CN104850775B - 一种应用程序安全性的鉴定方法和装置 - Google Patents
一种应用程序安全性的鉴定方法和装置 Download PDFInfo
- Publication number
- CN104850775B CN104850775B CN201410051841.5A CN201410051841A CN104850775B CN 104850775 B CN104850775 B CN 104850775B CN 201410051841 A CN201410051841 A CN 201410051841A CN 104850775 B CN104850775 B CN 104850775B
- Authority
- CN
- China
- Prior art keywords
- application program
- feature
- executable file
- unique identification
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种应用程序安全性的鉴定方法和装置。所述方法包括:特征服务端接收第一特征终端对应用程序的安全性的鉴定请求;向至少一个第二特征终端发送对所述应用程序对应的可执行文件的获取请求,所述获取请求携带所述应用程序的唯一标识信息,其中,所述可执行文件记录所述应用程序运行时的操作行为,所述特征服务端为基于内网对所述第一特征终端和第二特征终端进行安全管理的服务端;依据所述唯一标识信息查找所述应用程序对应的可执行文件,并按照所述可执行文件对所述应用程序的安全性进行鉴定。依据本发明,终端无需上传所有未知安全性的应用程序的可执行文件,仅仅在需要时上传,节省了网络带宽资源和服务器的磁盘空间。
Description
技术领域
本发明涉及互联网技术,具体涉及一种应用程序安全性的鉴定方法,以及和一种应用程序安全性的鉴定装置。
背景技术
云是互联网、网络的一种比喻说法,表示互联网和底层基础设施的抽象,大致可以分为公有云和私有云。
公有云通常指第三方供应商通过自己的基础设施,直接向外部用户提供服务能够使用的云。私有云是放在私有环境中的,比如企业、政府等组织自己在机房中建立的,或者是运营商建设好,但是整体租给某一组织的。组织之外的用户无法访问或无法使用。私有云是一个组织单独使用构建的,因而可以提供对数据、安全性和服务质量的最有效控制。
私有云适用于全封闭式的企业内网环境,由多个终端和对终端进行管理的服务器构成,终端可以将待鉴定的应用程序的标识上传到服务端,服务器端根据本地安全鉴定数据库保存的程序标识与其安全性的对应关系,对应用程序进行安全鉴定,并返回鉴定结果给终端,从而实现了对终端的安全管理。
以上现有技术中存在的问题是:
私有云的安全鉴定数据库是从公有云更新的,可能无法对企业内网专用的某些程序进行安全性鉴定,此时服务端需要从终端进一步获取程序的其它文件作为安全性鉴定的依据,如果由于某种原因在原来的终端上该程序的相关文件丢失,例如,某些病毒文件可能会在运行后自行删除所有的相关文件,在这种情况下就无法对程序进行安全鉴定。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的应用程序安全性的鉴定方法和应用程序安全性的鉴定装置。
依据本发明的一个方面,提供了一种应用程序安全性的鉴定方法,包括:
特征服务端接收第一特征终端对应用程序的安全性的鉴定请求;
向至少一个第二特征终端发送对所述应用程序对应的可执行文件的获取请求,所述获取请求携带所述应用程序的唯一标识信息,其中,所述可执行文件记录所述应用程序运行时的操作行为,所述特征服务端为基于内网对所述第一特征终端和第二特征终端进行安全管理的服务端;
依据所述唯一标识信息查找所述应用程序对应的可执行文件,并按照所述可执行文件对所述应用程序的安全性进行鉴定。
可选地,所述唯一标识信息为所述应用程序的可执行文件的哈希值,或唯一标识所述应用程序的发布者的数字证书信息。
