本申请实施例提供了一种恶意应用程序的特征分析方法、装置及相关产品,一种恶意应用程序的特征分析方法,其包括:确定目标应用程序,并根据确定出的目标应用程序建立分析对象集合;基于设定的应用程序监控层,对所述分析对象集合中的每个应用程序进行监控,以形成监控样本报告;基于设定的特征分析层,从监控样本报告中提取应用程序的特征,以生成进行特征分析的样本特征序列。分析的样本特征序列。分析的样本特征序列。
【技术实现步骤摘要】
恶意应用程序的特征分析方法、装置及相关产品
[0001]本申请涉及安全
,特别是涉及一种恶意应用程序的特征分 析方法、装置及相关产品。
技术介绍
[0002]随着互联网的迅速发展,使得用户非常容易从互联网获取信息,但 是,互联网具有极强的开放性,导致用户在使用互联网的过程中,很 容易受到恶意应用程序的攻击,而且这些恶意应用程序为了躲避被监 控,具有极强的伪装性能,由此增加了恶意应用程序的监控难度,为 此,如何对应用程序的特征进行分析以进行应用程序的恶意与非恶意 划分,成为亟待解决的技术问题。
技术实现思路
[0003]基于上述问题,本申请实施例提供了一种恶意应用程序的特征分析 方法、装置及相关产品。
[0004]本申请实施例公开了如下技术方案:
[0005]一种恶意应用程序的特征分析方法,其包括:
[0006]确定目标应用程序,并根据确定出的目标应用程序建立分析对象集 合;
[0007]基于设定的应用程序监控层,对所述分析对象集合中的每个应用程 序进行监控,以形成监控样本报告;
[0008]基于设定的特征分析层,从监控样本报告中提取应用程序的特征, 以生成进行特征分析的样本特征序列。
[0009]可选地,所述基于设定的应用程序监控层,对所述分析对象集合中 的每个应用程序进行监控,以形成监控样本报告,包括:基于监控层 中的接口函数调用监控单元,对所述分析对象集合中的每个应用程序 的调取的函数进行监控,以形成调用函数监控样本列表并添加到所述 监控样本报告中。
[0010]可选地,所述基于设定的应用程序监控层,对所述分析对象集合中 的每个应用程序进行监控,以形成监控样本报告,包括:监控层中的 文件操作监控单元,对所述分析对象集合中的每个应用程序操作的文 件进行监控,以形成文件操作监控样本列表并添加到所述监控样本报 告中。
[0011]可选地,所述基于设定的应用程序监控层,对所述分析对象集合中 的每个应用程序进行监控,以形成监控样本报告,包括:基于监控层 中的内存访问监控单元,对所述分析对象集合中的每个应用程序访问 的内存进行监控,以形成内存访问监控样本列表并添加到所述监控样 本报告中。
[0012]可选地,所述基于设定的应用程序监控层,对所述分析对象集合中 的每个应用程序进行监控,以形成监控样本报告,包括:基于监控层 中的收发数据监控单元,对所述分析对象集合中的每个应用程序访问 的数据收发行为进行监控,以形成收发行为监控样本列
表并添加到所 述监控样本报告中。
[0013]可选地,所述基于设定的应用程序监控层,对所述分析对象集合中 的每个应用程序进行监控,以形成监控样本报告,包括:基于监控层 中的环境变化监控单元,对所述分析对象集合中的每个应用程序作用 的环境进行监控,以形成环境变化监控样本列表并添加到所述监控样 本报告中。
[0014]可选地,所述确定目标应用程序,并根据确定出的目标应用程序建 立分析对象集合,包括:获取指定应用程序集合中各个指定应用程序 的历史行为数据,基于所述各个指定应用程序的历史行为数据,确定 目标应用程序,并根据确定出的目标应用程序建立分析对象集合。
[0015]可选地,所述获取指定应用程序集合中各个指定应用程序的历史行 为数据,包括:根据指定应用程序集合中的指定应用程序的数量,创 建对应的多个监控列表,并在每个监控列表中写入对应指定应用程序 的ID,基于多个监控列表中记录的指定应用程序的ID,获取对应指定 应用程序的历史行为数据。
[0016]可选地,所述基于多个监控列表中记录的指定应用程序的ID,获 取对应指定应用程序的历史行为数据,包括:根据多个监控列表中记 录的指定应用程序的ID,创建可并行执行的多个任务,以通过并行运 行多个任务获取所述指定应用程序集合中多个指定应用程序的历史行 为数据。
[0017]可选地,所述基于所述各个指定应用程序的历史行为数据,确定目 标应用程序,包括:基于所述各个指定应用程序的历史行为数据,对 各个指定应用程序进行可信程度评价,得到可信评价值;基于所述可 信评价值,从中筛选出目标应用程序。
