恶意应用程序的检测方法、装置、设备及介质制造方法及图纸

本申请提供的恶意应用程序的检测方法、装置、设备及介质，可监视所有应用程序的行为是否为异常行为，当应用程序存在异常行为时，则会先将有异常行为的应用程序标记为未知风险应用程序，并解析获得所述未知风险应用程序对应的待检测程序代码，再将解析出来的待检测程序代码与预设的恶意代码数据库中的恶意代码进行比对，如果能匹配得上，则判定未知风险应用程序包含所述恶意代码，并确定所述未知应用程序为恶意应用程序，此方法经过两次判断，可提高判定时的准确率，减小误报率，可以解决现有技术中采用对应用包进行反编译来应用申请的系统权限，并根据权限危险级别判定应用是否为恶意行为的方式无法检测未知的恶意代码，导致误报率高的问题。致误报率高的问题。致误报率高的问题。

【技术实现步骤摘要】
恶意应用程序的检测方法、装置、设备及介质


[0001]本申请涉及智能设备恶意程序检测领域，具体涉及一种恶意应用程序的检测方法、装置、设备及介质。

技术介绍

[0002]近年来，智能设备经过不断发展扩大，已成为人类日常生活的不可或缺的一部分。在众多智能设备中，Android系统凭借其免费和开源功能成为速度最快的智能手机操作系统，Android平台下丰富的软件应用给人们的生活带来了极大的便利。
[0003]然而，混杂在正常应用软件中的恶意软件数量也以惊人的速度不断增长，Android平台上的安全问题也越来越严重，现如今一般是对Android应用包反编译获取AndroidManifest.xml文件，从中提取出应用申请的系统权限；然后，根据权限危险级别设置为有危险的apk，但是无法检测未知的恶意代码，因此，误报率高。