可选地,所述鉴定请求携带所述应用程序的唯一标识信息,所述特征服务端预置有包括所述应用程序的唯一标识信息与安全性对应关系的安全性鉴定数据库;
在向至少一个第二特征终端发送对所述应用程序对应的可执行文件的获取请求的步骤之前,所述方法还包括:
所述特征服务端确定所述安全性鉴定数据库中不存在所述唯一标识信息,或根据所述唯一标识信息在所述安全性鉴定数据库中查找到所述应用程序对应的安全性并非安全文件。
可选地,在向至少一个第二特征终端发送对所述应用程序对应的可执行文件的获取请求的步骤之前,所述方法还包括:
向所述第一特征终端发送对所述应用程序对应的可执行文件的获取请求,并接收到所述第一特征终端反馈的不存在所述可执行文件的消息。
可选地,所述按照可执行文件对应用程序的安全性进行鉴定的步骤包括:
通过分析所述可执行文件所记录的所述应用程序运行时的操作行为是否具备目标行为特征,以对所述应用程序的安全性进行鉴定,所述目标行为特征为病毒文件运行时的行为特征。
可选地,所述通过分析可执行文件所记录的应用程序运行时的操作行为是否具备目标行为特征,以对应用程序的安全性进行鉴定的步骤包括:
对所述应用程序的可执行文件进行反汇编处理,得到所述应用程序对应的汇编源码;
分析所述汇编源码在运行时的操作行为是否具备目标行为特征,所述目标行为特征为病毒文件运行时的行为特征;
若所述汇编源码在运行时的操作行为具备至少一种目标行为特征,则所述应用程序的安全性为危险文件;
若所述汇编源码在运行时的操作行为不具备任何一种目标行为特征,则所述应用程序的安全性为安全文件。
可选地,所述目标行为特征包括连接外网发送数据、执行多次复制代码的操作或访问并改写系统文件。
可选地,所述第二特征终端保存有所述应用程序的唯一标识信息与所述可执行文件在所述第二特征终端的保存路径的对应关系,所述接收第二特征终端依据唯一标识信息查找的应用程序对应的可执行文件的步骤包括:
接收所述第二特征终端按照所述唯一标识信息以及所述对应关系确定保存路径后并按照所述保存路径提取的可执行文件。
根据本发明的另一个方面,提供了一种应用程序安全性的鉴定方法,包括:
第二特征终端接收特征服务端发送的对应用程序对应的可执行文件的获取请求,所述获取请求在所述特征服务端接收第一特征终端对所述应用程序的安全性的鉴定请求之后发送,所述获取请求携带所述应用程序的唯一标识信息,其中,所述可执行文件记录所述应用程序运行时的操作行为,所述特征服务端为基于内网对所述第一特征终端和第二特征终端进行安全管理的服务端;
依据所述唯一标识信息在本地查找所述应用程序对应的可执行文件,并将所述可执行文件发送到所述特征服务端,以按照所述可执行文件对所述应用程序的安全性进行鉴定。
可选地,所述唯一标识信息为所述应用程序的可执行文件的哈希值,或唯一标识所述应用程序的发布者的数字证书信息。
可选地,所述第二特征终端保存有所述应用程序的唯一标识信息与所述可执行文件在所述第二特征终端的保存路径的对应关系,所述依据唯一标识信息在本地查找应用程序对应的可执行文件的步骤包括:
按照所述唯一标识信息以及所述对应关系确定所述可执行文件在所述第二特征终端的保存路径;
按照所述保存路径提取的所述应用程序对应的可执行文件。
可选地,在将所述可执行文件发送到所述特征服务端的步骤之前,所述方法还包括:
向所述特征服务器发送对所述可执行文件的查询请求;
接收所述特征服务器反馈的未接收到其它第二特征终端发送的可执行文件的消息。
根据本发明的另一个方面,提供了一种应用程序安全性的鉴定装置,包括:
程序鉴定请求模块,用于特征服务端接收第一特征终端对应用程序的安全性的鉴定请求;
第一可执行文件请求模块,用于向至少一个第二特征终端发送对所述应用程序对应的可执行文件的获取请求,所述获取请求携带所述应用程序的唯一标识信息,其中,所述可执行文件记录所述应用程序运行时的操作行为,所述特征服务端为基于内网对所述第一特征终端和第二特征终端进行安全管理的服务端;
可执行文件接收模块,用于依据所述唯一标识信息查找所述应用程序对应的可执行文件;
第一安全鉴定模块,用于按照所述可执行文件对所述应用程序的安全性进行鉴定。
可选地,所述唯一标识信息为所述应用程序的可执行文件的哈希值,或唯一标识所述应用程序的发布者的数字证书信息。
