CN104361285A - 移动设备应用程序的安全检测方法及装置 - Google Patents
移动设备应用程序的安全检测方法及装置 Download PDFInfo
- Publication number
- CN104361285A CN104361285A CN201410668238.1A CN201410668238A CN104361285A CN 104361285 A CN104361285 A CN 104361285A CN 201410668238 A CN201410668238 A CN 201410668238A CN 104361285 A CN104361285 A CN 104361285A
- Authority
- CN
- China
- Prior art keywords
- measured
- application program
- code
- described application
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Telephone Function (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种移动设备应用程序的安全检测方法及装置,涉及安卓应用检测技术领域,方法包括对多个待测应用程序进行特征码扫描,获取待测特征码;将所述待测特征码与一预先设置的特征码库中的预存特征码进行比对,确定所述预存特征码中是否有所述待测特征码;将所述待测应用程序进行反编译,获取到所述待测应用程序的代码;通过所述待测应用程序的代码确定所述待测应用程序是否有风险;运行所述待测应用程序,根据所述待测应用程序的代码对所述待测应用程序进行动态行为监控,确定所述待测应用程序运行时是否有恶意行为发生。本发明能够解决当前对应用程序的安全检测不全面,对繁多的应用程序进行检测的时间较长的问题。
Description
技术领域
本发明涉及安卓应用检测技术领域,尤其涉及移动设备应用程序的安全检测方法及装置。
背景技术
近年来,移动设备(例如智能手机和平板电脑)的发展十分迅速,伴随着移动设备的发展,大量的移动应用程序也越来越多,而目前很多移动应用程序并非来自于安卓官方网站,例如论坛、游戏下载等网站同样可以下载到移动应用程序的安装包(如APK文件)。因此,目前移动应用程序的安全性参差不齐,很多移动应用程序存在恶意的行为,影响到了用户的信息、设备和财产安全,因此目前对终端应用程序的安全性检测尤为重要。
为了保证应用程序用户的信息、设备和财产安全,现有技术中有多种应用程序的安全检测方法。对于应用程序的检测主要分为两个方面,即应用程序防攻击性检测和应用程序恶意性检测。应用程序防攻击性表示应用防御其它应用或者网络攻击的能力,应用程序恶意性表示应用本身是否具有恶意行为。目前,防攻击性检测主要是进行漏洞检查,而恶意性检测的方法则各不相同,例如病毒库扫描等。
但是,当前对应用程序的安全检测方式较为单一,每次检测选择的检测方式不同,也导致了检测的不全面,对繁多的应用程序进行检测的时间较长。
发明内容
本发明的实施例提供一种移动设备应用程序的安全检测方法及装置,以解决当前对应用程序的安全检测方式较为单一,每次检测选择的检测方式不同,也导致了检测的不全面,对繁多的应用程序进行检测的时间较长的问题。
为达到上述目的,本发明采用如下技术方案:
一种移动设备应用程序的安全检测方法,包括:
对多个待测应用程序进行特征码扫描,获取到各待测应用程序的待测特征码;
将所述待测特征码与一预先设置的特征码库中的预存特征码进行比对,确定所述预存特征码中是否有所述待测特征码;
若所述预存特征码中存在所述待测特征码,确定所述待测特征码对应的待测应用程序为恶意应用程序;
若所述预存特征码中不存在所述待测特征码,将所述待测应用程序进行反编译,获取到所述待测应用程序的代码;
通过所述待测应用程序的代码确定所述待测应用程序是否有风险;
若所述待测应用程序有风险,确定所述待测应用程序为恶意应用程序;
运行所述待测应用程序,根据所述待测应用程序的代码对所述待测应用程序进行动态行为监控,确定所述待测应用程序运行时是否有恶意行为发生;
若所述待测应用程序运行时发生了恶意行为,确定所述待测应用程序为恶意应用程序。