技术实现思路

[0004]本申请提供一种恶意应用程序的检测方法、装置、设备及介质，旨在解决现有技术中采用对应用包进行反编译来应用申请的系统权限，并根据权限危险级别判定应用是否为恶意行为的方式，无法检测未知的恶意代码，导致误报率高的问题。
[0005]为了解决上述技术问题，第一方面，本申请提供了恶意应用程序的检测方法，包括：
[0006]监控所有待检测应用程序的行为；
[0007]判断所述待检测应用程序的行为是否为异常行为；
[0008]若所述待检测应用程序的行为存在所述异常行为，则将对应的待检测应用程序标记为未知风险应用程序，并解析获得所述未知风险应用程序对应的待检测程序代码；其中，所述待检测程序代码为所述未知风险应用程序执行所述异常行为时所对应的程序代码；
[0009]将所述待检测程序代码与预设的恶意代码数据库中的恶意代码进行比对；
[0010]当所述待检测程序代码与所述恶意代码数据库中的恶意代码匹配时，则判定所述未知风险应用程序包含所述恶意代码，并确定所述未知风险应用程序为恶意应用程序。
[0011]优选的，所述判断所述待检测应用程序的行为是否为异常行为的步骤，包括：
[0012]判断所述待检测应用程序的行为是否包含获取权限行为；其中，所述获取权限行为包括：修改内存控制块和总量、盗用截流系统中断、病毒程序和宿主程序切换、对可执行文件做写入操作、搜索应用程序编程接口函数地址、获取所有文件系统的读写权限、获取超级管理员权限；
[0013]当所述待检测应用程序的行为包含所述获取权限行为中的至少一种时，判定所述待检测应用程序的行为是异常行为。
[0014]优选的，所述判断所述待检测应用程序的行为是否为异常行为的步骤，还包括：
[0015]判断所述待检测应用程序的行为是否包含监控行为，所述监控行为包括录屏、录
音、获取用户输入；
[0016]当所述待检测应用程序的行为包含所述异常行为中的至少一种时，获取所述待检测应用程序的后台运行时间；
[0017]当所述待检测应用程序的后台运行时间超过预设值时，判定所述待检测应用程序的行为是异常行为。
[0018]优选的，所述判断所述待检测应用程序的行为是否为异常行为的步骤，还包括：
[0019]基于网络检测监视所述待检测应用程序的流量消耗；
[0020]当所述待检测应用程序的流量消耗超出预设的流量阈值时，判定所述待检测应用程序的行为是异常行为。
[0021]优选的，所述基于网络检测监视所述待检测应用程序的流量消耗的步骤，包括：
[0022]建立流量联网白名单，所述流量联网白名单内预设有允许联网的应用程序；
[0023]统计所有应用程序的联网总流量，生成第一流量，其中，所述所有应用程序中包含所述待检测应用程序；
[0024]统计所述流量联网白名单内所有允许联网的应用程序消耗的总流量，生成第二流量；
[0025]计算所述第一流量与所述第二流量的差值；
[0026]当所述第一流量与所述第二流量的差值大于预设的第一流量差值时，判断所述待检测应用程序的行为存在异常行为风险；
[0027]对存在所述异常行为风险的所述待检测应用程序进行监测。
[0028]优选的，所述建立流量联网白名单，所述流量联网白名单内预设有允许联网的应用程序的步骤之后，还包括：
[0029]统计待机和/或休眠状态下所有应用程序的联网总流量，生成第三流量，其中，所述所有应用程序包含所述待检测应用程序；
[0030]统计所述流量联网白名单内具有特定功能性的应用程序所消耗的总流量，生成第四流量；其中，所述特定功能性的应用程序包括用于接收信息的通讯软件和执行下载、缓存任务的应用程序；
[0031]计算所述第三流量与所述第四流量的差值；
[0032]当所述第三流量与所述第四流量的差值大于预设的第二流量差值时，判断所述待检测应用程序的行为存在异常行为风险；
[0033]对存在所述异常行为风险的所述待检测应用程序进行监测。优选的，所述将所述待检测程序代码与预设的恶意代码数据库中的恶意代码进行比对的步骤，包括：
[0034]提取所述待检测程序代码的第一代码结构；
[0035]提取所述预设的恶意代码数据库中的多个恶意代码中与所述第一代码结构对应的第二代码结构；
[0036]将所述第一代码结构与所述第二代码结构进行对比。
[0037]第二方面，本申请还提供一种恶意应用程序的检测装置，包括：
[0038]监控模块，用于监控所有待检测应用程序的行为；
[0039]第一判断模块，用于判断所述待检测应用程序的行为是否为异常行为；
[0040]未知异常程序标记模块，用于若所述待检测应用程序的行为存在所述异常行为，
则将对应的待检测应用程序标记为未知风险应用程序，并解析获得所述未知风险应用程序对应的待检测程序代码；其中，待检测程序代码为所述未知风险应用程序执行所述异常行为时所对应的程序代码；
[0041]比对模块，用于将所述待检测程序代码与预设的恶意代码数据库中的恶意代码进行比对；
[0042]恶意应用程序判定模块，用于当所述待检测程序代码与所述恶意代码数据库中的恶意代码匹配时，则判定所述未知风险应用程序包含所述恶意代码，并确定所述未知风险应用程序为恶意应用程序。
[0043]第三方面，本申请还提供一种计算机设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时实现上述任一项所述的恶意应用程序的检测方法的步骤。
[0044]第四方面，本申请还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述的恶意应用程序的检测方法的步骤。
[0045]本申请提供的一种恶意应用程序的检测方法、装置、设备及介质，可监视所有应用程序的行为是否存在异常行为，当应用程序的行为存在异常行为时，则会先将有异常行为的应用程序标记为未知风险应用程序，并解析获得所述未知风险应用程本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意应用程序的检测方法，其特征在于，包括：监控所有待检测应用程序的行为；判断所述待检测应用程序的行为是否为异常行为；若所述待检测应用程序的行为存在所述异常行为，则将对应的待检测应用程序标记为未知风险应用程序，并解析获得所述未知风险应用程序对应的待检测程序代码；其中，所述待检测程序代码为所述未知风险应用程序执行所述异常行为时所对应的程序代码；将所述待检测程序代码与预设的恶意代码数据库中的恶意代码进行比对；当所述待检测程序代码与所述恶意代码数据库中的恶意代码匹配时，则判定所述未知风险应用程序包含所述恶意代码，并确定所述未知应用程序为恶意应用程序。2.如权利要求1所述的恶意应用程序的检测方法，其特征在于，所述判断所述待检测应用程序的行为是否为异常行为的步骤，包括：判断所述待检测应用程序的行为是否包含获取权限行为；其中，所述获取权限行为包括：修改内存控制块和总量、盗用截流系统中断、病毒程序和宿主程序切换、对可执行文件做写入操作、搜索应用程序编程接口函数地址、获取所有文件系统的读写权限、获取超级管理员权限；当所述待检测应用程序的行为包含所述获取权限行为中的至少一种时，判定所述待检测应用程序的行为是异常行为。3.如权利要求1所述的恶意应用程序的检测方法，其特征在于，所述判断所述待检测应用程序的行为是否为异常行为的步骤，还包括：判断所述待检测应用程序的行为是否包含监控行为，所述监控行为包括录屏、录音、获取用户输入；当所述待检测应用程序的行为包含所述异常行为中的至少一种时，获取所述待检测应用程序的后台运行时间；当所述待检测应用程序的后台运行时间超过预设值时，判定所述待检测应用程序的行为是异常行为。4.如权利要求1所述的恶意应用程序的检测方法，其特征在于，所述判断所述待检测应用程序的行为是否为异常行为的步骤，还包括：基于网络检测监视所述待检测应用程序的流量消耗；当所述待检测应用程序的流量消耗超出预设的流量阈值时，判定所述待检测应用程序的行为是异常行为。5.如权利要求4所述的恶意应用程序的检测方法，其特征在于，所述基于网络检测监视所述待检测应用程序的流量消耗的步骤，包括：建立流量联网白名单，所述流量联网白名单内预设有允许联网的应用程序；统计所有应用程序的联网总流量，生成第一流量，其中，所述所有应用程序中包含所述待检测应用程序；统计所述流量联网白名单内所有允许联网的应用程序消耗的总流量，生成第二流量；计算所述第一流量与所述第二流量的差值；当所述第一流量与...

【专利技术属性】
技术研发人员：宋清林，
申请(专利权)人：深圳市沃特沃德信息有限公司，
类型：发明
国别省市：