CN104484598A - 一种保护智能终端安全的方法和装置 - Google Patents

一种保护智能终端安全的方法和装置 Download PDF

Info

Publication number
CN104484598A
CN104484598A CN201410851595.1A CN201410851595A CN104484598A CN 104484598 A CN104484598 A CN 104484598A CN 201410851595 A CN201410851595 A CN 201410851595A CN 104484598 A CN104484598 A CN 104484598A
Authority
CN
China
Prior art keywords
apk
application
note
behavior
intelligent terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201410851595.1A
Other languages
English (en)
Inventor
万仁国
姚彤
刘昕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qihoo Technology Co Ltd
Qizhi Software Beijing Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Qizhi Software Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd, Qizhi Software Beijing Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201410851595.1A priority Critical patent/CN104484598A/zh
Publication of CN104484598A publication Critical patent/CN104484598A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种保护智能终端安全的方法和装置。所述方法包括:在智能终端安装应用之前,对该应用的APK进行安全扫描;以及对智能终端上已安装的应用进行主动防御。本发明的技术方案,能够及时发现恶意的应用,保护智能终端的安全,进而保护用户的隐私安全和财产安全。

Description

一种保护智能终端安全的方法和装置
技术领域
本发明涉及网络安全技术领域,具体涉及一种保护智能终端安全的方法和装置。
背景技术
随着移动互联网技术的迅猛发展,智能手机、PAD等智能终端已经成为人们生活和工作中的必不可少的配备。人们可以在智能终端上下载各种应用(APP)来满足各种需求,如工具类应用、游戏类应用,网购类应用、通讯类应用、支付类应用等等。
Android平台是基于Linux的开源手机操作系统平台,由操作系统、用户界面和应用程序组成,对第三方应用程序完全开放。由于Android平台的开放性,使得应用程序开发者在开发应用程序时拥有更大的自由度,因而,吸引了很多应用程序开发者,应用程序开发者也开发并提供了大量基于Android平台的安卓的应用程序,这种应用程序的安装包是以一种被称为APK(Android Package)的形式进行发布,通过安装安卓安装包实现应用程序的运行,使得越来越多的应用程序可以承载在Android平台上。Android平台作为世界上最流行的移动操作系统平台,已经覆盖了数以十亿计的智能终端以及众多的应用程序。
但是由于下载应用的渠道五花八门,因此也为恶意应用的滋生提供了土壤,尤其是Android操作系统的开放性更使得各种恶意应用,以及被篡改后的应用对用户的隐私安全和财产安全造成了巨大的威胁。
因此,如何保证智能终端上使用各类应用时的安全的问题成为了急需决绝的问题。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种保护智能终端安全的方法和装置。
依据本发明的一个方面,提供了一种保护智能终端安全的方法,其中,该方法包括:
在智能终端安装应用之前,对该应用的APK进行安全扫描;
以及对智能终端上已安装的应用进行主动防御。
可选地,所述在智能终端安装应用之前,对该应用的APK进行安全扫描包括如下中的一项或多项处理:
读取APK的基本信息,根据APK的基本信息判断该APK是否存在风险;其中,APK的基本信息包括如下中一项或多项:应用名称、包名、子包分析、证书名称、证书MD5、版本编号、版本号、文件大小、文件MD5、应用所用权限和证书使用期限;
根据预设判断规则判断APK是否存在风险;所述预设规则包括如下中的一项或多项:判断APK是否有特定公司的有效签名;判断APK加载的特定文件的内部名称、产品名称或公司名称中的一个或多个是否为指定名称;判断APK是否有预设可疑的行为;
依据恶意特征库对APK进行恶意特征扫描,根据扫描结果判断APK是否存在风险。
可选地,所述判断APK是否有预设可疑的行为包括:
根据APK的基本信息判断该APK是否有执行指定操作的权限,如果判断出没有执行指定操作的权限,但该APK却具有执行所述指定操作的行为,则认为该APK存在风险;
和/或,
预设高危行为库,如果APK具有属于所述高危行为库的行为,则认为该APK存在风险;其中,所述高危行为库包括如下中的一项或多项行为:屏蔽短信、发短信、读短信、发短信代码、对短信有操作、获取短信内容代码、分割短信、静默安装APK、监控接收短信、监控信号变化、监控网络变化、读取联系人信息、发多条短信代码。
可选地,所述恶意特征库中包括如下特征中的一项或多项:
自动添加标签、强制开机自启动、安装恶意插件、容易引起死机、卸载不干净、影响安全软件使用、扣费提示不明显、使用公用证书、使用有风险权限、使用与软件本身属性不符的风险权限、有Push广告行为、有积分墙广告、普通广告、木马软件、发送恶意扣费短信、诱导扣费操作、连接恶意扣费网站、盗取用户信息、强制联网、私自发短信、恶意群发短信、卸载时有恶意行为、默认开机自启动、默认联网无提示是否收费、修改快捷方式和主页。
可选地,所述依据恶意特征库对APK进行恶意特征扫描包括:
采用多个扫描引擎同时进行扫描,其中不同的扫描引擎使用不同的恶意特征库;
根据所述多个扫描引擎的扫描结果进行综合判断。
可选地,所述对智能终端上已安装的应用进行主动防御包括:
当智能终端上已安装的一个应用在执行属于高危行为库中的行为,且该应用不在白名单中,则对该应用执行相应的防御操作。
可选地,所述对该应用执行相应的防御操作包括:
将该应用的相关信息发送到服务器端进行查询,根据服务器端返回的查询结果,对该应用进行拦截、删除或者放行处理。
可选地,该方法进一步包括:查找所述智能终端上的应用安装位置,在该位置处查找到应用安装后的释放文件;对查找的释放文件进行广告插件扫描处理;