可选地,所述鉴定请求携带所述应用程序的唯一标识信息,所述特征服务端预置有包括所述应用程序的唯一标识信息与安全性对应关系的安全性鉴定数据库;
所述装置还包括:
第二安全鉴定模块,用于所述特征服务端确定所述安全性鉴定数据库中不存在所述唯一标识信息,或根据所述唯一标识信息在所述安全性鉴定数据库中查找到所述应用程序对应的安全性并非安全文件。
可选地,所述装置还包括:
第二可执行文件请求模块,用于向所述第一特征终端发送对所述应用程序对应的可执行文件的获取请求,并接收到所述第一特征终端反馈的不存在所述可执行文件的消息。
可选地,所述第一安全鉴定模块,具体用于通过分析所述可执行文件所记录的所述应用程序运行时的操作行为是否具备目标行为特征,以对所述应用程序的安全性进行鉴定,所述目标行为特征为病毒文件运行时的行为特征。
可选地,所述第一安全鉴定模块包括:
对所述应用程序的可执行文件进行反汇编处理,得到所述应用程序对应的汇编源码;
分析所述汇编源码在运行时的操作行为是否具备目标行为特征,所述目标行为特征为病毒文件运行时的行为特征;
若所述汇编源码在运行时的操作行为具备至少一种目标行为特征,则所述应用程序的安全性为危险文件;
若所述汇编源码在运行时的操作行为不具备任何一种目标行为特征,则所述应用程序的安全性为安全文件。
可选地,所述目标行为特征包括连接外网发送数据、执行多次复制代码的操作或访问并改写系统文件。
可选地,所述第二特征终端保存有所述应用程序的唯一标识信息与所述可执行文件在所述第二特征终端的保存路径的对应关系;
所述可执行文件接收模块,具体用于接收所述第二特征终端按照所述唯一标识信息以及所述对应关系确定保存路径后并按照所述保存路径提取的可执行文件。
根据本发明的另一个方面,提供了一种应用程序安全性的鉴定装置,包括:
获取请求接收模块,用于第二特征终端接收特征服务端发送的对应用程序对应的可执行文件的获取请求,所述获取请求在所述特征服务端接收第一特征终端对所述应用程序的安全性的鉴定请求之后发送,所述获取请求携带所述应用程序的唯一标识信息,其中,所述可执行文件记录所述应用程序运行时的操作行为,所述特征服务端为基于内网对所述第一特征终端和第二特征终端进行安全管理的服务端;
可执行文件查找模块,用于依据所述唯一标识信息在本地查找所述应用程序对应的可执行文件,并将所述可执行文件发送到所述特征服务端,以按照所述可执行文件对所述应用程序的安全性进行鉴定。
可选地,所述唯一标识信息为所述应用程序的可执行文件的哈希值,或唯一标识所述应用程序的发布者的数字证书信息。
可选地,所述第二特征终端保存有所述应用程序的唯一标识信息与所述可执行文件在所述第二特征终端的保存路径的对应关系,所述可执行文件查找模块包括:
路径确定子模块,用于按照所述唯一标识信息以及所述对应关系确定所述可执行文件在所述第二特征终端的保存路径;
可执行文件提取子模块,用于按照所述保存路径提取的所述应用程序对应的可执行文件。
可选地,所述装置还包括:
查询请求发送模块,用于向所述特征服务器发送对所述可执行文件的查询请求;
消息接收模块,用于接收所述特征服务器反馈的未接收到其它第二特征终端发送的可执行文件的消息。
依据本发明实施例,在接收到第一特征终端对应用程序安全性的鉴定请求后,向第二特征终端请求获取应用程序的可执行文件,以按照可执行文件对应用程序的安全性进行鉴定,从而在第一特征终端的可执行文件丢失的情况下,还可以在不同于第一特征终端的第二特征终端上查找该可执行文件。
依据本发明实施例,并非终端主动上传可执行文件,而是在需要进一步由服务端主动向终端请求可执行文件,因此,终端无需上传所有未知安全性的应用程序的可执行文件,仅仅在需要时上传,节省了网络带宽资源和服务器的磁盘空间。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其它的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的应用程序安全性的鉴定方法流程图;
图2示出了根据本发明另一个实施例的应用程序安全性的鉴定方法流程图;