进一步的,在对多个待测应用程序进行特征码扫描之前,包括:
根据预先设置的待测应用程序优先级确定对所述待测应用程序进行特征码扫描的顺序。
另外,在将所述待测应用程序进行反编译之前,包括:
根据预先设置的待测应用程序优先级确定将所述待测应用程序进行反编译的顺序。
具体的,所述通过所述待测应用程序的代码确定所述待测应用程序是否有风险,包括:
将所述待测应用程序的代码进行静态分析,确定所述待测应用程序的权限信息和行为信息;
列出所述行为信息的调用栈;
调用一预先设置的风险行为判定规则库,根据所述待测应用程序的权限信息、所述调用栈对所述行为信息进行风险判定;
若所述行为信息存在风险,则确定所述待测应用程序有风险。
具体的,所述运行所述待测应用程序,根据所述待测应用程序的代码对所述待测应用程序进行动态行为监控,确定所述待测应用程序运行时是否有恶意行为发生,包括:
根据所述权限信息和行为信息对所述待测应用程序进行动态行为监控,确定所述待测应用程序运行时是否有恶意行为发生;
若确定所述待测应用程序运行时有恶意行为发生,记录所述恶意行为发生的时间,以及确定所述待测应用程序的代码中该恶意行为所对应的位置。
另外,所述移动设备应用程序的安全检测方法,还包括:
在所述特征码库中生成所述恶意应用程序的特征码,以更新所述特征码库。
一种移动设备应用程序的安全检测装置,包括:
特征码扫描单元,用于对多个待测应用程序进行特征码扫描,获取到各待测应用程序的待测特征码;
特征码比对单元,用于将所述特征码扫描单元获取到的待测特征码与一预先设置的特征码库中的预存特征码进行比对,确定所述预存特征码中是否有所述待测特征码;
恶意应用程序检测单元,用于在所述预存特征码中存在所述待测特征码时,确定所述待测特征码对应的待测应用程序为恶意应用程序;
反编译单元,用于在所述预存特征码中不存在所述待测特征码时,将所述待测应用程序进行反编译,获取到所述待测应用程序的代码;
风险确定单元,用于通过所述反编译单元获取到的待测应用程序的代码确定所述待测应用程序是否有风险;
所述恶意应用程序检测单元,还用于在所述待测应用程序有风险时,确定所述待测应用程序为恶意应用程序;
动态行为监控单元,用于运行所述待测应用程序,根据所述待测应用程序的代码对所述待测应用程序进行动态行为监控,确定所述待测应用程序运行时是否有恶意行为发生;
所述恶意应用程序检测单元,还用于在所述待测应用程序运行时发生了恶意行为时,确定所述待测应用程序为恶意应用程序。
进一步的,所述移动设备应用程序的安全检测装置,还包括:
特征码扫描顺序确定单元,用于根据预先设置的待测应用程序优先级确定对所述待测应用程序进行特征码扫描的顺序。
进一步的,所述移动设备应用程序的安全检测装置,还包括:
反编译顺序确定单元,用于根据预先设置的待测应用程序优先级确定将所述待测应用程序进行反编译的顺序。
具体的,所述风险确定单元,包括:
静态分析模块,用于将所述待测应用程序的代码进行静态分析,确定所述待测应用程序的权限信息和行为信息;
调用栈确定模块,用于列出所述行为信息的调用栈;
风险判定模块,用于调用一预先设置的风险行为判定规则库,根据所述待测应用程序的权限信息、所述调用栈对所述行为信息进行风险判定,在所述行为信息存在风险时,则确定所述待测应用程序有风险。
具体的,所述动态行为监控单元,包括:
动态行为监控模块,用于根据所述权限信息和行为信息对所述待测应用程序进行动态行为监控,确定所述待测应用程序运行时是否有恶意行为发生;
恶意行为信息获取模块,用于在确定所述待测应用程序运行时有恶意行为发生时,记录所述恶意行为发生的时间,以及确定所述待测应用程序的代码中该恶意行为所对应的位置。
进一步的,所述移动设备应用程序的安全检测装置,还包括:
特征码库更新单元,用于在所述特征码库中生成所述恶意应用程序的特征码,以更新所述特征码库。
本发明实施例提供的移动设备应用程序的安全检测方法及装置,能够对多个待测应用程序依次进行特征码检测、反编译后进行静态分析以及动态行为分析,能够快捷识别出多个待测应用程序中的恶意应用程序,避免了检测方式单一的问题,检测较为全面,避免了对繁多的应用程序进行检测的时间较长的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的移动设备应用程序的安全检测方法的流程图一;