和/或,
所述对该应用的APK进行安全扫描还包括:对应用的APK进行广告插件扫描处理。
可选地,所述进行广告插件扫描处理包括:
根据预设的常量池识别所扫描文件中的插件的广告特征;
和/或,
根据所扫描文件的包名和类别信息来识别是否为特定的广告插件;
和/或,
根据所扫描文件中的声明信息来识别是否包含广告插件;
和/或,
根据所扫描文件的类继承关系序列、函数调用序列或通过特定特征识别是否有广告插件。
可选地,所述进行广告插件扫描处理包括:
将所扫描的文件发送到服务器端,根据服务器端的云查杀数据对应用户量较多的应用进行特征语义分析,进而识别是否包含广告插件。
可选地,所述进行广告插件扫描处理包括:
依据预设的各广告特征向量对应用的待扫描文件进行扫描;
对各广告特征向量的扫描结果进行分析,为各特征向量配置不同的广告特征识别权重,对各广告特征向量进行加权计算得到广告特征相似度值,若广告特征相似度值高于预设阈值,则判定为包含广告插件的应用。
可选地,该方法进一步包括:当进行广告插件扫描处理后,确定应用包含广告插件时,
通过广告拦截进程获取该应用发出网络请求以及网络请求中的URL,将该URL与预设的广告黑名单库中记录的URL进行匹配,如果匹配成功,则通过广告拦截进程阻止该网络请求所产生的流量。
依据本发明的另一个方面,提供了一种保护智能终端安全的装置,其中,该装置包括:
安全扫描单元,适于在智能终端安装应用之前,对该应用的APK进行安全扫描;
主动防御单元,适于对智能终端上已安装的应用进行主动防御。
可选地,所述安全扫描单元包括如下模块中的一种或多种:
基本信息读取模块,适于读取APK的基本信息,根据APK的基本信息判断该APK是否存在风险;其中,APK的基本信息包括如下中一项或多项:应用名称、包名、子包分析、证书名称、证书MD5、版本编号、版本号、文件大小、文件MD5、应用所用权限和证书使用期限;
判断规则匹配模块,适于根据预设判断规则判断APK是否存在风险;所述预设规则包括如下中的一项或多项:判断APK是否有特定公司的有效签名;判断APK加载的特定文件的内部名称、产品名称或公司名称中的一个或多个是否为指定名称;判断APK是否有预设可疑的行为;
恶意特征匹配模块,适于依据恶意特征库对APK进行恶意特征扫描,根据扫描结果判断APK是否存在风险。
可选地,所述判断规则匹配模块,适于根据如下方式判断APK是否有预设可疑的行为:
根据APK的基本信息判断该APK是否有执行指定操作的权限,如果判断出没有执行指定操作的权限,但该APK却具有执行所述指定操作的行为,则认为该APK存在风险;
和/或,
预设高危行为库,如果APK具有属于所述高危行为库的行为,则认为该APK存在风险;其中,所述高危行为库包括如下中的一项或多项行为:屏蔽短信、发短信、读短信、发短信代码、对短信有操作、获取短信内容代码、分割短信、静默安装APK、监控接收短信、监控信号变化、监控网络变化、读取联系人信息、发多条短信代码。
可选地,所述恶意特征匹配模块采用的恶意特征库中包括如下特征中的一项或多项:
自动添加标签、强制开机自启动、安装恶意插件、容易引起死机、卸载不干净、影响安全软件使用、扣费提示不明显、使用公用证书、使用有风险权限、使用与软件本身属性不符的风险权限、有Push广告行为、有积分墙广告、普通广告、木马软件、发送恶意扣费短信、诱导扣费操作、连接恶意扣费网站、盗取用户信息、强制联网、私自发短信、恶意群发短信、卸载时有恶意行为、默认开机自启动、默认联网无提示是否收费、修改快捷方式和主页。
可选地,所述恶意特征匹配模块,适于调用多个扫描引擎同时进行扫描,根据所述多个扫描引擎的扫描结果进行综合判断;其中不同的扫描引擎使用不同的恶意特征库。
可选地,所述主动防御单元,适于当智能终端上已安装的一个应用在执行属于高危行为库中的行为,且该应用不在白名单中时,对该应用执行相应的防御操作。
可选地,所述主动防御单元,适于当智能终端上已安装的一个应用在执行属于高危行为库中的行为,且该应用不在白名单中时,将该应用的相关信息发送到服务器端进行查询,根据服务器端返回的查询结果,对该应用进行拦截、删除或者放行处理。
可选地,该装置进一步包括:
广告插件扫描单元,适于查找所述智能终端上的应用安装位置,在该位置处查找到应用安装后的释放文件;对查找的释放文件进行广告插件扫描处理;和/或,适于在智能终端安装应用之前,对应用的APK进行广告插件扫描处理。
可选地,所述广告插件扫描单元适于,
根据预设的常量池识别所扫描文件中的插件的广告特征;
和/或,
根据所扫描文件的包名和类别信息来识别是否为特定的广告插件;
和/或,
根据所扫描文件中的声明信息来识别是否包含广告插件;
和/或,
根据所扫描文件的类继承关系序列、函数调用序列或通过特定特征识别是否有广告插件。
可选地,所述广告插件扫描单元,适于将所扫描的文件发送到服务器端,根据服务器端的云查杀数据对应用户量较多的应用进行特征语义分析,进而识别是否包含广告插件。
可选地,所述广告插件扫描单元,适于依据预设的各广告特征向量对应用的待扫描文件进行扫描;对各广告特征向量的扫描结果进行分析,为各特征向量配置不同的广告特征识别权重,对各广告特征向量进行加权计算得到广告特征相似度值,若广告特征相似度值高于预设阈值,则判定为包含广告插件的应用。
可选地,所述广告插件扫描单元,进一步适于在确定应用包含广告插件时,通过广告拦截进程获取该应用发出网络请求以及网络请求中的URL,将该URL与预设的广告黑名单库中记录的URL进行匹配,如果匹配成功,则通过广告拦截进程阻止该网络请求所产生的流量。
根据本发明这种在智能终端安装应用之前,对该应用的APK进行安全扫描,以及对智能终端上已安装的应用进行主动防御的技术方案,能够及时发现恶意的应用,保护智能终端的安全,进而保护用户的隐私安全和财产安全。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的一种保护智能终端安全的方法的流程图;
图2示出了根据本发明一个实施例的进行云查杀的网络结构示意图;
图3示出了根据本发明一个实施例的一种保护智能终端安全的装置的结构图;
图4示出了根据本发明又一个实施例的一种保护智能终端安全的装置的结构图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的一种保护智能终端安全的方法的流程图。如图1所示,该方法包括:
步骤S110,在智能终端安装应用之前,对该应用的APK进行安全扫描。
步骤S120,以及对智能终端上已安装的应用进行主动防御。
需要说明的是,步骤S110和步骤S120的执行可不分先后,当条件满足时即执行。例如,当智能终端需要安装一个应用时即执行步骤S110,当智能终端上的已安装应用执行威胁用户的隐私安全或财产安全的操作时即执行步骤S120。
图1所示的方法,能够及时发现恶意的应用,保护智能终端的安全,进而保护用户的隐私安全和财产安全。
