一种应用程序的防御方法、装置和可读介质制造方法及图纸

本发明专利技术公开了一种应用程序的防御方法、装置和可读介质，属于安全检测技术领域，本发明专利技术提供的方法及装置中，通过获取系统的敏感应用程序接口API的调用情况以确定是否有应用程序执行了敏感行为，在敏感API被调用时获取调用该敏感API的应用程序，并基于敏感API的调用情况以及调用敏感API的应用程序生成敏感行为记录；基于生成的敏感行为记录，调用预设的安全性检测触发条件来确定应用程序是否符合设置的安全性检测触发条件，且在确定出应用程序满足安全性检测触发条件时，立即触发对应用程序进行安全性检测的流程，不需要用户或安全软件主动触发检测，采用本发明专利技术提供的方法实时性更强且低时延，能够及时且快速的检测出执行恶意行为的恶意应用程序。

A Defense Method, Device and Readable Media for Application Programs

The invention discloses a defense method, device and readable medium of an application program, belonging to the field of security detection technology. The method and device provided by the invention determines whether an application program has performed sensitive behavior by acquiring the invocation of the sensitive application program interface API of the system, obtains the application program invoking the sensitive API when the sensitive API is invoked, and based on the sensitive A. The invocation of PI and the application calling sensitive API generate sensitive behavior records; based on the generated sensitive behavior records, the preset trigger condition of security detection is invoked to determine whether the application meets the set trigger condition of security detection, and when the application meets the trigger condition of security detection, the application is immediately triggered for security detection. The process does not require active trigger detection by users or security software. The method provided by the present invention has better real-time performance and low latency, and can detect malicious applications that perform malicious acts in a timely and fast manner.