图2为本发明实施例提供的移动设备应用程序的安全检测方法的流程图二;
图3为本发明实施例中的安全检测系统示意图;
图4为本发明实施例中的移动设备应用程序的安全检测装置的结构示意图一;
图5为本发明实施例中的移动设备应用程序的安全检测装置的结构示意图二。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种移动设备应用程序的安全检测方法,如图1所示,包括:
步骤101、对多个待测应用程序进行特征码扫描,获取到各待测应用程序的待测特征码。
步骤102、将待测特征码与一预先设置的特征码库中的预存特征码进行比对,确定预存特征码中是否有待测特征码。
若预存特征码中存在待测特征码,执行步骤103;若预存特征码中不存在待测特征码,执行步骤104。
步骤103、确定待测特征码对应的待测应用程序为恶意应用程序。
步骤104、将待测应用程序进行反编译,获取到待测应用程序的代码。在步骤104之后继续执行步骤105。
步骤105、通过待测应用程序的代码确定待测应用程序是否有风险。
步骤106、若待测应用程序有风险,确定待测应用程序为恶意应用程序。
步骤107、运行待测应用程序,根据待测应用程序的代码对待测应用程序进行动态行为监控,确定待测应用程序运行时是否有恶意行为发生。
步骤108、若待测应用程序运行时发生了恶意行为,确定待测应用程序为恶意应用程序。
本发明实施例提供的移动设备应用程序的安全检测方法,能够对多个待测应用程序依次进行特征码检测、反编译后进行静态分析以及动态行为分析,能够快捷识别出多个待测应用程序中的恶意应用程序,避免了检测方式单一的问题,检测较为全面,避免了对繁多的应用程序进行检测的时间较长的问题。
为了使得本领域的技术人员更好的了解本发明,下面列举一个更为具体的实施例,如图2所示,本发明提供的一种移动设备应用程序的安全检测方法,包括:
步骤201、根据预先设置的待测应用程序优先级确定对待测应用程序进行特征码扫描的顺序。
具体的,该待测应用程序优先级包括低优先级、中优先级、高优先级、紧急优先级,其中,待测应用程序的默认优先级为低优先级。
步骤202、对多个待测应用程序进行特征码扫描,获取到各待测应用程序的待测特征码。
步骤203、将待测特征码与一预先设置的特征码库中的预存特征码进行比对,确定预存特征码中是否有待测特征码。
若预存特征码中存在待测特征码,执行步骤204;若预存特征码中不存在待测特征码,执行步骤205。
其中,该特征码库中可以包含预存特征码以及各种应用程序的行为信息;例如某一应用程序的行为信息包括该应用程序的恶意发短信行为、恶意调用终端设备摄像头的行为等。
步骤204、确定待测特征码对应的待测应用程序为恶意应用程序。之后继续执行步骤212。
步骤205、根据预先设置的待测应用程序优先级确定将待测应用程序进行反编译的顺序。在步骤205之后,继续执行步骤206。
步骤206、将待测应用程序进行反编译,获取到待测应用程序的代码。
步骤207、将待测应用程序的代码进行静态分析,确定待测应用程序的权限信息和行为信息,并列出行为信息的调用栈。
步骤208、调用一预先设置的风险行为判定规则库,根据待测应用程序的权限信息、调用栈对行为信息进行风险判定。
该风险行为判定规则库中记录有各种行为的风险等级,通过该风险行为判定规则库可以确定待测应用程序所进行的行为的风险。
步骤209、若行为信息存在风险,则确定待测应用程序有风险,并确定待测应用程序为恶意应用程序。之后继续执行步骤212。
在步骤208之后,还可以继续执行步骤210,当然也可以不执行步骤210的动态行为监控。
步骤210、根据权限信息和行为信息对待测应用程序进行动态行为监控,确定待测应用程序运行时是否有恶意行为发生。
步骤211、若确定待测应用程序运行时有恶意行为发生,记录恶意行为发生的时间,以及确定待测应用程序的代码中该恶意行为所对应的位置,并确定待测应用程序为恶意应用程序。之后继续执行步骤212。
步骤212、在特征码库中生成恶意应用程序的特征码,以更新特征码库。
通过更新该特征码库,使得在步骤202和步骤203之中的特征码扫描比对更为准确,能够快捷的判断出恶意应用程序。