在本发明的一个实施例中,图1所示方法的步骤S110中所述在智能终端安装应用之前,对该应用的APK进行安全扫描包括如下a、b、c中的一项或多项处理:
a、读取APK的基本信息,根据APK的基本信息判断该APK是否存在风险;其中,APK的基本信息包括如下中一项或多项:应用名称、包名、子包分析、证书名称、证书MD5、版本编号、版本号、文件大小、文件MD5、应用所用权限和证书使用期限。
其中,进行子包分析时,记录子包与大包的关系,然后将子包作为新的Android包进行处理。
b、根据预设判断规则判断APK是否存在风险;所述预设规则包括如下中的一项或多项:
(b1)、判断APK是否有特定公司的有效签名;如果有则是安全的APK。
(b2)、判断APK加载的特定文件的内部名称、产品名称或公司名称中的一个或多个是否为指定名称;如果是则是安全的APK。
(b3)、判断APK是否有预设可疑的行为。如果有预设的可疑行为,则认为存在风险。
c、依据恶意特征库对APK进行恶意特征扫描,根据扫描结果判断APK是否存在风险。
在本发明的一个实施例中,上述(b3)中所述判断APK是否有预设可疑的行为包括如下(b31)和/或(b32):
(b31)、根据APK的基本信息判断该APK是否有执行指定操作的权限,如果判断出没有执行指定操作的权限,但该APK却具有执行所述指定操作的行为,则认为该APK存在风险。
具体地,根据包名和证书MD5等信息判断某个应用是否有相应的权限,如果没有的话,但存在可疑行为,就认为是存在风险。例如,判断APP(即应用)是否是与提供验证信息的网络设备对应的应用程序,如果是,则确定APP具有读取验证信息的权限。其中,网络设备是指位于网络侧的与验证信息对应的功能实体,可有多种形式,比如,该网络设备可以是指APP服务器,也可以是指短信网关或者是短信网关的代理服务器。现在一般采用短信的方式发送验证信息,短信业务是由运营商控制的,那么,如果APP服务器要给终端发送APP业务的验证短信,一般都是借助运营商的短信业务线路进行发送,因此,一般情况下,需要借助短信网关或者短信网关代理服务器进行短信发送,当然也不排除APP服务器发送验证信息的可能性。一个具体例子是,支付宝服务器要给用户手机发送验证短信,一种较为优选的实现方式是,支付宝服务器将短信通过短信网关或者短信网关代理服务器发送给手机,显示在短信上。此步骤中,判断APP权限也就是判断APP是否是该验证信息对应的APP,比如,只有支付宝APP能读支付宝服务器发来的验证短信,只有微信APP能读微信服务器发来的验证短信等等。具体地,可通过判断APP标签是否与验证信息携带的网络设备标识对应,从而确定APP是否与提供验证信息的网络设备对应。比如,通过发送短信的号码进行判断。一个具体例子是,短信来自于号码“95559”,据此,是交通银行服务器发来的短信,那么,就仅允许交通银行APP(通过APP标签确定是否是交通银行APP)读取该短信。
(b32)预设高危行为库,如果APK具有属于所述高危行为库的行为,则认为该APK存在风险。
其中,所述高危行为库包括如下中的一项或多项行为:屏蔽短信、发短信、读短信、发短信代码、对短信有操作、获取短信内容代码、分割短信、静默安装APK、监控接收短信、监控信号变化、监控网络变化、读取联系人信息、发多条短信代码。需要说明的是本发明的其他实施例中的高危行为库不限于上述罗列的各项,实际中可以根据实际的情况对高危行为库进行修改和扩充。
如果认为一个APP不应该具有高危行为库中的一个或多个具体行为,则认为该APP存在风险。
在本发明的一个实施例中,上述c项中所述的恶意特征库中包括如下特征中的一项或多项:
自动添加标签、强制开机自启动、安装恶意插件、容易引起死机、卸载不干净、影响安全软件使用、扣费提示不明显、使用公用证书、使用有风险权限、使用与软件本身属性不符的风险权限、有Push广告行为、有积分墙广告、普通广告、木马软件、发送恶意扣费短信、诱导扣费操作、连接恶意扣费网站、盗取用户信息、强制联网、私自发短信、恶意群发短信、卸载时有恶意行为、默认开机自启动、默认联网无提示是否收费、修改快捷方式和主页。
根据恶意特征库对应用进行恶意特征匹配,对匹配中的应用进行病毒名称的填写、恶意行为的记录以及恶意应用描述的填写,以备后续使用。但需要说明的是,本发明的其他实施例中的恶意特征库不限于上述罗列的各项,实际中可以根据实际的情况对恶意特征库进行修改和扩充。
在本发明的一个实施例中,上述c项中所述依据恶意特征库对APK进行恶意特征扫描包括:采用多个扫描引擎同时进行扫描,其中不同的扫描引擎使用不同的恶意特征库;根据所述多个扫描引擎的扫描结果进行综合判断,最终确认应用是否为恶意应用。其中,也可以采用第三方的扫描引擎,扫描引擎具有可扩展性,根据需要添加不同的扫描引擎。
在本发明的一个实施例中了,除了上述a、b、c中的扫描方法外,还可以进一步:自动下载应用样本,即根据提供的url自动下载应用样本进行检测分析,例如可以将样本推送到大流程第三方接口进行检测。此外还对样本进行备份,即上传至服务器进行备份。这种样本分析和备份,可以为后续的云查杀策略提供依据。
在本发明的一个实施例中,图1所示方法的步骤S120中所述对智能终端上已安装的应用进行主动防御包括:当智能终端上已安装的一个应用在执行属于高危行为库中的行为,且该应用不在白名单中,则对该应用执行相应的防御操作。具体的防御操作包括:将该应用的相关信息发送到服务器端进行查询,根据服务器端返回的查询结果,对该应用进行拦截、删除或者放行处理。这里的拦截是指对该应用的为限行为进行拦截,如阻止其发送短息、读取短信、读取联系人信息等等。这里的删除是指从智能终端删除该应用,即卸载。这里的放行是指根据一定的策略不对该应用进行阻止,让该应用正常执行,这里考虑到有些应用无法确定为风险应用,绝大部分的用户对发出的提示选择忽略,因为认为用户是许可该应用的。
在本发明的一个实施例中,除了根据图1所示的方法进行木马病毒的扫描和主动防御外,还进一步对应用中包含的广告插件进行扫描,具体包括如下A和/或B:
A、查找所述智能终端上的应用安装位置,在该位置处查找到应用安装后的释放文件;对查找的释放文件进行广告插件扫描处理;
B、在智能终端安装应用之前,对应用的APK进行广告插件扫描处理。
在本发明的一个实施例中,所述进行广告插件扫描处理(对查找的释放文件进行广告插件扫描处理,以及对应用的APK进行广告插件扫描处理)包括:
A1、根据预设的常量池识别所扫描文件中的插件的广告特征;通过字符串常量池识别插件特定的广告特征,比如说很多插件版本号的字符串、广告插件联网域名字符串都会保存在常量池。
和/或,
B1、根据所扫描文件的包名和类别信息来识别是否为特定的广告插件;告插件都会包含特定包名和类名,通过该信息可以判定是否含有特定的广告插件。然而很多广告插件会随着广告应用宿主的混淆而混淆,所以包名与类型特征值的选取应该是不会混淆的类名,比如说插件中包含的服务等组件的类名,还有广告View的类名。
和/或,
