应用程序风险识别的方法和装置制造方法及图纸

本发明专利技术涉及应用程序风险识别的方法和装置，该方法包括：提取待执行应用程序的数字签名证书，从所述数字签名证书中提取所述待执行应用程序的软件发布者；判断所述待执行应用程序的软件发布者是否存在于预设的安全数字签名软件发布者集合；若是，则判定所述待执行应用程序为正常程序，否则触发异常告警。本发明专利技术通过对软件发布者数字签名进行统计分析，在待执行应用程序运行前实时对应用程序的数字签名进行判断，能够在一定程度上识别冒用合法软件发布者数字签名的恶意程序，发现异常，及时进行安全风险预警。

【技术实现步骤摘要】
应用程序风险识别的方法和装置
本专利技术涉及计算机
，尤其涉及应用程序风险识别的方法和装置。
技术介绍
由于利用数字签名能够识别软件发布者的身份，一般正规软件都具备软件发布者的数字签名信息，因此主流的杀毒软件和安全应用都添加了白名单策略，根据软件数字签名判断软件发布者来源，进而判断程序来源。如果程序具有合法软件发布者的数字签名，则直接将该程序判定为正常，来提高恶意程序检测的效率。因此，具有合法软件发布者签名信息的程序往往能够通过流量和应用检测，而不会遇到任何障碍。因此，越来越多的恶意程序开始冒名利用合法软件发布者的数字签名来绕过安全应用的检测。由于恶意程序冒用知名公司的数字签名，相当于直接进入可执行程序白名单，因此可以轻易在用户的系统中执行，造成严重后果。首先，目前的数字签名审核过程依然存在漏洞，恶意攻击者可以通过各种途径获取知名公司数字签名。知名公司的数字签名容易被恶意窃取利用绕过检测，如在震网攻击中出现的场景。第二，恶意攻击者可能利用正常的程序来加载恶意程序，例如目前攻击中用的比较多的是用GoogleChrome的Update功能来加载。如何应对这种风险，及时发现系统中的程序异常，快速识别恶意攻击，对于安全风险和威胁检测具有重大价值和意义。因此，需要提供一种能够识别冒用合法软件发布者数字签名的恶意程序的方案。
技术实现思路
(一)要解决的技术问题本专利技术要解决的技术问题是解决如何识别冒用合法软件发布者数字签名的恶意程序的问题。(二)技术方案为了解决上述技术问题，根据本专利技术的一个方面，提供一种应用程序风险识别的方法，包括：提取待执行应用程序的数字签名证书，从所述数字签名证书中提取所述待执行应用程序的软件发布者；判断所述待执行应用程序的软件发布者是否存在于预设的安全数字签名软件发布者集合；若是，则判定所述待执行应用程序为正常程序，否则触发异常告警。可选地，所述异常告警包括：直接对所述待执行应用程序进行阻断，或者采用预设方式判断所述待执行应用程序是否为正常程序。可选地，采用预设方式判断所述待执行应用程序是否为正常程序之后，还包括：若所述待执行应用程序为正常程序，则将所述待执行应用程序的软件发布者添加到所述安全数字签名软件发布者集合，否则对所述待执行应用程序进行阻断。可选地，所述方法还包括：在判断所述待执行应用程序的软件发布者是否存在于预设的安全数字签名软件发布者集合之前，提取已知安全环境下已运行应用程序的数字签名证书，提取每个所述已运行应用程序的数字签名证书的软件发布者，获得所述安全数字签名软件发布者集合。可选地，所述已知安全环境包括已知安全的以下任意一种或多种环境：单一主机环境，工作群组环境，组织机构环境。可选地，本专利技术的方法还包括：当检测到所述已知安全环境中卸载或删除应用程序时，从被卸载或删除的应用程序的数字签名证书中提取软件发布者，判断所述已知安全环境下是否存在所述被卸载或删除的应用程序的软件发布者的其他应用程序；若是，则不进行任何操作；否则将所述被卸载或删除的应用程序的软件发布者从所述安全数字签名软件发布者集合中删除。根据本专利技术的再一个方面，提供一种应用程序风险识别的装置，包括：信息提取模块，提取待执行应用程序的数字签名证书，从所述数字签名证书中提取所述待执行应用程序的软件发布者；信息判断模块，判断所述待执行应用程序的软件发布者是否存在于预设的安全数字签名软件发布者集合；若是，则判定所述待执行应用程序为正常程序；告警执行模块，在判定所述待执行应用程序不为正常程序时，触发异常告警。可选地，所述异常告警包括：直接对所述待执行应用程序进行阻断，或者采用预设方式判断所述待执行应用程序是否为正常程序。可选地，所述告警执行模块还用于：采用预设方式判断所述待执行应用程序是否为正常程序之后，若所述待执行应用程序为正常程序，则将所述待执行应用程序的软件发布者添加到所述安全数字签名软件发布者集合，否则对所述待执行应用程序进行阻断。可选地，本专利技术的安全风险告警装置还包括列表构建模块，用于：在判断所述待执行应用程序的软件发布者是否存在于预设的安全数字签名软件发布者集合之前，提取所有已知安全环境下已运行应用程序的数字签名证书，提取每个所述已运行应用程序的数字签名证书的软件发布者，获得所述安全数字签名软件发布者集合。可选地，所述已知安全环境包括已知安全的以下任意一种或多种环境：单一主机环境，工作群组环境，组织机构环境。可选地，本专利技术的安全风险告警装置还包括列表构建模块，用于：当检测到所述已知安全环境中卸载或删除应用程序时，从被卸载或删除的应用程序的数字签名证书中提取软件发布者，判断所述已知安全环境下是否存在所述被卸载或删除的应用程序的软件发布者的其他应用程序；若是，则不进行任何操作；否则将所述被卸载或删除的应用程序的软件发布者从所述安全数字签名软件发布者集合中删除。根据本专利技术的另一个方面，提供一种应用程序风险识别的电子设备，包括：一个或多个处理器，以及用于存储一个或多个程序的存储装置；当所述一个或多个程序被所述一个或多个处理器执行时，所述一个或多个处理器实现本专利技术的方法。根据本专利技术的还一个方面，提供一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现本专利技术的方法。(三)有益效果本专利技术的上述技术方案具有如下优点：本专利技术在待执行应用程序运行前，分析该待执行应用程序的数字签名软件发布者，并与安全数字签名软件发布者集合进行比对，以发现生僻或新的软件发布者。通过对软件发布者数字签名进行统计分析，实时对应用程序的数字签名进行判断，能够在一定程度上识别冒用合法软件发布者数字签名的恶意程序，发现异常，及时进行安全风险预警。附图说明图1是本专利技术实施例提供的一种应用程序风险识别的方法流程示意图；图2是本专利技术实施例提供的一种创建安全软件发布者集合的方法流程示意图；图3是本专利技术实施例提供的一种更新安全技术栈集合的方法流程示意图；图4是本专利技术实施例提供的另一种更新安全技术栈集合的流程示意图；图5是本专利技术实施例提供的一种应用程序风险识别的装置示意图。图6是本专利技术实施例可以应用于其中的示例性系统架构图；图7是适于用来实现本专利技术实施例的终端设备或服务器的计算机系统的结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术的一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。根据本专利技术的一个方面，提供一种基应用程序风险识别的方法。由于在一个稳定运行的IT场景下，无论是单一的主机系统，一个工作群组或者一个机构组织系统，现有供应商集合应当是具有一定稳定性的。因此可本文档来自技高网...

