检测软件的软件名称，根据待检测软件的软件名称检测待检测软件是否为恶意软件，有助于提高检出成功率、降低误报率以及提升检测效率。

【技术实现步骤摘要】
恶意软件检测方法及装置
本专利技术实施例涉及软件检测
，特别涉及一种恶意软件检测方法及装置。
技术介绍
恶意软件是指在计算机系统上执行恶意任务的应用程序。终端安装恶意软件之后，恶意软件会进行恶意扣费、发送欺诈信息或窃取用户个人信息等操作，严重影响安全性。因此，需要对恶意软件进行自动检测。在相关技术中，通过对待检测软件的代码进行分析，提取待检测软件的代码特征，将待检测软件的代码特征与恶意软件的代码特征进行比对，如果两者匹配，则将待检测软件确定为恶意软件。由于大部分的恶意软件所执行的恶意操作为恶意扣费、发送欺诈信息或窃取用户个人信息，从软件的代码所实现的操作来看，其与正常的非恶意软件并无明显差异。因此，上述相关技术提供的基于代码特征比对的恶意软件检测方法，存在检出成功率低、误报率高的问题。
技术实现思路
为了解决相关技术提供的基于代码特征比对的恶意软件检测方法所存在的检出成功率低、误报率高的问题，本专利技术实施例提供了一种恶意软件检测方法及装置。所述技术方案如下：第一方面，提供了一种恶意软件检测方法，所述方法包括：获取待检测软件的软件名称；提取所述待检测软件的软件名称中包含的目标类型字符；检测是否存在与所述待检测软件的软件名称中包含的目标类型字符相匹配的恶意软件字符，所述恶意软件字符是指恶意软件的软件名称中包含的目标类型字符；若存在与所述待检测软件的软件名称中包含的目标类型字符相匹配的恶意软件字符，则确定所述待检测软件为恶意软件。第二方面，提供了一种恶意软件检测装置，所述装置包括：第一获取模块，用于获取待检测软件的软件名称；第一提取模块，用于提取所述待检测软件的软件名称中包含的目标类型字符；第一检测模块，用于检测是否存在与所述待检测软件的软件名称中包含的目标类型字符相匹配的恶意软件字符，所述恶意软件字符是指恶意软件的软件名称中包含的目标类型字符；第一确定模块，用于若存在与所述待检测软件的软件名称中包含的目标类型字符相匹配的恶意软件字符，则确定所述待检测软件为恶意软件。本专利技术实施例提供的技术方案可以带来如下有益效果：利用恶意软件的软件名称与正常的非恶意软件的软件名称存在明显区别这一特性，通过获取待检测软件的软件名称，根据待检测软件的软件名称检测待检测软件是否为恶意软件，有助于提高检出成功率及降低误报率。另外，相较于相关技术提供的基于代码特征比对的恶意软件检测方法，本专利技术实施例无需对软件代码进行分析，仅需对软件名称进行分析处理，因此检测效率会得到大幅提升。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1A是本专利技术一个实施例提供的恶意软件检测方法的流程图；图1B是本专利技术实施例涉及的一个界面示意图；图2是本专利技术一个实施例提供的确定恶意软件字符的方法的流程图；图3是本专利技术另一个实施例提供的恶意软件检测方法的流程图；图4A是本专利技术另一个实施例提供的恶意软件检测方法的流程图；图4B是图4A实施例涉及的步骤403的流程图；图5是本专利技术一个实施例提供的恶意软件检测装置的框图；图6是本专利技术一个实施例提供的终端的结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术实施方式作进一步地详细描述。在本专利技术实施例中，尝试从其它维度对恶意软件进行检测。通过对一些恶意软件进行分析发现，这些恶意软件的软件名称与正常的非恶意软件的软件名称存在明显区别。