The invention discloses a defense method, device and readable medium of an application program, belonging to the field of security detection technology. The method and device provided by the invention determines whether an application program has performed sensitive behavior by acquiring the invocation of the sensitive application program interface API of the system, obtains the application program invoking the sensitive API when the sensitive API is invoked, and based on the sensitive A. The invocation of PI and the application calling sensitive API generate sensitive behavior records; based on the generated sensitive behavior records, the preset trigger condition of security detection is invoked to determine whether the application meets the set trigger condition of security detection, and when the application meets the trigger condition of security detection, the application is immediately triggered for security detection. The process does not require active trigger detection by users or security software. The method provided by the present invention has better real-time performance and low latency, and can detect malicious applications that perform malicious acts in a timely and fast manner.
【技术实现步骤摘要】
一种应用程序的防御方法、装置和可读介质
本专利技术涉及安全检测
,尤其涉及一种应用程序的防御方法、装置和可读介质。
技术介绍
随着计算机技术的发展,应用程序越来越多,而这些应用程序中不免存在一些恶意应用程序,这些恶意应用程序一旦安装到用户终端上,可能会导致用户的敏感数据受到威胁,因此,对用户终端上安装的应用程序的安全性检测,有效防御恶意应用程序是十分重要的。现有技术根据检测时机的不同,提供了三种检测方案,参考图1所示,一种是在应用程序安装时,利用安全软件对应用程序进行静态扫描和检测,另一种是在安全软件内设置定时扫描机制,定时对终端上安装的全部应用程序进行静态扫描和检测,再者就是用户使用安全软件时,通过界面交互主动触发安全软件对终端上安装的应用程序进行静态扫描和检测。专利技术人发现,现有技术提供的三种方法,需要安全软件或者用户主动参与才能触发扫描和检测,会导致防御效果具有一定的时延,此外,当恶意应用程序发生了变种(例如批量重打包和批量混淆等),采用现有技术提供的方法不一定能快速识别出这类恶意应用程序。因此,如何及时地对应用程序进行安全性检测,进而有效识别出恶意应用程序是值得考虑的问题之一。
技术实现思路
本专利技术实施例提供一种应用程序的防御方法、装置和可读介质,用以及时地对应用程序进行安全性检测。第一方面,本专利技术实施例提供一种应用程序的防御方法,包括:获取系统的敏感应用程序接口API的调用情况,以确定是否有应用程序执行了敏感行为;当所述敏感API被调用时,获取调用所述敏感API的应用程序;根据所述敏感API的调用情况以及调用所述敏感API的应用程序生 ...
【技术保护点】
1.一种应用程序的防御方法,其特征在于,包括:获取系统的敏感应用程序接口API的调用情况,以确定是否有应用程序执行了敏感行为;当所述敏感API被调用时,获取调用所述敏感API的应用程序;根据所述敏感API的调用情况以及调用所述敏感API的应用程序生成敏感行为记录;基于所述敏感行为记录,调用预设的安全性检测触发条件以确定所述应用程序是否满足安全性检测触发条件;在所述应用程序满足所述安全性检测触发条件时,对所述应用程序进行安全性检测。
【技术特征摘要】
1.一种应用程序的防御方法,其特征在于,包括:获取系统的敏感应用程序接口API的调用情况,以确定是否有应用程序执行了敏感行为;当所述敏感API被调用时,获取调用所述敏感API的应用程序;根据所述敏感API的调用情况以及调用所述敏感API的应用程序生成敏感行为记录;基于所述敏感行为记录,调用预设的安全性检测触发条件以确定所述应用程序是否满足安全性检测触发条件;在所述应用程序满足所述安全性检测触发条件时,对所述应用程序进行安全性检测。2.如权利要求1所述的方法,其特征在于,还包括:向云端服务器发送安全性检测触发条件更新查询请求;若接收到更新后的安全性检测触发条件,则利用更新后的安全性检测触发条件更新自身的安全性检测触发条件。3.如权利要求1所述的方法,其特征在于,对所述应用程序进行安全性检测,具体包括:将所述应用程序的敏感行为记录转换成敏感行为向量;将所述敏感行为向量输入到训练好的安全性检测模型中;根据所述安全性检测模型的输出结果,确定所述应用程序的安全性检测是否通过。4.如权利要求1所述的方法,其特征在于,所述敏感行为记录包括所述敏感行为的标识信息;基于所述敏感行为记录,调用预设的安全性检测触发条件以确定所述应用程序是否满足安全性检测触发条件,具体包括:若确定出所述敏感行为的标识信息在设定的关键敏感行为标识列表中,则确定所述应用程序满足安全性检测触发条件。5.如权利要求4所述的方法,其特征在于,所述敏感行为记录中,还包括:所述应用程序历次执行的敏感行为的标识信息构成的敏感行为标识序列;若确定出所述敏感行为的标识信息不在设定的关键敏感行为标识列表中,则基于所述敏感行为记录,调用预设的安全性检测触发条件以确定所述应用程序是否满足安全性检测触发条件,具体包括:确定当前时间对应的增量统计时间段;基于敏感行为标识序列包含的属于该增量统计时间段的敏感行为的标识信息的数量,确定该增量统计时间段内敏感行为的累积增量;若确定出所述累积增量不小于设定的增量阈值,则确定所述应用程序满足安全性检测触发条件,并调整下一增量统计时间段;若确定出所述累积增量小于设定的增量阈值,则确定所述应用程序不满足安全性检测触发条件,并调整下一增量统计时间段。6.如权利要求4所述的方法,其特征在于,所述敏感行为记录中,还包括:所述应用程序历次执行的敏感行为的标识信息构成的敏感行为标识序列,以及每个敏感行为记录的接收时间;若确定出所述敏感行为的标识信息不在设定的关键敏感行为标识列表中,则基于所述敏感行为记录,调用预设的安全性检测触发条件以确定所述应用程序是否满足安全性检测触发条件,具体包括:根据敏感行为标识序列及接收时间,确定最近一次接收到所述应用程序的敏感行为记录的接收时间和首次接收到所述应用程序的敏感行为记录的接收时间之间的时间差;若确定出所述时间差不小于预设时长,则确定所述应用程序满足安全性检测触发条件。7.如权利要求1所述的方法,其特征在于,所述敏感行为记录中,还包括:所述应用程序历次执行的敏感行为的标识信息构成的敏感行为标识序列;基于所述敏感行为记录,调用预设的安全性检测触发条件以确定所述应用程序是否满足安全性检测触发条件,具体包括:确定当前时间对应的增量统计时间段;并基于敏感行为标识序列包含的属于该增量统计时间段的敏感行为的标识信息的数量,确定该增量统计时间段内敏感行为的累积增...
【专利技术属性】
技术研发人员:李莹,罗元海,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。