上述步骤201-步骤212可以由如下的安全检测系统来实现,如图3所示,其中该安全检测系统包括动态行为监控主机31、用于显示检测结果的用户主机32、防火墙33、主机34、交换机35、磁盘阵列36、特征码扫描引擎37以及多个静态源码分析引擎38。其中,交换机35与磁盘阵列36、特征码扫描引擎37以及多个静态源码分析引擎38两两连接。另外,交换机35、主机34、防火墙33、用户主机32依次连接。该用户主机32可以连接多个动态行为监控主机31,每个动态行为监控主机31可以监控多个移动设备30。
其中,动态行为监控主机31可以根据权限信息和行为信息对待测应用程序进行动态行为监控,确定待测应用程序运行时是否有恶意行为发生。
静态源码分析引擎38可以将待测应用程序的代码进行静态分析,确定待测应用程序的权限信息和行为信息,列出行为信息的调用栈,调用一预先设置的风险行为判定规则库,根据待测应用程序的权限信息、调用栈对行为信息进行风险判定。该静态源码分析引擎38的数量可以为16个或者更多,以便于同时对多个待测应用程序的代码进行静态分析处理。
特征码扫描引擎37可以对多个待测应用程序进行特征码扫描,获取到各待测应用程序的待测特征码。
在上述确定待测应用程序为恶意应用程序后,可以将确定结果反馈给上述用户主机32。
本发明实施例提供的移动设备应用程序的安全检测方法,能够对多个待测应用程序依次进行特征码检测、反编译后进行静态分析以及动态行为分析,能够快捷识别出多个待测应用程序中的恶意应用程序,避免了检测方式单一的问题,检测较为全面,避免了对繁多的应用程序进行检测的时间较长的问题。同时能够对特征码库进行更新,提高了特征码检测的精度。
对应于上述的方法实施例,本发明实施例还提供一种移动设备应用程序的安全检测装置,如图4所示,包括:
特征码扫描单元41,可以对多个待测应用程序进行特征码扫描,获取到各待测应用程序的待测特征码。
特征码比对单元42,可以将该特征码扫描单元41获取到的待测特征码与一预先设置的特征码库中的预存特征码进行比对,确定预存特征码中是否有待测特征码。
恶意应用程序检测单元43,可以在预存特征码中存在待测特征码时,确定待测特征码对应的待测应用程序为恶意应用程序。
反编译单元44,可以在预存特征码中不存在待测特征码时,将待测应用程序进行反编译,获取到待测应用程序的代码。
风险确定单元45,可以通过反编译单元44获取到的待测应用程序的代码确定待测应用程序是否有风险。
恶意应用程序检测单元43,还可以在待测应用程序有风险时,确定待测应用程序为恶意应用程序。
动态行为监控单元46,可以运行待测应用程序,根据待测应用程序的代码对待测应用程序进行动态行为监控,确定待测应用程序运行时是否有恶意行为发生。
恶意应用程序检测单元43,还可以在待测应用程序运行时发生了恶意行为时,确定待测应用程序为恶意应用程序。
进一步的,如图5所示,移动设备应用程序的安全检测装置,还包括:
特征码扫描顺序确定单元47,可以根据预先设置的待测应用程序优先级确定对待测应用程序进行特征码扫描的顺序。
进一步的,如图5所示,移动设备应用程序的安全检测装置,还包括:
反编译顺序确定单元48,可以根据预先设置的待测应用程序优先级确定将待测应用程序进行反编译的顺序。
具体的,风险确定单元45,包括:
静态分析模块451,可以将待测应用程序的代码进行静态分析,确定待测应用程序的权限信息和行为信息。
调用栈确定模块452,可以列出行为信息的调用栈。
风险判定模块453,可以调用一预先设置的风险行为判定规则库,根据待测应用程序的权限信息、调用栈对行为信息进行风险判定,在行为信息存在风险时,则确定待测应用程序有风险。
具体的,动态行为监控单元46,包括:
动态行为监控模块461,可以根据权限信息和行为信息对待测应用程序进行动态行为监控,确定待测应用程序运行时是否有恶意行为发生。
恶意行为信息获取模块462,可以在确定待测应用程序运行时有恶意行为发生时,记录恶意行为发生的时间,以及确定待测应用程序的代码中该恶意行为所对应的位置。
进一步的,如图5所示,移动设备应用程序的安全检测装置,还包括:
特征码库更新单元49,可以在特征码库中生成恶意应用程序的特征码,以更新特征码库。
值得说明的是,本发明实施例提供的移动设备应用程序的安全检测装置的具体实现方式可以参见上述图1和图2所示的方法实施例,此处不再赘述。
