一种恶意应用的检测方法、装置及存储介质制造方法及图纸

本申请公开了一种恶意应用的检测方法、装置及存储介质。该应用检测方法包括：获取操作系统的初始信息；获取操作系统的运行信息；将合法应用信息与待检测应用信息进行比对，或者将初始状态下的配置信息与运行状态下的配置信息进行比对，得到比对结果；在比对结果不相同的情况下，确定操作系统上的待检测应用为恶意应用。本方法将操作系统在初始状态下和在运行状态下的配置信息进行比对，将操作系统的合法应用信息和待检测应用信息进行比对，从而对待检测应用的安全性进行检测，并评估待检测应用的恶意等级，能够节省大量的计算和存储资源，提高检测效率，且对代码发生变化或采用代码混淆、加壳等技术的恶意应用检测仍有效，提高检测结果的准确性。高检测结果的准确性。高检测结果的准确性。

【技术实现步骤摘要】
【国外来华专利技术】一种恶意应用的检测方法、装置及存储介质


[0001]本申请涉及计算机
，尤其涉及一种恶意应用的检测方法、装置及存储介质。

技术介绍

[0002]应用(Application，App)，是为完成某一项或多项特定工作的计算机程序。基于Linux内核的操作系统，例如安卓(Android)系统，主要应用于移动终端设备。由于基于Linux内核的操作系统代码的开源以及丰富的扩展性，基于Linux内核的操作系统开发的App功能越来越多样，极大的满足了人们日常生活中的各种需求。
[0003]但是，依附于拥有庞大用户量的终端系统，通过恶意App进行欺诈、扣费、挖矿等行为的黑色产业也在快速发展。黑色产业对用户的数据安全造成重大影响。例如，搭载Android系统的车机，与车机进行通信的移动终端设备因受到恶意App攻击，导致车主隐私数据泄露，甚至严重威胁车辆的驾驶安全。因此，对基于Linux内核的操作系统的应用安全性的检测，一直以来都是信息安全人员研究的重点课题。
[0004]目前所采用的应用检测方法是对App的源代码进行检测，但是需要耗费大量的本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种恶意应用的检测方法，其特征在于，包括：获取操作系统的初始信息，其中，所述初始信息包括所述操作系统的合法应用信息或所述操作系统在初始状态下的配置信息，所述初始状态为所述操作系统首次运行前的状态；获取所述操作系统的运行信息，所述运行信息包括所述操作系统的待检测应用信息或所述操作系统在运行状态下的配置信息；将所述合法应用信息与所述待检测应用信息进行比对，或者将所述初始状态下的配置信息与所述运行状态下的配置信息进行比对，得到比对结果；在所述比对结果不相同的情况下，确定所述操作系统上的待检测应用为恶意应用。2.根据权利要求1所述的检测方法，其特征在于，所述将所述初始状态下的配置信息与所述运行状态下的配置信息进行比对，具体包括：将所述操作系统在所述初始状态下的配置信息的散列值和所述操作系统在所述运行状态下的配置信息的散列值进行比对。3.根据权利要求1或2所述的检测方法，其特征在于，所述将所述初始状态下的配置信息与所述运行状态下的配置信息进行比对，具体包括：将第一配置信息与第二配置信息进行比对，其中，所述第一配置信息为所述操作系统在所述初始状态下的系统启动进程的配置信息，所述第二配置信息为所述操作系统在所述运行状态下的系统启动进程的配置信息；或者，将第三配置信息与第四配置信息进行比对，其中，所述第三配置信息为所述操作系统在所述初始状态下的用户登录所述操作系统进程的配置信息，所述第四配置信息为所述操作系统在所述运行状态下的用户登录所述操作系统进程的配置信息。4.根据权利要求1
‑
3中任一项所述的检测方法，其特征在于，所述将所述合法应用信息与所述待检测应用信息进行比对，具体包括：将所述合法应用信息中的应用名称和所述待检测应用信息中的应用名称进行比对；或者，将第五配置信息与第六配置信息进行比对，其中，所述第五配置信息包括所述待检测应用在初始状态下的应用启动进程的配置信息，所述第六配置信息包括所述待检测应用在运行状态下的应用启动进程的配置信息。5.根据权利要求1
‑
4中任一项所述的检测方法，其特征在于，所述检测方法还包括：根据所述初始信息和所述运行信息，确定所述待检测应用的恶意等级。6.根据权利要求5所述的检测方法，其特征在于，所述根据所述初始信息和所述运行信息，确定所述待检测应用的恶意等级，具体包括：在所述第一配置信息和所述第二配置信息不同的情况下，确定所述待检测应用为第一级恶意应用；在所述第一配置信息和所述第二配置信息相同、且所述第三配置信息和所述第四配置信息不同的情况下，确定所述待检测应用为第二级恶意应用，其中，所述第二级恶意应用的恶意等级低于所述第一级恶意应用的恶意等级。7.根据权利要求6所述的检测方法，其特征在于，所述根据所述初始信息和所述运行信
息，确定所述待检测应用的恶意等级，具体包括：在所述第一配置信息和所述第二配置信息相同、所述第三配置信息和所述第四配置信息相同、且所述合法应用信息中的应用名称和所述待检测应用信息中的应用名称不同的情况下，确定所述待检测应用为第三级恶意应用，其中，所述第三级恶意应用的恶意等级低于所述第二级恶意应用的恶意等级。8.根据权利要求7所述的检测方法，其特征在于，所述根据所述初始信息和所述运行信息，确定所述待检测应用的恶意等级，具体包括：在所述第一配置信息和所述第二配置信息相同、所述第三配置信息和所述第四配置信息相同、所述合法应用信息中的应用名称和所述待检测应用信息中的应用名称相同、且所述第五配置信息和所述第六配置信息不同的情况下，确定所述待检测应用为第四级恶意应用，其中，所述第四级恶意应用的恶意等级低于所述第三级恶意应用的恶意等级。9.一种恶意应用的检测装置，其特征在于，包括：获取单元，用于获取操作系统的初始信息，其中，所述初始信息包括所述操作系统的合法应用信息或所述操作系统在初始状态下的配置信息，所述初始状态为所述操作系统首次运行前的状态；所述获取单元，还用于获取所...

【专利技术属性】
技术研发人员：那键，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：