C1、根据所扫描文件中的声明信息来识别是否包含广告插件;有些广告插件会在该文件中声明需要的信息,根据该特征可以提高识别率。
和/或,
D1、根据所扫描文件的类继承关系序列、函数调用序列或通过特定特征识别是否有广告插件。
在本发明的一个实施例中,所述进行广告插件扫描处理(对查找的释放文件进行广告插件扫描处理,以及对应用的APK进行广告插件扫描处理)包括:将所扫描的文件发送到服务器端,根据服务器端的云查杀数据对应用户量较多的应用进行特征语义分析,进而识别是否包含广告插件。
在本发明的一个实施例中,所述进行广告插件扫描处理(对查找的释放文件进行广告插件扫描处理,以及对应用的APK进行广告插件扫描处理)包括:依据预设的各广告特征向量对应用的待扫描文件进行扫描;对各广告特征向量的扫描结果进行分析,根据具体情况为各特征向量配置不同的广告特征识别权重,对各广告特征向量进行加权计算得到广告特征相似度值,若广告特征相似度值高于预设阈值,则判定为包含广告插件的应用。
在本发明的一个实施例中,本发明中的方法进一步包括:当进行广告插件扫描处理后,确定应用包含广告插件时,通过广告拦截进程获取该应用发出网络请求以及网络请求中的URL,将该URL与预设的广告黑名单库中记录的URL进行匹配,如果匹配成功,则通过广告拦截进程阻止该网络请求所产生的流量。例如,也可以结合拦截隐藏窗口的后台进程未经用户同意而发送广告、游戏、购物、钓鱼网站等网络请求,通过广告拦截进程获取网络请求及网络请求中的URL,将URL与设置在本地的广告黑名单库中记录的URL进行匹配。如果匹配成功,则通过本地广告拦截进程阻止由网络请求所产生的流量。
在本发明的一个实施例中,对于应用安装前的APK和已安装应用的病毒、木马等的风险识别以及广告插件的识别,都发送给服务器端进行云查杀。图2示出了根据本发明一个实施例的进行云查杀的网络结构示意图。参见图2,由控制端侧不断向云端的病毒库添加识别特征,然后有云端的识别引擎根据积累的病毒库向用户端提供识别服务。
图3示出了根据本发明一个实施例的一种保护智能终端安全的装置的结构图。如图3所示,其中,该保护智能终端安全的装置300包括:
安全扫描单元310,适于在智能终端安装应用之前,对该应用的APK进行安全扫描;
主动防御单元320,适于对智能终端上已安装的应用进行主动防御。
图3所示的装置,能够及时发现恶意的应用,保护智能终端的安全,进而保护用户的隐私安全和财产安全。
图4示出了根据本发明又一个实施例的一种保护智能终端安全的装置的结构图。如图4所示,其中,该保护智能终端安全的装置400包括:
安全扫描单元410,适于在智能终端安装应用之前,对该应用的APK进行安全扫描;
主动防御单元420,适于对智能终端上已安装的应用进行主动防御。
在本发明的一个实施例中,所述安全扫描单元410包括如下模块中的一个或多个:
基本信息读取模块411,适于读取APK的基本信息,根据APK的基本信息判断该APK是否存在风险;其中,APK的基本信息包括如下中一项或多项:应用名称、包名、子包分析、证书名称、证书MD5、版本编号、版本号、文件大小、文件MD5、应用所用权限和证书使用期限。其中,进行子包分析时,记录子包与大包的关系,然后将子包作为新的Android包进行处理。
判断规则匹配模块412,适于根据预设判断规则判断APK是否存在风险;所述预设规则包括如下中的一项或多项:判断APK是否有特定公司的有效签名;判断APK加载的特定文件的内部名称、产品名称或公司名称中的一个或多个是否为指定名称;判断APK是否有预设可疑的行为。
恶意特征匹配模块413,适于依据恶意特征库对APK进行恶意特征扫描,根据扫描结果判断APK是否存在风险。
图4中画出了全部的上述三个模块。
在本发明的一个实施例中,所述判断规则匹配模块412,适于根据如下方式判断APK是否有预设可疑的行为:
根据APK的基本信息判断该APK是否有执行指定操作的权限,如果判断出没有执行指定操作的权限,但该APK却具有执行所述指定操作的行为,则认为该APK存在风险;
和/或,
预设高危行为库,如果APK具有属于所述高危行为库的行为,则认为该APK存在风险;其中,所述高危行为库包括如下中的一项或多项行为:屏蔽短信、发短信、读短信、发短信代码、对短信有操作、获取短信内容代码、分割短信、静默安装APK、监控接收短信、监控信号变化、监控网络变化、读取联系人信息、发多条短信代码。
其中根据APK的基本信息判断该APK是否有执行指定操作的权限,如果判断出没有执行指定操作的权限,但该APK却具有执行所述指定操作的行为,则认为该APK存在风险具体来说:根据包名和证书MD5等信息判断某个应用是否有相应的权限,如果没有的话,但存在可疑行为,就认为是存在风险。例如,判断APP(即应用)是否是与提供验证信息的网络设备对应的应用程序,如果是,则确定APP具有读取验证信息的权限。其中,网络设备是指位于网络侧的与验证信息对应的功能实体,可有多种形式,比如,该网络设备可以是指APP服务器,也可以是指短信网关或者是短信网关的代理服务器。现在一般采用短信的方式发送验证信息,短信业务是由运营商控制的,那么,如果APP服务器要给终端发送APP业务的验证短信,一般都是借助运营商的短信业务线路进行发送,因此,一般情况下,需要借助短信网关或者短信网关代理服务器进行短信发送,当然也不排除APP服务器发送验证信息的可能性。一个具体例子是,支付宝服务器要给用户手机发送验证短信,一种较为优选的实现方式是,支付宝服务器将短信通过短信网关或者短信网关代理服务器发送给手机,显示在短信上。此步骤中,判断APP权限也就是判断APP是否是该验证信息对应的APP,比如,只有支付宝APP能读支付宝服务器发来的验证短信,只有微信APP能读微信服务器发来的验证短信等等。具体地,可通过判断APP标签是否与验证信息携带的网络设备标识对应,从而确定APP是否与提供验证信息的网络设备对应。比如,通过发送短信的号码进行判断。一个具体例子是,短信来自于号码“95559”,据此,是交通银行服务器发来的短信,那么,就仅允许交通银行APP(通过APP标签确定是否是交通银行APP)读取该短信。
在本发明的一个实施例中,所述恶意特征匹配模块413采用的恶意特征库中包括如下特征中的一项或多项:
自动添加标签、强制开机自启动、安装恶意插件、容易引起死机、卸载不干净、影响安全软件使用、扣费提示不明显、使用公用证书、使用有风险权限、使用与软件本身属性不符的风险权限、有Push广告行为、有积分墙广告、普通广告、木马软件、发送恶意扣费短信、诱导扣费操作、连接恶意扣费网站、盗取用户信息、强制联网、私自发短信、恶意群发短信、卸载时有恶意行为、默认开机自启动、默认联网无提示是否收费、修改快捷方式和主页。
恶意特征匹配模块413根据恶意特征库对应用进行恶意特征匹配,对匹配中的应用进行病毒名称的填写、恶意行为的记录以及恶意应用描述的填写,以备后续使用。但需要说明的是,本发明的其他实施例中的恶意特征库不限于上述罗列的各项,实际中可以根据实际的情况对恶意特征库进行修改和扩充。