本发明实施例提供的移动设备应用程序的安全检测装置,能够对多个待测应用程序依次进行特征码检测、反编译后进行静态分析以及动态行为分析,能够快捷识别出多个待测应用程序中的恶意应用程序,避免了检测方式单一的问题,检测较为全面,避免了对繁多的应用程序进行检测的时间较长的问题。同时能够对特征码库进行更新,提高了特征码检测的精度。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (12)
1.一种移动设备应用程序的安全检测方法,其特征在于,包括:
对多个待测应用程序进行特征码扫描,获取到各待测应用程序的待测特征码;
将所述待测特征码与一预先设置的特征码库中的预存特征码进行比对,确定所述预存特征码中是否有所述待测特征码;
若所述预存特征码中存在所述待测特征码,确定所述待测特征码对应的待测应用程序为恶意应用程序;
若所述预存特征码中不存在所述待测特征码,将所述待测应用程序进行反编译,获取到所述待测应用程序的代码;
通过所述待测应用程序的代码确定所述待测应用程序是否有风险;
若所述待测应用程序有风险,确定所述待测应用程序为恶意应用程序;
运行所述待测应用程序,根据所述待测应用程序的代码对所述待测应用程序进行动态行为监控,确定所述待测应用程序运行时是否有恶意行为发生;
若所述待测应用程序运行时发生了恶意行为,确定所述待测应用程序为恶意应用程序。
2.根据权利要求1所述的移动设备应用程序的安全检测方法,其特征在于,在对多个待测应用程序进行特征码扫描之前,包括:
根据预先设置的待测应用程序优先级确定对所述待测应用程序进行特征码扫描的顺序。
3.根据权利要求1所述的移动设备应用程序的安全检测方法,其特征在于,在将所述待测应用程序进行反编译之前,包括:
根据预先设置的待测应用程序优先级确定将所述待测应用程序进行反编译的顺序。
4.根据权利要求1-3任一项所述的移动设备应用程序的安全检测方法,其特征在于,所述通过所述待测应用程序的代码确定所述待测应用程序是否有风险,包括:
将所述待测应用程序的代码进行静态分析,确定所述待测应用程序的权限信息和行为信息;
列出所述行为信息的调用栈;
调用一预先设置的风险行为判定规则库,根据所述待测应用程序的权限信息、所述调用栈对所述行为信息进行风险判定;
若所述行为信息存在风险,则确定所述待测应用程序有风险。
5.根据权利要求4所述的移动设备应用程序的安全检测方法,其特征在于,所述运行所述待测应用程序,根据所述待测应用程序的代码对所述待测应用程序进行动态行为监控,确定所述待测应用程序运行时是否有恶意行为发生,包括:
根据所述权限信息和行为信息对所述待测应用程序进行动态行为监控,确定所述待测应用程序运行时是否有恶意行为发生;
若确定所述待测应用程序运行时有恶意行为发生,记录所述恶意行为发生的时间,以及确定所述待测应用程序的代码中该恶意行为所对应的位置。
6.根据权利要求5所述的移动设备应用程序的安全检测方法,其特征在于,还包括:
在所述特征码库中生成所述恶意应用程序的特征码,以更新所述特征码库。
7.一种移动设备应用程序的安全检测装置,其特征在于,包括:
特征码扫描单元,用于对多个待测应用程序进行特征码扫描,获取到各待测应用程序的待测特征码;
特征码比对单元,用于将所述特征码扫描单元获取到的待测特征码与一预先设置的特征码库中的预存特征码进行比对,确定所述预存特征码中是否有所述待测特征码;
恶意应用程序检测单元,用于在所述预存特征码中存在所述待测特征码时,确定所述待测特征码对应的待测应用程序为恶意应用程序;
反编译单元,用于在所述预存特征码中不存在所述待测特征码时,将所述待测应用程序进行反编译,获取到所述待测应用程序的代码;
风险确定单元,用于通过所述反编译单元获取到的待测应用程序的代码确定所述待测应用程序是否有风险;
所述恶意应用程序检测单元,还用于在所述待测应用程序有风险时,确定所述待测应用程序为恶意应用程序;
动态行为监控单元,用于运行所述待测应用程序,根据所述待测应用程序的代码对所述待测应用程序进行动态行为监控,确定所述待测应用程序运行时是否有恶意行为发生;
所述恶意应用程序检测单元,还用于在所述待测应用程序运行时发生了恶意行为时,确定所述待测应用程序为恶意应用程序。
8.根据权利要求7所述的移动设备应用程序的安全检测装置,其特征在于,还包括:
特征码扫描顺序确定单元,用于根据预先设置的待测应用程序优先级确定对所述待测应用程序进行特征码扫描的顺序。