图3示出了根据本发明一个实施例的应用程序安全性的鉴定装置结构框图;
图4示出了根据本发明另一个实施例的应用程序安全性的鉴定装置结构框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例可以应用于计算机系统/服务器,其可与众多其它通用或专用计算系统环境或配置一起操作。适于与计算机系统/服务器一起使用的众所周知的计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任何系统的分布式云计算技术环境,等等。
计算机系统/服务器可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
参考图1,示出了根据本发明一个实施例的应用程序安全性的鉴定方法流程图,具体可以包括:
步骤101、特征服务端接收第一特征终端对应用程序的安全性的鉴定请求。
特征服务端为特定终端可访问的服务端,即私有云,私有云大多架设在企业内网中,可以对企业内网的各个终端进行管理。可访问私有云的特定终端和特征服务端处于同一个内网,本发明实施例中,采用第一特征终端和第二特征终端对两个不同的特定终端进行区分,即第二特征终端与第一特征终端为同处于内网中的两个不同的终端,均可以通过内网访问特征服务端。
第一特征终端可以向特征服务端发送对应用程序的鉴定请求,请求特征服务端对该应用程序的安全性进行鉴定。本发明实施例中,应用程序可以是第一特征终端正在下载、安装、启动或保存的应用程序。
具体而言,第一特征终端在多种应用场景下均可以请求特征服务端对应用程序的安全性进行鉴定,第一特征终端下载应用程序时,可以请求特征服务端对应用程序的安全性进行鉴定;需要在安装应用程序时,也可以请求特征服务端对应用程序的安全性进行鉴定;在通过点击应用程序的快捷方式或是程序文件等方式来启动应用程序时,也可以请求特征服务端对应用程序的安全性进行鉴定;又或者,第一特征终端本地保存有多个应用程序,可以按照一定的频率请求特征服务端对保存的应用程序的安全性进行鉴定。
步骤102、向至少一个第二特征终端发送对所述应用程序对应的可执行文件的获取请求,所述获取请求携带所述应用程序的唯一标识信息,其中,所述可执行文件记录所述应用程序运行时的操作行为,所述特征服务端为基于内网对所述第一特征终端和第二特征终端进行安全管理的服务端。
本发明实施例中,在接收到第一特征终端发送的鉴定请求后,进一步请求获取该应用程序对应的可执行文件,以按照可执行文件进行安全性的鉴定。由于各种原因经常会出现在原来的终端上该应用程序的可执行文件丢失的情况,针对这个问题,本发明实施例中,提出局域网内全网通缉原始文件的方法,即可以向其它不同于第一特征终端的第二特征终端请求所述可执行文件。
可执行文件是记录应用程序运行时的操作行为的文件,具体可以为应用程序文件或是应用程序文件的部分信息,也可以是其它表征应用程序运行时的操作行为的文件。其中,应用程序文件即可执行文件(portable executable,PE文件),PE文件是微软Windows操作系统上的程序文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,每个应用程序都有对应的PE文件。
本发明实施例中,可以向一个或多个第二特征终端发送对该应用程序可执行文件的获取请求,向一个第二特征终端发送对可执行文件的获取请求时,可能该第二特征终端也并不存在可执行文件,需要再次发送请求,因此,优选地方式为向多个第二特征终端发送对可执行文件的获取请求。
本发明实施例中,所述唯一标识信息为所述应用程序的可执行文件的哈希值,或唯一标识所述应用程序的发布者的数字证书信息。
具体的,PE文件由MS-DOS可执行体、文件头、可选头、数据目录、节头以及节等结构组成,本发明中可以通过PE文件的文件头中各个结构的关键词作为预设关键词,来判断应用程序对应的各个文件是否为应用程序文件。然后可以通过MD5算法(Message DigestAlgorithm MD5,信息摘要算法第五版)计算出可执行文件的唯一HASH(哈希)值。MD5算法的典型应用是对一段信息(Message)产生信息摘要(Message—Digest),让大容量信息在用数字签名软件签署私人密钥前被"压缩"成一种保密的格式,就是把一个任意长度的字节串变换成一定长的十六进制数字串,可以确保信息传输完整一致。以防止被篡改。