在本发明的一个实施例中,所述恶意特征匹配模块413,适于调用多个扫描引擎同时进行扫描,根据所述多个扫描引擎的扫描结果进行综合判断;其中不同的扫描引擎使用不同的恶意特征库。其中,也可以采用第三方的扫描引擎,扫描引擎具有可扩展性,根据需要添加不同的扫描引擎。
在本发明的一个实施例中了,安全扫描单元410还可以进一步:自动下载应用样本,即根据提供的url自动下载应用样本进行检测分析,例如可以将样本推送到大流程第三方接口进行检测。此外还对样本进行备份,即上传至服务器进行备份。这种样本分析和备份,可以为后续的云查杀策略提供依据。
在本发明的一个实施例中,所述主动防御单元420,适于当智能终端上已安装的一个应用在执行属于高危行为库中的行为,且该应用不在白名单中时,对该应用执行相应的防御操作。
在本发明的一个实施例中,所述主动防御单元420,适于当智能终端上已安装的一个应用在执行属于高危行为库中的行为,且该应用不在白名单中时,将该应用的相关信息发送到服务器端进行查询,根据服务器端返回的查询结果,对该应用进行拦截、删除或者放行处理。这里的拦截是指对该应用的为限行为进行拦截,如阻止其发送短息、读取短信、读取联系人信息等等。这里的删除是指从智能终端删除该应用,即卸载。这里的放行是指根据一定的策略不对该应用进行阻止,让该应用正常执行,这里考虑到有些应用无法确定为风险应用,绝大部分的用户对发出的提示选择忽略,因为认为用户是许可该应用的。
在本发明的一个实施例中,该该保护智能终端安全的装置400进一步包括:广告插件扫描单元430,适于查找所述智能终端上的应用安装位置,在该位置处查找到应用安装后的释放文件;对查找的释放文件进行广告插件扫描处理;和/或,适于在智能终端安装应用之前,对应用的APK进行广告插件扫描处理。
在本发明的一个实施例中,所述广告插件扫描单元430适于,
根据预设的常量池识别所扫描文件中的插件的广告特征;通过字符串常量池识别插件特定的广告特征,比如说很多插件版本号的字符串、广告插件联网域名字符串都会保存在常量池。
和/或,
根据所扫描文件的包名和类别信息来识别是否为特定的广告插件;告插件都会包含特定包名和类名,通过该信息可以判定是否含有特定的广告插件。然而很多广告插件会随着广告应用宿主的混淆而混淆,所以包名与类型特征值的选取应该是不会混淆的类名,比如说插件中包含的服务等组件的类名,还有广告View的类名。
和/或,
根据所扫描文件中的声明信息来识别是否包含广告插件;有些广告插件会在该文件中声明需要的信息,根据该特征可以提高识别率。
和/或,
根据所扫描文件的类继承关系序列、函数调用序列或通过特定特征识别是否有广告插件。
在本发明的一个实施例中,所述广告插件扫描单元430,适于将所扫描的文件发送到服务器端,根据服务器端的云查杀数据对应用户量较多的应用进行特征语义分析,进而识别是否包含广告插件。
在本发明的一个实施例中,所述广告插件扫描单元430,适于依据预设的各广告特征向量对应用的待扫描文件进行扫描;对各广告特征向量的扫描结果进行分析,为各特征向量配置不同的广告特征识别权重,对各广告特征向量进行加权计算得到广告特征相似度值,若广告特征相似度值高于预设阈值,则判定为包含广告插件的应用。
在本发明的一个实施例中,所述广告插件扫描单元430,进一步适于在确定应用包含广告插件时,通过广告拦截进程获取该应用发出网络请求以及网络请求中的URL,将该URL与预设的广告黑名单库中记录的URL进行匹配,如果匹配成功,则通过广告拦截进程阻止该网络请求所产生的流量。例如,也可以结合拦截隐藏窗口的后台进程未经用户同意而发送广告、游戏、购物、钓鱼网站等网络请求,通过广告拦截进程获取网络请求及网络请求中的URL,将URL与设置在本地的广告黑名单库中记录的URL进行匹配。如果匹配成功,则通过本地广告拦截进程阻止由网络请求所产生的流量。
在本发明的一个实施例中,图4所示的装置400首先可以根据智能终端本地缓存中保存的已扫描文件的扫描结果进行病毒木马和广告插件的扫描,如果查询到未知,则集训进行云端查杀。
综上所述,本发明的技术方法对该应用程序文件包进行深度安全扫描,深度安全扫描包括但不限于木马病毒扫描、还包括广告插件扫描等。例如,对于木马病毒扫描,可以通过将应用程序文件包与预存储的恶意特征库内的特征进行匹配,当应用程序文件包与恶意程序库内的特征相匹配,或者触发了敏感权限行为时,则提示用户进行病毒查杀,并对广告特征进行扫描,对用户进行提示,并根据用户的指示执行相应的操作。因此本发明的技术方案能够及时发现恶意的应用,保护智能终端的安全,进而保护用户的隐私安全和财产安全。
需要说明的是:
在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述,构造这类装置所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的保护智能终端安全的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明公开了E1、一种保护智能终端安全的方法,其中,该方法包括:
在智能终端安装应用之前,对该应用的APK进行安全扫描;
以及对智能终端上已安装的应用进行主动防御。
E2、如E1所述的方法,其中,所述在智能终端安装应用之前,对该应用的APK进行安全扫描包括如下中的一项或多项处理:
读取APK的基本信息,根据APK的基本信息判断该APK是否存在风险;其中,APK的基本信息包括如下中一项或多项:应用名称、包名、子包分析、证书名称、证书MD5、版本编号、版本号、文件大小、文件MD5、应用所用权限和证书使用期限;
根据预设判断规则判断APK是否存在风险;所述预设规则包括如下中的一项或多项:判断APK是否有特定公司的有效签名;判断APK加载的特定文件的内部名称、产品名称或公司名称中的一个或多个是否为指定名称;判断APK是否有预设可疑的行为;
依据恶意特征库对APK进行恶意特征扫描,根据扫描结果判断APK是否存在风险。
E3、如E2所述的方法,其中,所述判断APK是否有预设可疑的行为包括:
根据APK的基本信息判断该APK是否有执行指定操作的权限,如果判断出没有执行指定操作的权限,但该APK却具有执行所述指定操作的行为,则认为该APK存在风险;
和/或,
预设高危行为库,如果APK具有属于所述高危行为库的行为,则认为该APK存在风险;其中,所述高危行为库包括如下中的一项或多项行为:屏蔽短信、发短信、读短信、发短信代码、对短信有操作、获取短信内容代码、分割短信、静默安装APK、监控接收短信、监控信号变化、监控网络变化、读取联系人信息、发多条短信代码。
E4、如E2所述的方法,其中,所述恶意特征库中包括如下特征中的一项或多项:
自动添加标签、强制开机自启动、安装恶意插件、容易引起死机、卸载不干净、影响安全软件使用、扣费提示不明显、使用公用证书、使用有风险权限、使用与软件本身属性不符的风险权限、有Push广告行为、有积分墙广告、普通广告、木马软件、发送恶意扣费短信、诱导扣费操作、连接恶意扣费网站、盗取用户信息、强制联网、私自发短信、恶意群发短信、卸载时有恶意行为、默认开机自启动、默认联网无提示是否收费、修改快捷方式和主页。