9.根据权利要求7所述的移动设备应用程序的安全检测装置,其特征在于,还包括:
反编译顺序确定单元,用于根据预先设置的待测应用程序优先级确定将所述待测应用程序进行反编译的顺序。
10.根据权利要求7-9任一项所述的移动设备应用程序的安全检测装置,其特征在于,所述风险确定单元,包括:
静态分析模块,用于将所述待测应用程序的代码进行静态分析,确定所述待测应用程序的权限信息和行为信息;
调用栈确定模块,用于列出所述行为信息的调用栈;
风险判定模块,用于调用一预先设置的风险行为判定规则库,根据所述待测应用程序的权限信息、所述调用栈对所述行为信息进行风险判定,在所述行为信息存在风险时,则确定所述待测应用程序有风险。
11.根据权利要求10所述的移动设备应用程序的安全检测装置,其特征在于,所述动态行为监控单元,包括:
动态行为监控模块,用于根据所述权限信息和行为信息对所述待测应用程序进行动态行为监控,确定所述待测应用程序运行时是否有恶意行为发生;
恶意行为信息获取模块,用于在确定所述待测应用程序运行时有恶意行为发生时,记录所述恶意行为发生的时间,以及确定所述待测应用程序的代码中该恶意行为所对应的位置。
12.根据权利要求11所述的移动设备应用程序的安全检测装置,其特征在于,还包括:
特征码库更新单元,用于在所述特征码库中生成所述恶意应用程序的特征码,以更新所述特征码库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410668238.1A CN104361285B (zh) | 2014-11-20 | 2014-11-20 | 移动设备应用程序的安全检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410668238.1A CN104361285B (zh) | 2014-11-20 | 2014-11-20 | 移动设备应用程序的安全检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104361285A true CN104361285A (zh) | 2015-02-18 |
CN104361285B CN104361285B (zh) | 2017-12-12 |
Family
ID=52528544
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410668238.1A Active CN104361285B (zh) | 2014-11-20 | 2014-11-20 | 移动设备应用程序的安全检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104361285B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105049447A (zh) * | 2015-08-21 | 2015-11-11 | 北京洋浦伟业科技发展有限公司 | 一种基于大数据分析的安全策略配置系统 |
CN106803038A (zh) * | 2016-12-28 | 2017-06-06 | 北京安天网络安全技术有限公司 | 一种检测PowerShell恶意代码的方法及系统 |
CN106971106A (zh) * | 2017-03-30 | 2017-07-21 | 维沃移动通信有限公司 | 一种识别非法应用程序的方法、移动终端及服务器 |
CN107169351A (zh) * | 2017-05-11 | 2017-09-15 | 北京理工大学 | 结合动态行为特征的Android未知恶意软件检测方法 |
CN107679404A (zh) * | 2017-08-31 | 2018-02-09 | 百度在线网络技术(北京)有限公司 | 用于确定软件系统潜在风险的方法和装置 |
CN107798242A (zh) * | 2017-11-13 | 2018-03-13 | 南京大学 | 一种静动态结合的恶意安卓应用自动检测系统 |
CN109711169A (zh) * | 2018-05-04 | 2019-05-03 | 360企业安全技术(珠海)有限公司 | 系统文件的防护方法及装置、系统、存储介质、电子装置 |