例如,通过MD5算法,计算可执行文件WINWORD.EXE的唯一的32位HASH值为54525786F76E6CD2BA29E2B7B1B28939。
当然,本领域技术人员根据实际情况采用其它算法计算可执行文件的哈希值均是可行的,例如,采用sha-1、RIPEMD以及Haval等算法,本申请对此无需加以限制。
本发明实施例中,所述唯一标识信息也可以为唯一标识所述应用程序的发布者的数字证书信息。数字证书信息是数字签名的一部分,数字签名(Digital Signature)是使用数字证书信息来识别软件的发布者和使用Windows受信任的根证书颁发机构颁发的代码签名证书,对软件代码进行数字签名,从而保证了软件代码来自真实的发行者和保证软件代码没有被非法篡改。不同应用程序发布者的数据证书信息是不同的,因此,数字证书信息可以唯一标识应用程序的发布者。
换而言之,数字签名由经过加密处理的所述应用程序的可执行文件的哈希值和所述发布者的数字证书信息组成。例如,可执行文件的WINDOW.EXE的数字签名中包含的发布者的数字证书信息为Microsoft Code Signing PCA。
步骤103、依据所述唯一标识信息查找所述应用程序对应的可执行文件,并按照所述可执行文件对所述应用程序的安全性进行鉴定。
唯一标识信息为应用程序的可执行文件的哈希值时可以唯一标识所述应用程序,根据唯一标识信息即可唯一确定对应的应用程序,唯一标识信息为唯一标识所述应用程序的发布者的数字证书信息时,当私有云中仅存在该发布者的一个应用程序时,根据唯一标识信息也可以唯一确定对应的应用程序,当第二特征终端上存在该应用程序时,可以根据唯一标识信息确定对应的应用程序,并进一步查找到对应的可执行文件,将该可执行文件返回给特征服务端进行安全性鉴定。
在具体的实现中,可以通过分析可执行文件来确定应用程序的安全性,也可以通过将可执行文件上传到公有云的服务器端进一步进行分析,具体的分析方法可以采用现有技术的任何方式,本发明对此并不做限定。
依据本发明实施例,在接收到第一特征终端对应用程序安全性的鉴定请求后,向第二特征终端请求获取应用程序的可执行文件,以按照可执行文件对应用程序的安全性进行鉴定,从而在第一特征终端的可执行文件丢失的情况下,还可以通过在不同于第一特征终端的第二特征终端在内网中最大限度地查找该可执行文件,尽可能的避免文件丢失的情况,并且,由于并非终端主动上传可执行文件,而是在需要进一步由服务端主动向终端请求可执行文件,因此,终端无需上传所有未知安全性的应用程序的可执行文件,仅仅在需要时上传,节省了网络带宽资源和服务器的磁盘空间。
本发明实施例中,进一步优选地,所述按照可执行文件对应用程序的安全性进行鉴定的步骤具体可以包括:
子步骤S11、通过分析所述可执行文件所记录的所述应用程序运行时的操作行为是否具备目标行为特征,以对所述应用程序的安全性进行鉴定,所述目标行为特征为病毒文件运行时的行为特征。
病毒文件在运行时具有一些共同的破坏性操作行为,例如,重复复制代码,改写系统文件和通过网络向外界发送数据等。
在病毒活动中,所做的最基本动作就是复制自身,将病毒代码附着到其他没有感染病毒的程序文件或其他与计算机执行有关的文件上,或复制到计算机系统的关键部位,以便能够经常得到执行的机会,甚至能在计算机启动时首先取得控制;或复制到可移动存储介质上,以便能传播到其他的计算机。恶性病毒在执行时除了设法复制自身外,还会完成各种破坏性操作,例如改写系统文件,病毒恶意地删除、破坏计算机系统中的各种有用文件,这些恶意操作会导致系统中某些关键性信息的丢失,或者造成重要程序的破坏,最终导致计算机系统整个垮台。某些病毒还会自动连接外网,向外网的固定IP一直发送数据,影响计算机的安全。