【技术实现步骤摘要】
一种应用程序的防御方法、装置和可读介质
本专利技术涉及安全检测
，尤其涉及一种应用程序的防御方法、装置和可读介质。
技术介绍
随着计算机技术的发展，应用程序越来越多，而这些应用程序中不免存在一些恶意应用程序，这些恶意应用程序一旦安装到用户终端上，可能会导致用户的敏感数据受到威胁，因此，对用户终端上安装的应用程序的安全性检测，有效防御恶意应用程序是十分重要的。现有技术根据检测时机的不同，提供了三种检测方案，参考图1所示，一种是在应用程序安装时，利用安全软件对应用程序进行静态扫描和检测，另一种是在安全软件内设置定时扫描机制，定时对终端上安装的全部应用程序进行静态扫描和检测，再者就是用户使用安全软件时，通过界面交互主动触发安全软件对终端上安装的应用程序进行静态扫描和检测。专利技术人发现，现有技术提供的三种方法，需要安全软件或者用户主动参与才能触发扫描和检测，会导致防御效果具有一定的时延，此外，当恶意应用程序发生了变种(例如批量重打包和批量混淆等)，采用现有技术提供的方法不一定能快速识别出这类恶意应用程序。因此，如何及时地对应用程序进行安全性检测，进而有效识别出恶意应用程序是值得考虑的问题之一。
技术实现思路
本专利技术实施例提供一种应用程序的防御方法、装置和可读介质，用以及时地对应用程序进行安全性检测。第一方面，本专利技术实施例提供一种应用程序的防御方法，包括：获取系统的敏感应用程序接口API的调用情况，以确定是否有应用程序执行了敏感行为；当所述敏感API被调用时，获取调用所述敏感API的应用程序；根据所述敏感API的调用情况以及调用所述敏感API的应用程序生成敏感行为记录；基于所述敏感行为记录，调用预设的安全性检测触发条件以确定所述应用程序是否满足安全性检测触发条件；在所述应用程序满足所述安全性检测触发条件时，对所述应用程序进行安全性检测。通过设置安全性检测触发条件，在生成应用程序的敏感行为记录后，可以及时地基于生成的敏感行为记录确定应用程序是否符合设置的安全性检测触发条件，从而及时有效地对应用程序进行安全性检测。第二方面，本专利技术实施例提供一种应用程序的防御装置，包括：事件监控模块，用于获取系统的敏感应用程序接口API的调用情况，以确定是否有应用程序执行了敏感行为；当所述敏感API被调用时，获取调用所述敏感API的应用程序；根据所述敏感API的调用情况以及调用所述敏感API的应用程序生成敏感行为记录；向量生成模块，用于基于所述敏感行为记录，调用预设的安全性检测触发条件以确定所述应用程序是否满足安全性检测触发条件；检测模块，用于在所述向量生成模块确定出所述应用程序满足所述安全性检测触发条件时，则对所述应用程序进行安全性检测。第三方面，本专利技术实施例提供一种计算机可读介质，存储有计算机可执行指令，所述计算机可执行指令用于执行本申请提供的应用程序的防御方法。第四方面，本专利技术实施例提供一种电子设备，包括：至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本申请提供的应用程序的防御方法。本专利技术有益效果：本专利技术实施例提供的应用程序的防御方法、装置和可读介质，通过获取系统的敏感应用程序接口API的调用情况以确定是否有应用程序执行了敏感行为，然后在敏感API被调用时获取调用该敏感API的应用程序，并基于敏感API的调用情况以及调用敏感API的应用程序生成敏感行为记录，并基于生成的敏感行为记录，调用预设的安全性检测触发条件来确定应用程序是否符合预先设置的安全性检测触发条件，且在确定出应用程序满足安全性检测触发条件时，立即触发对应用程序进行安全性检测的流程，不需要用户或安全软件主动触发检测，采用本专利技术提供的方法实时性更强，且时延更低，能够更及时且快速的检测出执行恶意行为的恶意应用程序。本专利技术的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本专利技术的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1为现有技术中对应用程序进行安全性检测的执行逻辑架构示意图；图2a为实施本专利技术实施例提供的应用程序的防御方法的终端设备的执行逻辑架构示意图；图2b为本专利技术实施例提供的应用程序的防御方法中安全性检测触发条件更新方法的应用场景示意图；图3为本专利技术实施例提供的应用程序的防御方法的流程示意图之一；图4为本专利技术实施例提供的基于敏感行为记录确定应用程序是否满足调用的安全性检测触发条件的流程示意图之一；图5为本专利技术实施例提供的基于敏感行为记录确定应用程序是否满足调用的安全性检测触发条件的流程示意图之二；图6为本专利技术实施例提供的基于敏感行为记录确定应用程序是否满足调用的安全性检测触发条件的流程示意图之三；图7为本专利技术实施例提供的在确定出应用程序满足调用的安全性检测触发条件之后，在对应用程序进行安全性检测之前的流程示意图；图8为本专利技术实施例提供的应用程序的防御方法的流程示意图之二；图9为本专利技术实施例提供的在步骤S82中确定出当前监控的应用程序的数量大于预设的数量阈值之后，在对监控时长满足清理条件的应用程序进行安全性检测之前的流程示意图；图10为本专利技术实施例提供的应用程序的防御方法的流程示意图之三；图11为本专利技术实施例提供的应用程序的防御装置的结构示意图；图12为本专利技术实施例提供的实施应用程序的防御方法的终端设备的结构示意图。具体实施方式本专利技术实施例提供的数据应用程序的防御方法、装置和可读介质，用以及时地对应用程序进行安全性检测。以下结合说明书附图对本专利技术的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本专利技术，并不用于限定本专利技术，并且在不冲突的情况下，本专利技术中的实施例及实施例中的特征可以相互组合。为了便于理解本专利技术，本专利技术涉及的技术术语中：1、APK：AndroidPackage的缩写，本专利技术指Android应用程序。2、插桩：在Android系统特定代码处插入一段自定义代码，系统运行这段特定代码时会执行插入的自定义代码。3、恶意应用程序，是指具有恶意行为的Android应用程序。4、敏感API，是指Android系统中与敏感行为相关的应用程序接口(applicationprogramminginterface，API)。现有技术常采用安装的安全软件或者用户参与才能够触发扫描和检测，会存在防御效果不及时的问题，当恶意应用程序伪装成正常应用来安装，在运行时从云端下载恶意子包来动态加载运行，在应用退出后删除下载的恶意子包，如果采用现有技术提供的方法，会存在无法实时有效的检测出上述恶意行为。为了解决现有技术无法及时有效地检测出恶意行为，无法及时地对应用程序进行安全性检测的问题，本专利技术实施例给出了解决方案，提供了一种终端设备，参考图2a所示，为该终端设备的结构示意图，该终端设备包括事件监控模块，向量生成模块和检测引擎，该检测引擎包括检测模块，事件监控模块用于获取系统的敏感本文档来自技高网...