因此，在本专利技术实施例中，通过获取待检测软件的软件名称，根据待检测软件的软件名称检测待检测软件是否为恶意软件，以达到提高检出成功率、降低误报率的目的。本专利技术实施例提供的方法，各步骤的执行主体可以是终端。例如，终端可以是诸如手机、平板电脑、电子书阅读器、多媒体播放设备、PDA(PersonalDigitalAssistant，个人数字助理)、PC(PersonalComputer，个人计算机)等电子设备。可选地，终端是基于Android(安卓)操作系统的移动终端。当然，本专利技术实施例并不限定终端的操作系统还可以是iOS操作系统、WindowsPhone操作系统等其它操作系统。下面将基于上面所述的本专利技术实施例涉及的共性方面，对本专利技术实施例进一步详细说明。请参考图1A，其示出了本专利技术一个实施例提供的恶意软件检测方法的流程图。该方法可以包括如下步骤。步骤101，获取待检测软件的软件名称。软件名称(softname)也称为软件名，是软件的标识符。不同的软件对应于不同的软件名称。在一个示例中，步骤101包括如下几个子步骤：步骤101a，读取待检测软件的应用程序包中的信息描述文件；待检测软件的应用程序包即是指待检测软件的安装包。信息描述文件是待检测软件的基础配置文件，软件的应用程序包中包含信息描述文件。以待检测软件为Android应用程序为例，Android应用程序的应用程序包称为APK(Androidapplicationpackage)。Android应用程序的信息描述文件是manifest文件，也即AndroidManifest.4ml文件。在信息描述文件中，开发者可以说明软件的基础信息，比如软件名称、入口页面、所需要的权限信息、版本信息等。信息描述文件也可称为清单文件。步骤101b，读取上述信息描述文件中的软件名称条目中的数据，并将读取到的数据作为待检测软件的软件名称。待检测软件的信息描述文件中存在一个记录有待检测软件的软件名称的条目(可称为软件名称条目)，终端从该条目中读取待检测软件的软件名称。以待检测软件为Android应用程序为例，从Android应用程序的manifest文件中读取软件名称。步骤102，提取待检测软件的软件名称中包含的目标类型字符。软件名称中可以包含中文字符(也即汉字)、韩文字符、日文字符、英文字母、希腊字母、拉丁字母、俄文字母、数字、符号、标点等多种不同类型的字符。目标类型字符可以是一种类型的字符，也可以是多种类型的字符。在本专利技术实施例中，主要以目标类型字符为中文字符进行介绍说明。但是，在本专利技术实施例中，并不限定目标类型字符还可以是其它某一类型的字符，如日文字符；或者也可以是其它多种类型的字符，如中文字符和日文字符。终端首先识别待检测软件的软件名称中包含的目标类型字符，然后提取识别出的目标类型字符。以目标类型字符为中文字符为例，终端首先识别待检测软件的软件名称中包含的中文字符，然后提取识别出的中文字符。可选地，终端获取待检测软件的软件名称之后，检测待检测软件的软件名称中包含的目标类型字符的字符数量是否大于预设字符数量；若字符数量大于预设字符数量，则执行步骤102；若字符数量不大于预设字符数量，则不执行步骤102，结束流程。以目标类型字符为中文字符为例，软件名称中包含的中文字符的字符数量是指软件名称中包含的汉字的个数。例如，待检测软件的软件名称为“蜜ぃ汁ぃ影ぃ城”，其包含的中文字符为“蜜汁影城”，中文字符的字符数量为4。预设字符数量可以是预先根据经验设定的经验值，例如3或4。通过上述方式，当待检测软件的软件名称中包含的目标类型字符的字符数量大本文档来自技高网...