E5、如E2所述的方法,其中,所述依据恶意特征库对APK进行恶意特征扫描包括:
采用多个扫描引擎同时进行扫描,其中不同的扫描引擎使用不同的恶意特征库;
根据所述多个扫描引擎的扫描结果进行综合判断。
E6、如E1所述的方法,其中,所述对智能终端上已安装的应用进行主动防御包括:
当智能终端上已安装的一个应用在执行属于高危行为库中的行为,且该应用不在白名单中,则对该应用执行相应的防御操作。
E7、如E6所述的方法,其中,所述对该应用执行相应的防御操作包括:
将该应用的相关信息发送到服务器端进行查询,根据服务器端返回的查询结果,对该应用进行拦截、删除或者放行处理。
E8、如E1所述的方法,其中,
该方法进一步包括:查找所述智能终端上的应用安装位置,在该位置处查找到应用安装后的释放文件;对查找的释放文件进行广告插件扫描处理;
和/或,
所述对该应用的APK进行安全扫描还包括:对应用的APK进行广告插件扫描处理。
E9、如E8所述的方法,其中,所述进行广告插件扫描处理包括:
根据预设的常量池识别所扫描文件中的插件的广告特征;
和/或,
根据所扫描文件的包名和类别信息来识别是否为特定的广告插件;
和/或,
根据所扫描文件中的声明信息来识别是否包含广告插件;
和/或,
根据所扫描文件的类继承关系序列、函数调用序列或通过特定特征识别是否有广告插件。
E10、如E8或E9所述的方法,其中,所述进行广告插件扫描处理包括:
将所扫描的文件发送到服务器端,根据服务器端的云查杀数据对应用户量较多的应用进行特征语义分析,进而识别是否包含广告插件。
E11、如E8或E9所述的方法,其中,所述进行广告插件扫描处理包括:
依据预设的各广告特征向量对应用的待扫描文件进行扫描;
对各广告特征向量的扫描结果进行分析,为各特征向量配置不同的广告特征识别权重,对各广告特征向量进行加权计算得到广告特征相似度值,若广告特征相似度值高于预设阈值,则判定为包含广告插件的应用。
E12、如E8所述的方法,其中,该方法进一步包括:当进行广告插件扫描处理后,确定应用包含广告插件时,
通过广告拦截进程获取该应用发出网络请求以及网络请求中的URL,将该URL与预设的广告黑名单库中记录的URL进行匹配,如果匹配成功,则通过广告拦截进程阻止该网络请求所产生的流量。
本发明还公开了F13、一种保护智能终端安全的装置,其中,该装置包括:
安全扫描单元,适于在智能终端安装应用之前,对该应用的APK进行安全扫描;
主动防御单元,适于对智能终端上已安装的应用进行主动防御。
F14、如F13所述的装置,其中,所述安全扫描单元包括如下模块中的一种或多种:
基本信息读取模块,适于读取APK的基本信息,根据APK的基本信息判断该APK是否存在风险;其中,APK的基本信息包括如下中一项或多项:应用名称、包名、子包分析、证书名称、证书MD5、版本编号、版本号、文件大小、文件MD5、应用所用权限和证书使用期限;
判断规则匹配模块,适于根据预设判断规则判断APK是否存在风险;所述预设规则包括如下中的一项或多项:判断APK是否有特定公司的有效签名;判断APK加载的特定文件的内部名称、产品名称或公司名称中的一个或多个是否为指定名称;判断APK是否有预设可疑的行为;
恶意特征匹配模块,适于依据恶意特征库对APK进行恶意特征扫描,根据扫描结果判断APK是否存在风险。
F15、如F14所述的装置,其中,所述判断规则匹配模块,适于根据如下方式判断APK是否有预设可疑的行为:
根据APK的基本信息判断该APK是否有执行指定操作的权限,如果判断出没有执行指定操作的权限,但该APK却具有执行所述指定操作的行为,则认为该APK存在风险;
和/或,
预设高危行为库,如果APK具有属于所述高危行为库的行为,则认为该APK存在风险;其中,所述高危行为库包括如下中的一项或多项行为:屏蔽短信、发短信、读短信、发短信代码、对短信有操作、获取短信内容代码、分割短信、静默安装APK、监控接收短信、监控信号变化、监控网络变化、读取联系人信息、发多条短信代码。
F16、如F14所述的装置,其中,所述恶意特征匹配模块采用的恶意特征库中包括如下特征中的一项或多项:
自动添加标签、强制开机自启动、安装恶意插件、容易引起死机、卸载不干净、影响安全软件使用、扣费提示不明显、使用公用证书、使用有风险权限、使用与软件本身属性不符的风险权限、有Push广告行为、有积分墙广告、普通广告、木马软件、发送恶意扣费短信、诱导扣费操作、连接恶意扣费网站、盗取用户信息、强制联网、私自发短信、恶意群发短信、卸载时有恶意行为、默认开机自启动、默认联网无提示是否收费、修改快捷方式和主页。
F17、如F14所述的装置,其中,
所述恶意特征匹配模块,适于调用多个扫描引擎同时进行扫描,根据所述多个扫描引擎的扫描结果进行综合判断;其中不同的扫描引擎使用不同的恶意特征库。
F18、如F13所述的装置,其中,
所述主动防御单元,适于当智能终端上已安装的一个应用在执行属于高危行为库中的行为,且该应用不在白名单中时,对该应用执行相应的防御操作。
F19、如F18所述的装置,其中,
所述主动防御单元,适于当智能终端上已安装的一个应用在执行属于高危行为库中的行为,且该应用不在白名单中时,将该应用的相关信息发送到服务器端进行查询,根据服务器端返回的查询结果,对该应用进行拦截、删除或者放行处理。
F20、如F13所述的装置,其中,该装置进一步包括:
广告插件扫描单元,适于查找所述智能终端上的应用安装位置,在该位置处查找到应用安装后的释放文件;对查找的释放文件进行广告插件扫描处理;和/或,适于在智能终端安装应用之前,对应用的APK进行广告插件扫描处理。
F21、如F20所述的装置,其中,所述广告插件扫描单元适于,
根据预设的常量池识别所扫描文件中的插件的广告特征;
和/或,
根据所扫描文件的包名和类别信息来识别是否为特定的广告插件;
和/或,
根据所扫描文件中的声明信息来识别是否包含广告插件;
和/或,
根据所扫描文件的类继承关系序列、函数调用序列或通过特定特征识别是否有广告插件。
F22、如F20或F21所述的装置,其中,
所述广告插件扫描单元,适于将所扫描的文件发送到服务器端,根据服务器端的云查杀数据对应用户量较多的应用进行特征语义分析,进而识别是否包含广告插件。
F23、如F20或F21所述的装置,其中,
所述广告插件扫描单元,适于依据预设的各广告特征向量对应用的待扫描文件进行扫描;对各广告特征向量的扫描结果进行分析,为各特征向量配置不同的广告特征识别权重,对各广告特征向量进行加权计算得到广告特征相似度值,若广告特征相似度值高于预设阈值,则判定为包含广告插件的应用。
F24、如F20所述的装置,其中,
所述广告插件扫描单元,进一步适于在确定应用包含广告插件时,通过广告拦截进程获取该应用发出网络请求以及网络请求中的URL,将该URL与预设的广告黑名单库中记录的URL进行匹配,如果匹配成功,则通过广告拦截进程阻止该网络请求所产生的流量。