【技术保护点】
1.一种应用程序的防御方法，其特征在于，包括：获取系统的敏感应用程序接口API的调用情况，以确定是否有应用程序执行了敏感行为；当所述敏感API被调用时，获取调用所述敏感API的应用程序；根据所述敏感API的调用情况以及调用所述敏感API的应用程序生成敏感行为记录；基于所述敏感行为记录，调用预设的安全性检测触发条件以确定所述应用程序是否满足安全性检测触发条件；在所述应用程序满足所述安全性检测触发条件时，对所述应用程序进行安全性检测。

【技术特征摘要】
1.一种应用程序的防御方法，其特征在于，包括：获取系统的敏感应用程序接口API的调用情况，以确定是否有应用程序执行了敏感行为；当所述敏感API被调用时，获取调用所述敏感API的应用程序；根据所述敏感API的调用情况以及调用所述敏感API的应用程序生成敏感行为记录；基于所述敏感行为记录，调用预设的安全性检测触发条件以确定所述应用程序是否满足安全性检测触发条件；在所述应用程序满足所述安全性检测触发条件时，对所述应用程序进行安全性检测。2.如权利要求1所述的方法，其特征在于，还包括：向云端服务器发送安全性检测触发条件更新查询请求；若接收到更新后的安全性检测触发条件，则利用更新后的安全性检测触发条件更新自身的安全性检测触发条件。3.如权利要求1所述的方法，其特征在于，对所述应用程序进行安全性检测，具体包括：将所述应用程序的敏感行为记录转换成敏感行为向量；将所述敏感行为向量输入到训练好的安全性检测模型中；根据所述安全性检测模型的输出结果，确定所述应用程序的安全性检测是否通过。4.如权利要求1所述的方法，其特征在于，所述敏感行为记录包括所述敏感行为的标识信息；基于所述敏感行为记录，调用预设的安全性检测触发条件以确定所述应用程序是否满足安全性检测触发条件，具体包括：若确定出所述敏感行为的标识信息在设定的关键敏感行为标识列表中，则确定所述应用程序满足安全性检测触发条件。5.如权利要求4所述的方法，其特征在于，所述敏感行为记录中，还包括：所述应用程序历次执行的敏感行为的标识信息构成的敏感行为标识序列；若确定出所述敏感行为的标识信息不在设定的关键敏感行为标识列表中，则基于所述敏感行为记录，调用预设的安全性检测触发条件以确定所述应用程序是否满足安全性检测触发条件，具体包括：确定当前时间对应的增量统计时间段；基于敏感行为标识序列包含的属于该增量统计时间段的敏感行为的标识信息的数量，确定该增量统计时间段内敏感行为的累积增量；若确定出所述累积增量不小于设定的增量阈值，则确定所述应用程序满足安全性检测触发条件，并调整下一增量统计时间段；若确定出所述累积增量小于设定的增量阈值，则确定所述应用程序不满足安全性检测触发条件，并调整下一增量统计时间段。6.如权利要求4所述的方法，其特征在于，所述敏感行为记录中，还包括：所述应用程序历次执行的敏感行为的标识信息构成的敏感行为标识序列，以及每个敏感行为记录的接收时间；若确定出所述敏感行为的标识信息不在设定的关键敏感行为标识列表中，则基于所述敏感行为记录，调用预设的安全性检测触发条件以确定所述应用程序是否满足安全性检测触发条件，具体包括：根据敏感行为标识序列及接收时间，确定最近一次接收到所述应用程序的敏感行为记录的接收时间和首次接收到所述应用程序的敏感行为记录的接收时间之间的时间差；若确定出所述时间差不小于预设时长，则确定所述应用程序满足安全性检测触发条件。7.如权利要求1所述的方法，其特征在于，所述敏感行为记录中，还包括：所述应用程序历次执行的敏感行为的标识信息构成的敏感行为标识序列；基于所述敏感行为记录，调用预设的安全性检测触发条件以确定所述应用程序是否满足安全性检测触发条件，具体包括：确定当前时间对应的增量统计时间段；并基于敏感行为标识序列包含的属于该增量统计时间段的敏感行为的标识信息的数量，确定该增量统计时间段内敏感行为的累积增...

【专利技术属性】
技术研发人员：李莹，罗元海，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44