应用程序的可执行文件记录了应用程序运行时的操作行为,可以通过分析可执行文件记录的操作行为是否具有病毒的操作行为特征,以此来判断该应用程序是否安全,破坏性的操作行为一般包括对计算机系统的非常规操作或造成恶性结果的操作,如连接外网发送数据、执行多次复制代码的操作或访问并改写系统文件等,还可以包括其他种类的病毒行为特征。
本发明实施例中,进一步优选地,所述子步骤S11具体可以包括:
子步骤S11-1、对所述应用程序的可执行文件进行反汇编处理,得到所述应用程序对应的汇编源码;
子步骤S11-2、分析所述汇编源码在运行时的操作行为是否具备目标行为特征,所述目标行为特征为病毒文件运行时的行为特征,若所述汇编源码在运行时的操作行为具备至少一种目标行为特征,则所述应用程序的安全性为危险文件,若所述汇编源码在运行时的操作行为不具备任何一种目标行为特征,则所述应用程序的安全性为安全文件。
反汇编是将目标代码转为汇编代码的过程。通常,编写程序是利用高级语言如C、Pascal等语言进行编程后再经过编译程序生成可以被计算机系统直接执行的可执行文件,反汇编即是指将这些可执行文件的机器语言反编译还原成汇编语言或其他高级语言。
通过对可执行文件进行反汇编后得到应用程序对应的汇源编码,可执行文件记录了应用程序运行时的行为特征,通过分析汇源编码可以得到所记录的操作行为,若该应用程序的操作行为具备病毒所具备的至少一种目标行为特征,则确定应用程序的安全性为危险文件,若不具备任何一种目标行为特征,则应用程序的安全性为安全文件。
在本发明的一种优选示例中,在判断应用程序的操作行为是否具备目标行为特征时,可以在真实的操作系统中通过软件实现的方法虚拟一个运行环境,这个环境的数据以及运行结果与真实的操作系统完全隔离,在此环境下,运行该汇源编码,并记录应用程序的操作行为,分析操作行为的行为特征并进一步与目标行为特征进行比对。
在本发明的另一种优选示例中,判断应用程序的操作行为是否具备目标行为特征之前,可以预置病毒破坏性行为对应的指令或指令集,在判断时,将该应用程序的汇源编码中所包含的指令或指令集提取出来,由于病毒的一个破坏行为由一系列的执行破坏性操作的指令或指令集构成,每一个所述的指令或指令集的至少产生一个独立的破坏性的操作行为,因此,若该应用程序的指令或指令集中包含至少一个病毒对应的指令代码,则可以得知该应用程序存在类似病毒的操作行为,若不包含任何一个病毒对应的指令代码,可以确定该应用程序的安全性为危险文件。
本发明实施例中,进一步优选地,所述鉴定请求可以携带该应用程序的唯一标识信息,唯一标识信息为所述应用程序的可执行文件的哈希值,或唯一标识所述应用程序的发布者的数字证书信息,以供所述特征服务端按照唯一标识信息对该应用程序进行鉴定。
具体而言,所述特征服务端预置有包括所述应用程序的唯一标识信息与安全性对应关系的安全性鉴定数据库,在步骤102之前,所述方法还可以包括:
所述特征服务端确定所述安全性鉴定数据库中不存在所述唯一标识信息,或根据所述唯一标识信息在所述安全性鉴定数据库中查找到所述应用程序对应的安全性并非安全文件。
在本发明实施例的一种应用场景中,私有云部署在封闭式的内网环境中,可能会使用一些内网专用而外网没有使用的应用程序,由于私有云的安全鉴定数据库从公有云更新,因此,采用该安全鉴定数据库可能并无法对请求鉴定的应用程序进行鉴定,这种情况下,特征服务端在所述安全鉴定数据库中搜索应用程序的唯一标识信息,并可以确定所述安全性鉴定数据库中不存在所述唯一标识信息,因此,可以进一步请求获取应用程序的可执行文件来进行安全鉴定。
在本发明实施例的另一种应用场景中,也可以在私有云中初步确定该应用程序并非安全文件时,进一步请求应用程序对应的可执行文件。例如,应用程序的安全性分为安全文件、未知文件和禁用文件,当鉴定其安全性为未知文件或禁用文件,进一步请求可执行文件。在具体的实现中,安全性分类的种类和个数也可以根据需要设定,本发明对此并不做限制。
本发明实施例中,进一步优选地,在向至少一个第二特征终端发送对所述应用程序对应的可执行文件的获取请求的步骤之前,所述方法还可以包括:
向所述第一特征终端发送对所述应用程序对应的可执行文件的获取请求,并接收到所述第一特征终端反馈的不存在所述可执行文件的消息。