[0018]可选地,所述基于所述可信评价值,从中筛选出目标应用程序,包 括:统计各个指定应用程序在设定统计周期内的平均可信评价值,将 所述平均可信评价值不大于设定平均可信评价阈值的指定应用程序作 为目标应用程序。
[0019]一种恶意应用程序的特征分析装置,其包括:
[0020]第一处理单元,用于确定目标应用程序,并根据确定出的目标应用 程序建立分析对象集合;
[0021]第二处理单元,基于设定的应用程序监控层,对所述分析对象集合 中的每个应用程序进行监控,以形成监控样本报告;
[0022]第三处理单元,用于基于设定的特征分析层,从监控样本报告中提 取应用程序的特征,以生成进行特征分析的样本特征序列。
[0023]可选地,所述第二处理单元具体用于基于监控层中的接口函数调用 监控单元,对所述分析对象集合中的每个应用程序的调取的函数进行 监控,以形成调用函数监控样本列表并添加到所述监控样本报告中。
[0024]可选地,所述第二处理单元具体用于:监控层中的文件操作监控单 元,对所述分析对象集合中的每个应用程序操作的文件进行监控,以 形成文件操作监控样本列表并添加到所述监控样本报告中。
[0025]可选地,所述第二处理单元具体用于基于监控层中的内存访问监控 单元,对所述分析对象集合中的每个应用程序访问的内存进行监控, 以形成内存访问监控样本列表并添加到所述监控样本报告中。
[0026]可选地,所述第二处理单元具体用于基于监控层中的收发数据监控 单元,对所述分析对象集合中的每个应用程序访问的数据收发行为进 行监控,以形成收发行为监控样本列表并添加到所述监控样本报告中。
[0027]可选地,所述第二处理单元具体用于基于监控层中的环境变化监控 单元,对所述分析对象集合中的每个应用程序作用的环境进行监控, 以形成环境变化监控样本列表并添加到所述监控样本报告中。
[0028]可选地,所述第一处理单元还用于:获取指定应用程序集合中各个 指定应用程序的历史行为数据,基于所述各个指定应用程序的历史行 为数据,确定目标应用程序,并根据确定出的目标应用程序建立分析 对象集合。
[0029]可选地,所述第一处理单元还具体用于:根据指定应用程序集合中 的指定应用程序的数量,创建对应的多个监控列表,并在每个监控列 表中写入对应指定应用程序的ID,基于多个监控列表中记录的指定应 用程序的ID,获取对应指定应用程序的历史行为数据。
[0030]可选地,所述第一处理单元还具体用于:根据多个监控列表中记录 的指定应用程序的ID,创建可并行执行的多个任务,以通过并行运行 多个任务获取所述指定应用程序集合中多个指定应用程序的历史行为 数据。
[0031]可选地,所述第一处理单元还具体用于基于所述各个指定本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意应用程序的特征分析方法,其特征在于,包括:确定目标应用程序,并根据确定出的目标应用程序建立分析对象集合;基于设定的应用程序监控层,对所述分析对象集合中的每个应用程序进行监控,以形成监控样本报告;基于设定的特征分析层,从监控样本报告中提取应用程序的特征,以生成进行特征分析的样本特征序列。2.根据权利要求1所述的特征分析方法,其特征在于,所述基于设定的应用程序监控层,对所述分析对象集合中的每个应用程序进行监控,以形成监控样本报告,包括:基于监控层中的接口函数调用监控单元,对所述分析对象集合中的每个应用程序的调取的函数进行监控,以形成调用函数监控样本列表并添加到所述监控样本报告中。3.根据权利要求1所述的特征分析方法,其特征在于,所述基于设定的应用程序监控层,对所述分析对象集合中的每个应用程序进行监控,以形成监控样本报告,包括:监控层中的文件操作监控单元,对所述分析对象集合中的每个应用程序操作的文件进行监控,以形成文件操作监控样本列表并添加到所述监控样本报告中。4.根据权利要求1所述的特征分析方法,其特征在于,所述基于设定的应用程序监控层,对所述分析对象集合中的每个应用程序进行监控,以形成监控样本报告,包括:基于监控层中的内存访问监控单元,对所述分析对象集合中的每个应用程序访问的内存进行监控,以形成内存访问监控样本列表并添加到所述监控样本报告中。5.一种恶意应用程序的特征分析装置,其特征在于,包括:第一处理单元,用于确定目标应用程序,并根据确定出的目...
【专利技术属性】
技术研发人员:阮安邦,魏明,陈凯,
申请(专利权)人:北京八分量信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。