CN110147672A (zh) * | 2019-03-28 | 2019-08-20 | 江苏通付盾信息安全技术有限公司 | 一种基于iOS应用的安全检测方法、装置及系统 |
CN110737891A (zh) * | 2018-07-19 | 2020-01-31 | 北京京东金融科技控股有限公司 | 一种主机入侵检测方法和装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101226570A (zh) * | 2007-09-05 | 2008-07-23 | 江启煜 | 一种监控与清除广义未知病毒的方法 |
CN103559446A (zh) * | 2013-11-13 | 2014-02-05 | 厦门市美亚柏科信息股份有限公司 | 一种基于安卓系统的设备的动态病毒检测方法和装置 |
US20140181975A1 (en) * | 2012-11-06 | 2014-06-26 | William Spernow | Method to scan a forensic image of a computer system with multiple malicious code detection engines simultaneously from a master control point |
-
2014
- 2014-11-20 CN CN201410668238.1A patent/CN104361285B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101226570A (zh) * | 2007-09-05 | 2008-07-23 | 江启煜 | 一种监控与清除广义未知病毒的方法 |
US20140181975A1 (en) * | 2012-11-06 | 2014-06-26 | William Spernow | Method to scan a forensic image of a computer system with multiple malicious code detection engines simultaneously from a master control point |
CN103559446A (zh) * | 2013-11-13 | 2014-02-05 | 厦门市美亚柏科信息股份有限公司 | 一种基于安卓系统的设备的动态病毒检测方法和装置 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105049447A (zh) * | 2015-08-21 | 2015-11-11 | 北京洋浦伟业科技发展有限公司 | 一种基于大数据分析的安全策略配置系统 |
CN106803038A (zh) * | 2016-12-28 | 2017-06-06 | 北京安天网络安全技术有限公司 | 一种检测PowerShell恶意代码的方法及系统 |
CN106971106A (zh) * | 2017-03-30 | 2017-07-21 | 维沃移动通信有限公司 | 一种识别非法应用程序的方法、移动终端及服务器 |
CN107169351A (zh) * | 2017-05-11 | 2017-09-15 | 北京理工大学 | 结合动态行为特征的Android未知恶意软件检测方法 |
CN107679404A (zh) * | 2017-08-31 | 2018-02-09 | 百度在线网络技术(北京)有限公司 | 用于确定软件系统潜在风险的方法和装置 |
CN107798242A (zh) * | 2017-11-13 | 2018-03-13 | 南京大学 | 一种静动态结合的恶意安卓应用自动检测系统 |
CN109711169A (zh) * | 2018-05-04 | 2019-05-03 | 360企业安全技术(珠海)有限公司 | 系统文件的防护方法及装置、系统、存储介质、电子装置 |
CN110737891A (zh) * | 2018-07-19 | 2020-01-31 | 北京京东金融科技控股有限公司 | 一种主机入侵检测方法和装置 |