【技术保护点】
一种恶意软件检测方法，其特征在于，所述方法包括：获取待检测软件的软件名称；提取所述待检测软件的软件名称中包含的目标类型字符；检测是否存在与所述待检测软件的软件名称中包含的目标类型字符相匹配的恶意软件字符，所述恶意软件字符是指恶意软件的软件名称中包含的目标类型字符；若存在与所述待检测软件的软件名称中包含的目标类型字符相匹配的恶意软件字符，则确定所述待检测软件为恶意软件。

【技术特征摘要】
1.一种恶意软件检测方法，其特征在于，所述方法包括：获取待检测软件的软件名称；提取所述待检测软件的软件名称中包含的目标类型字符；检测是否存在与所述待检测软件的软件名称中包含的目标类型字符相匹配的恶意软件字符，所述恶意软件字符是指恶意软件的软件名称中包含的目标类型字符；若存在与所述待检测软件的软件名称中包含的目标类型字符相匹配的恶意软件字符，则确定所述待检测软件为恶意软件。2.根据权利要求1所述的方法，其特征在于，所述检测是否存在与所述待检测软件的软件名称中包含的目标类型字符相匹配的恶意软件字符，包括：获取所述待检测软件的软件名称中包含的目标类型字符对应的特征值；检测恶意软件特征值集合中是否存在与所述待检测软件对应的特征值相同的恶意软件特征值，其中，所述恶意软件特征值集合中包括至少一个恶意软件特征值，每一个恶意软件特征值是指一个恶意软件字符对应的特征值；若所述恶意软件特征值集合中存在与所述待检测软件对应的特征值相同的恶意软件特征值，则确定存在与所述待检测软件的软件名称中包含的目标类型字符相匹配的恶意软件字符。3.根据权利要求2所述的方法，其特征在于，所述获取所述待检测软件的软件名称中包含的目标类型字符对应的特征值，包括：采用消息摘要算法计算所述待检测软件的软件名称中包含的目标类型字符对应的消息摘要，并将所述消息摘要作为所述待检测软件对应的特征值；或者，采用哈希算法计算所述待检测软件的软件名称中包含的目标类型字符对应的哈希值，并将所述哈希值作为所述待检测软件对应的特征值。4.根据权利要求1所述的方法，其特征在于，所述检测是否存在与所述待检测软件的软件名称中包含的目标类型字符相匹配的恶意软件字符之前，还包括：获取恶意软件样本的软件名称；提取所述恶意软件样本的软件名称中包含的目标类型字符；检测所述恶意软件样本的软件名称中包含的目标类型字符是否符合预设条件，其中，所述预设条件包括以下至少一项：软件名称中包含的目标类型字符间隔排列且间隔数大于预设间隔数、软件名称中包含的目标类型字符之后存在预设字符或预设字符串、软件名称中包含的目标类型字符之后紧接着非目标类型字符且非目标类型字符的数量大于预设门限值；若所述恶意软件样本的软件名称中包含的目标类型字符符合所述预设条件，则确定所述恶意软件样本的软件名称中包含的目标类型字符为所述恶意软件字符。5.根据权利要求4所述的方法，其特征在于，所述检测所述恶意软件样本的软件名称中包含的目标类型字符是否符合预设条件之后，还包括：若所述恶意软件样本的软件名称中包含的目标类型字符符合所述预设条件，则确定所述恶意软件样本的软件名称中包含的目标类型字符为候选恶意软件字符；获取所述候选恶意软件字符对应的提取次数，所述提取次数是指从所述恶意软件样本的软件名称中提取到所述候选恶意软件字符的次数；检测所述提取次数是否大于预设次数；若所述提取次数大于所述预设次数，则将所述候选恶意软件字符确定为所述恶意软件字符。6.根据权利要求1至5任一项所述的方法，其特征在于，所述方法还包括：对于每一个恶意软件字符，检测所述恶意软件字符是否与从非恶意软件样本的软件名称中提取的目标类型字符相匹配；若所述恶意软件字符与所述从非恶意软件样本的软件名称中提取的目标类型字符相匹配，则删除所述恶意软件字符。7.根据权利要求1至5任一项所述的方法，其特征在于，所述获取待检测软件的软件名称，包括：读取所述待检测软件的应用程序包中的...

【专利技术属性】
技术研发人员：王俊豪，吴彬，毕磊，张友旭，周强，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44