Claims (10)

1.一种保护智能终端安全的方法,其中,该方法包括:
在智能终端安装应用之前,对该应用的APK进行安全扫描;
以及对智能终端上已安装的应用进行主动防御。
2.如权利要求1所述的方法,其中,所述在智能终端安装应用之前,对该应用的APK进行安全扫描包括如下中的一项或多项处理:
读取APK的基本信息,根据APK的基本信息判断该APK是否存在风险;其中,APK的基本信息包括如下中一项或多项:应用名称、包名、子包分析、证书名称、证书MD5、版本编号、版本号、文件大小、文件MD5、应用所用权限和证书使用期限;
根据预设判断规则判断APK是否存在风险;所述预设规则包括如下中的一项或多项:判断APK是否有特定公司的有效签名;判断APK加载的特定文件的内部名称、产品名称或公司名称中的一个或多个是否为指定名称;判断APK是否有预设可疑的行为;
依据恶意特征库对APK进行恶意特征扫描,根据扫描结果判断APK是否存在风险。
3.如权利要求2所述的方法,其中,所述判断APK是否有预设可疑的行为包括:
根据APK的基本信息判断该APK是否有执行指定操作的权限,如果判断出没有执行指定操作的权限,但该APK却具有执行所述指定操作的行为,则认为该APK存在风险;
和/或,
预设高危行为库,如果APK具有属于所述高危行为库的行为,则认为该APK存在风险;其中,所述高危行为库包括如下中的一项或多项行为:屏蔽短信、发短信、读短信、发短信代码、对短信有操作、获取短信内容代码、分割短信、静默安装APK、监控接收短信、监控信号变化、监控网络变化、读取联系人信息、发多条短信代码。
4.如权利要求2所述的方法,其中,所述恶意特征库中包括如下特征中的一项或多项:
自动添加标签、强制开机自启动、安装恶意插件、容易引起死机、卸载不干净、影响安全软件使用、扣费提示不明显、使用公用证书、使用有风险权限、使用与软件本身属性不符的风险权限、有Push广告行为、有积分墙广告、普通广告、木马软件、发送恶意扣费短信、诱导扣费操作、连接恶意扣费网站、盗取用户信息、强制联网、私自发短信、恶意群发短信、卸载时有恶意行为、默认开机自启动、默认联网无提示是否收费、修改快捷方式和主页。
5.如权利要求2所述的方法,其中,所述依据恶意特征库对APK进行恶意特征扫描包括:
采用多个扫描引擎同时进行扫描,其中不同的扫描引擎使用不同的恶意特征库;
根据所述多个扫描引擎的扫描结果进行综合判断。
6.一种保护智能终端安全的装置,其中,该装置包括:
安全扫描单元,适于在智能终端安装应用之前,对该应用的APK进行安全扫描;
主动防御单元,适于对智能终端上已安装的应用进行主动防御。
7.如权利要求6所述的装置,其中,所述安全扫描单元包括如下模块中的一种或多种:
基本信息读取模块,适于读取APK的基本信息,根据APK的基本信息判断该APK是否存在风险;其中,APK的基本信息包括如下中一项或多项:应用名称、包名、子包分析、证书名称、证书MD5、版本编号、版本号、文件大小、文件MD5、应用所用权限和证书使用期限;
判断规则匹配模块,适于根据预设判断规则判断APK是否存在风险;所述预设规则包括如下中的一项或多项:判断APK是否有特定公司的有效签名;判断APK加载的特定文件的内部名称、产品名称或公司名称中的一个或多个是否为指定名称;判断APK是否有预设可疑的行为;
恶意特征匹配模块,适于依据恶意特征库对APK进行恶意特征扫描,根据扫描结果判断APK是否存在风险。
8.如权利要求7所述的装置,其中,所述判断规则匹配模块,适于根据如下方式判断APK是否有预设可疑的行为:
根据APK的基本信息判断该APK是否有执行指定操作的权限,如果判断出没有执行指定操作的权限,但该APK却具有执行所述指定操作的行为,则认为该APK存在风险;
和/或,
预设高危行为库,如果APK具有属于所述高危行为库的行为,则认为该APK存在风险;其中,所述高危行为库包括如下中的一项或多项行为:屏蔽短信、发短信、读短信、发短信代码、对短信有操作、获取短信内容代码、分割短信、静默安装APK、监控接收短信、监控信号变化、监控网络变化、读取联系人信息、发多条短信代码。
9.如权利要求7所述的装置,其中,所述恶意特征匹配模块采用的恶意特征库中包括如下特征中的一项或多项:
自动添加标签、强制开机自启动、安装恶意插件、容易引起死机、卸载不干净、影响安全软件使用、扣费提示不明显、使用公用证书、使用有风险权限、使用与软件本身属性不符的风险权限、有Push广告行为、有积分墙广告、普通广告、木马软件、发送恶意扣费短信、诱导扣费操作、连接恶意扣费网站、盗取用户信息、强制联网、私自发短信、恶意群发短信、卸载时有恶意行为、默认开机自启动、默认联网无提示是否收费、修改快捷方式和主页。
10.如权利要求7所述的装置,其中,
所述恶意特征匹配模块,适于调用多个扫描引擎同时进行扫描,根据所述多个扫描引擎的扫描结果进行综合判断;其中不同的扫描引擎使用不同的恶意特征库。
CN201410851595.1A 2014-12-31 2014-12-31 一种保护智能终端安全的方法和装置 Pending CN104484598A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410851595.1A CN104484598A (zh) 2014-12-31 2014-12-31 一种保护智能终端安全的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410851595.1A CN104484598A (zh) 2014-12-31 2014-12-31 一种保护智能终端安全的方法和装置