【技术保护点】
1.一种应用程序风险识别的方法，其特征在于，包括：提取待执行应用程序的数字签名证书，从所述数字签名证书中提取所述待执行应用程序的软件发布者；判断所述待执行应用程序的软件发布者是否存在于预设的安全数字签名软件发布者集合；若是，则判定所述待执行应用程序为正常程序，否则触发异常告警。/n

【技术特征摘要】
1.一种应用程序风险识别的方法，其特征在于，包括：提取待执行应用程序的数字签名证书，从所述数字签名证书中提取所述待执行应用程序的软件发布者；判断所述待执行应用程序的软件发布者是否存在于预设的安全数字签名软件发布者集合；若是，则判定所述待执行应用程序为正常程序，否则触发异常告警。


2.根据权利要求1所述的方法，其特征在于，所述异常告警包括：直接对所述待执行应用程序进行阻断，或者采用预设方式判断所述待执行应用程序是否为正常程序。


3.根据权利要求2所述的方法，其特征在于，采用预设方式判断所述待执行应用程序是否为正常程序之后，还包括：若所述待执行应用程序为正常程序，则将所述待执行应用程序的软件发布者添加到所述安全数字签名软件发布者集合，否则对所述待执行应用程序进行阻断。


4.根据权利要求1-3任一所述的方法，其特征在于，所述方法还包括：在判断所述待执行应用程序的软件发布者是否存在于预设的安全数字签名软件发布者集合之前，提取已知安全环境下已运行应用程序的数字签名证书，提取每个所述已运行应用程序的数字签名证书的软件发布者，获得所述安全数字签名软件发布者集合。


5.根据权利要求4所述的方法，其特征在于，所述已知安全环境包括已知安全的以下任意一种或多种环境：单一主机环境，工作群组环境，组织机构环境。


6.根据权利要求4所述的警方法，其特征在于，还包括：当检测到所述已知安全环境中卸载或删除应用程序时，从被卸载或删除的应...

【专利技术属性】
技术研发人员：肖新光，李石磊，童志明，徐菲，
申请(专利权)人：哈尔滨安天科技集团股份有限公司，
类型：发明
国别省市：黑龙江;23