CN110147672A (zh) * | 2019-03-28 | 2019-08-20 | 江苏通付盾信息安全技术有限公司 | 一种基于iOS应用的安全检测方法、装置及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN104361285B (zh) | 2017-12-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104361285A (zh) | 移动设备应用程序的安全检测方法及装置 | |
CN102736978B (zh) | 一种检测应用程序的安装状态的方法及装置 | |
KR101720686B1 (ko) | 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법 | |
KR101803890B1 (ko) | 분석 회피형 악성 앱 탐지 방법 및 장치 | |
CN108763951B (zh) | 一种数据的保护方法及装置 | |
US9747449B2 (en) | Method and device for preventing application in an operating system from being uninstalled | |
CN104199654A (zh) | 开放平台的调用方法及装置 | |
CN110995825B (zh) | 一种智能合约的发布方法、智能节点设备及存储介质 | |
CN108197476B (zh) | 一种智能终端设备的漏洞检测方法及装置 | |
CN109271789B (zh) | 恶意进程检测方法、装置、电子设备及存储介质 | |
KR101972825B1 (ko) | 하이브리드 분석 기술을 이용한 임베디드 기기 취약점 자동 분석 방법, 장치 및 그 방법을 실행하는 컴퓨터 프로그램 | |
CN105512045A (zh) | 一种应用程序的测试方法、装置及测试设备 | |
CN109684795B (zh) | 应用程序反调试的方法、装置及电子设备 | |
CN104850427A (zh) | 一种代码升级方法及装置 | |
CN108197469B (zh) | 校验应用程序的方法、装置和存储介质以及电子设备 | |
KR101803888B1 (ko) | 유사도 기반 악성 어플리케이션 탐지 방법 및 장치 | |
KR101324691B1 (ko) | 모바일 악성 행위 어플리케이션 탐지 시스템 및 방법 | |
CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
CN109543409B (zh) | 用于检测恶意应用及训练检测模型的方法、装置及设备 | |
CN105447387A (zh) | 基于硬件隔离环境的可信应用检测的方法及装置 | |
CN110414218B (zh) | 内核检测方法、装置、电子设备及存储介质 | |
CN109145589B (zh) | 应用程序获取方法及装置 | |
CN108196975B (zh) | 基于多校验和的数据验证方法、装置及存储介质 | |
CN113810431A (zh) | 一种基于Hook的交通物联网终端安全检测方法和系统 | |
CN105391714A (zh) | 移动应用软件自动化签名和验证方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20211223 Address after: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee after: CHINA ACADEMY OF INFORMATION AND COMMUNICATIONS Address before: 100191 No. 52 Garden North Road, Beijing, Haidian District Patentee before: CHINA ACADEME OF TELECOMMUNICATION RESEARCH OF MIIT |