Publications (1)

Publication Number Publication Date
CN104484598A true CN104484598A (zh) 2015-04-01

Family

ID=52759139

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410851595.1A Pending CN104484598A (zh) 2014-12-31 2014-12-31 一种保护智能终端安全的方法和装置

Country Status (1)

Country Link
CN (1) CN104484598A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104794374A (zh) * 2015-04-16 2015-07-22 香港中文大学深圳研究院 一种用于安卓系统的应用权限管理方法和装置
CN105069356A (zh) * 2015-09-08 2015-11-18 百度在线网络技术(北京)有限公司 应用程序的检测方法及装置
CN108108615A (zh) * 2016-11-24 2018-06-01 阿里巴巴集团控股有限公司 应用检测方法、装置及检测设备
CN112148603A (zh) * 2020-09-18 2020-12-29 支付宝(杭州)信息技术有限公司 小程序风险识别方法及装置
CN112528286A (zh) * 2020-12-25 2021-03-19 深圳前海微众银行股份有限公司 终端设备安全检测方法、关联设备以及计算机程序产品

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102254113A (zh) * 2011-06-27 2011-11-23 深圳市安之天信息技术有限公司 一种检测和拦截移动终端恶意代码的方法及系统
CN103279709A (zh) * 2012-12-28 2013-09-04 武汉安天信息技术有限责任公司 一种基于多特征的广告件综合检测方法及系统
CN103544035A (zh) * 2013-10-21 2014-01-29 北京奇虎科技有限公司 用于移动终端的应用清理方法及装置
CN103927485A (zh) * 2014-04-24 2014-07-16 东南大学 基于动态监控的Android应用程序风险评估方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102254113A (zh) * 2011-06-27 2011-11-23 深圳市安之天信息技术有限公司 一种检测和拦截移动终端恶意代码的方法及系统
CN103279709A (zh) * 2012-12-28 2013-09-04 武汉安天信息技术有限责任公司 一种基于多特征的广告件综合检测方法及系统
CN103544035A (zh) * 2013-10-21 2014-01-29 北京奇虎科技有限公司 用于移动终端的应用清理方法及装置
CN103927485A (zh) * 2014-04-24 2014-07-16 东南大学 基于动态监控的Android应用程序风险评估方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104794374A (zh) * 2015-04-16 2015-07-22 香港中文大学深圳研究院 一种用于安卓系统的应用权限管理方法和装置
CN104794374B (zh) * 2015-04-16 2018-01-05 香港中文大学深圳研究院 一种用于安卓系统的应用权限管理方法和装置
CN105069356A (zh) * 2015-09-08 2015-11-18 百度在线网络技术(北京)有限公司 应用程序的检测方法及装置
CN108108615A (zh) * 2016-11-24 2018-06-01 阿里巴巴集团控股有限公司 应用检测方法、装置及检测设备
CN112148603A (zh) * 2020-09-18 2020-12-29 支付宝(杭州)信息技术有限公司 小程序风险识别方法及装置
CN112528286A (zh) * 2020-12-25 2021-03-19 深圳前海微众银行股份有限公司 终端设备安全检测方法、关联设备以及计算机程序产品
CN112528286B (zh) * 2020-12-25 2024-05-10 深圳前海微众银行股份有限公司 终端设备安全检测方法、关联设备以及计算机程序产品

Similar Documents

Publication Publication Date Title
US9734332B2 (en) Behavior profiling for malware detection
CN105427096B (zh) 支付安全沙箱实现方法及系统与应用程序监控方法及系统
US10581879B1 (en) Enhanced malware detection for generated objects
Homayoun et al. A blockchain-based framework for detecting malicious mobile applications in app stores
CN102224505B (zh) 用于运行时攻击预防的系统和方法
AU2011336466B2 (en) Detecting malicious software through contextual convictions, generic signatures and machine learning techniques
US9088601B2 (en) Method and apparatus for detecting malicious software through contextual convictions, generic signatures and machine learning techniques
US7620990B2 (en) System and method for unpacking packed executables for malware evaluation
CN106845223B (zh) 用于检测恶意代码的方法和装置
CN103116722A (zh) 一种通知栏消息的处理方法、装置和系统
CN104392176A (zh) 移动终端及其设备管理器权限的拦截方法
CN103617395A (zh) 一种基于云安全拦截广告程序的方法、装置和系统
US8640233B2 (en) Environmental imaging
CN104484598A (zh) 一种保护智能终端安全的方法和装置
CN104463569A (zh) 安全连接支付方法及其装置
CN103632096A (zh) 一种对设备进行安全检测方法和装置
CN106357689A (zh) 威胁数据的处理方法及系统
CN110084064B (zh) 基于终端的大数据分析处理方法及系统
CN104517054A (zh) 一种检测恶意apk的方法、装置、客户端和服务器
CN112084497A (zh) 嵌入式Linux系统恶意程序检测方法及装置
CN104580203A (zh) 网站恶意程序检测方法及装置
CN104809397A (zh) 一种基于动态监控的Android恶意软件的检测方法及系统
CN102708309A (zh) 恶意代码自动分析方法及系统
CN104268476A (zh) 一种运行应用程序的方法
CN103473501A (zh) 一种基于云安全的恶意软件追踪方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20150401