在具体的实现中,向第二特征终端请求可执行文件之前,还可以先向第一特征终端请求所述可执行文件,当第一特征终端不存在可执行文件时,向特征服务器返回不存在的消息,然后再进一步向第二特征终端请求该可执行文件。
本发明实施例中,进一步优选地,所述第二特征终端保存有所述应用程序的唯一标识信息与所述可执行文件在所述第二特征终端的保存路径的对应关系,所述接收第二特征终端依据唯一标识信息查找的应用程序对应的可执行文件的步骤包括:
子步骤S21、接收所述第二特征终端按照所述唯一标识信息以及所述对应关系确定保存路径后并按照所述保存路径提取的可执行文件。
第二特征终端可以记录应用程序的可执行文件的保存路径,并记录保存路径与标识该应用程序的唯一标识信息的对应关系,如此,可以依据应用程序的唯一标识信息在对应关系中查找到应用程序的可执行文件在第二特征终端的保存路径,根据保存路径提取可执行文件。
参考图2,示出了根据本发明另一个实施例的应用程序安全性的鉴定方法流程图,具体可以包括:
步骤201、第二特征终端接收特征服务端发送的对应用程序对应的可执行文件的获取请求,所述获取请求在所述特征服务端接收第一特征终端对所述应用程序的安全性的鉴定请求之后发送,所述获取请求携带所述应用程序的唯一标识信息,其中,所述可执行文件记录所述应用程序运行时的操作行为,所述特征服务端为基于内网对所述第一特征终端和第二特征终端进行安全管理的服务端。
步骤202、依据所述唯一标识信息在本地查找所述应用程序对应的可执行文件,并将所述可执行文件发送到所述特征服务端,以按照所述可执行文件对所述应用程序的安全性进行鉴定。
本发明实施例中,优选地,所述唯一标识信息为所述应用程序的可执行文件的哈希值,或唯一标识所述应用程序的发布者的数字证书信息。
本发明实施例中,优选地,所述第二特征终端保存有所述应用程序的唯一标识信息与所述可执行文件在所述第二特征终端的保存路径的对应关系,所述依据唯一标识信息在本地查找应用程序对应的可执行文件的步骤包括:
子步骤S31、按照所述唯一标识信息以及所述对应关系确定所述可执行文件在所述第二特征终端的保存路径;
子步骤S32、按照所述保存路径提取的所述应用程序对应的可执行文件。
本发明实施例中,优选地,在将所述可执行文件发送到所述特征服务端的步骤之前,所述方法还包括:
向所述特征服务器发送对所述可执行文件的查询请求;
接收所述特征服务器反馈的未接收到其它第二特征终端发送的可执行文件的消息。
本发明实施例中,特征服务端接收到对应用程序安全性的鉴定请求后,可以向一个或多个第二特征终端请求可执行文件,在具体的实现中,若向多个第二特征终端请求可执行文件,而可能不止一个第二特征终端存在该可执行文件,则只需要其中一个第二特征终端上传可执行文件即可,因此,在第二特征终端查找到可执行文件后,还可以先向特征服务器发送对可执行文件的查询请求,若特征服务器未接收到其它第二特征终端发送的可执行文件,则将该消息通知给发送查询请求的第二特征终端,然后由该第二特征终端上传可执行文件,已经收到其它第二特征终端上传的可执行文件,则通知已经收到,则无需发送查询请求的第二特征终端再次上传该可执行文件,如此可以避免多个终端重复上传文件时造成带宽资源的浪费。
依据本发明实施例,在接收到第一特征终端对应用程序安全性的鉴定请求后,向第二特征终端请求获取应用程序的可执行文件,以按照可执行文件对应用程序的安全性进行鉴定,从而在第一特征终端的可执行文件丢失的情况下,还可以在不同于第一特征终端的第二特征终端上查找该可执行文件。
依据本发明实施例,并非终端主动上传可执行文件,而是在需要进一步由服务端主动向终端请求可执行文件,因此,终端无需上传所有未知安全性的应用程序的可执行文件,仅仅在需要时上传,节省了网络带宽资源和服务器的磁盘空间。
需要说明的是,对于前述的方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明所必需的。
参考图3,示出了根据本发明一个实施例的应用程序安全性的鉴定装置结构框图,具体可以包括:
程序鉴定请求模块301,用于特征服务端接收第一特征终端对应用程序的安全性的鉴定请求;
第一可执行文件请求模块302,用于向至少一个第二特征终端发送对所述应用程序对应的可执行文件的获取请求,所述获取请求携带所述应用程序的唯一标识信息,其中,所述可执行文件记录所述应用程序运行时的操作行为,所述特征服务端为基于内网对所述第一特征终端和第二特征终端进行安全管理的服务端;
可执行文件接收模块,用于依据所述唯一标识信息查找所述应用程序对应的可执行文件;
第一安全鉴定模块,用于按照所述可执行文件对所述应用程序的安全性进行鉴定。
本发明实施例中,优选地,所述唯一标识信息为所述应用程序的可执行文件的哈希值,或唯一标识所述应用程序的发布者的数字证书信息。
本发明实施例中,优选地,所述鉴定请求携带所述应用程序的唯一标识信息,所述特征服务端预置有包括所述应用程序的唯一标识信息与安全性对应关系的安全性鉴定数据库;
所述装置还包括:
第二安全鉴定模块,用于所述特征服务端确定所述安全性鉴定数据库中不存在所述唯一标识信息,或根据所述唯一标识信息在所述安全性鉴定数据库中查找到所述应用程序对应的安全性并非安全文件。
本发明实施例中,优选地,所述装置还包括:
第二可执行文件请求模块,用于向所述第一特征终端发送对所述应用程序对应的可执行文件的获取请求,并接收到所述第一特征终端反馈的不存在所述可执行文件的消息。
本发明实施例中,优选地,所述第一安全鉴定模块,具体用于通过分析所述可执行文件所记录的所述应用程序运行时的操作行为是否具备目标行为特征,以对所述应用程序的安全性进行鉴定,所述目标行为特征为病毒文件运行时的行为特征。
本发明实施例中,优选地,所述第一安全鉴定模块包括:
对所述应用程序的可执行文件进行反汇编处理,得到所述应用程序对应的汇编源码;
分析所述汇编源码在运行时的操作行为是否具备目标行为特征,所述目标行为特征为病毒文件运行时的行为特征;
若所述汇编源码在运行时的操作行为具备至少一种目标行为特征,则所述应用程序的安全性为危险文件;
若所述汇编源码在运行时的操作行为不具备任何一种目标行为特征,则所述应用程序的安全性为安全文件。
本发明实施例中,优选地,所述目标行为特征包括连接外网发送数据、执行多次复制代码的操作或访问并改写系统文件。
本发明实施例中,优选地,所述第二特征终端保存有所述应用程序的唯一标识信息与所述可执行文件在所述第二特征终端的保存路径的对应关系;
所述可执行文件接收模块,具体用于接收所述第二特征终端按照所述唯一标识信息以及所述对应关系确定保存路径后并按照所述保存路径提取的可执行文件。
依据本发明实施例,在接收到第一特征终端对应用程序安全性的鉴定请求后,向第二特征终端请求获取应用程序的可执行文件,以按照可执行文件对应用程序的安全性进行鉴定,从而在第一特征终端的可执行文件丢失的情况下,还可以在不同于第一特征终端的第二特征终端上查找该可执行文件。
依据本发明实施例,并非终端主动上传可执行文件,而是在需要进一步由服务端主动向终端请求可执行文件,因此,终端无需上传所有未知安全性的应用程序的可执行文件,仅仅在需要时上传,节省了网络带宽资源和服务器的磁盘空间。
参考图4,示出了根据本发明一个实施例的应用程序安全性的鉴定装置结构框图,具体可以包括:
获取请求接收模块401,用于第二特征终端接收特征服务端发送的对应用程序对应的可执行文件的获取请求,所述获取请求在所述特征服务端接收第一特征终端对所述应用程序的安全性的鉴定请求之后发送,所述获取请求携带所述应用程序的唯一标识信息,其中,所述可执行文件记录所述应用程序运行时的操作行为,所述特征服务端为基于内网对所述第一特征终端和第二特征终端进行安全管理的服务端;
可执行文件查找模块402,用于依据所述唯一标识信息在本地查找所述应用程序对应的可执行文件,并将所述可执行文件发送到所述特征服务端,以按照所述可执行文件对所述应用程序的安全性进行鉴定。
本发明实施例中,优选地,所述唯一标识信息为所述应用程序的可执行文件的哈希值,或唯一标识所述应用程序的发布者的数字证书信息。
本发明实施例中,优选地,所述第二特征终端保存有所述应用程序的唯一标识信息与所述可执行文件在所述第二特征终端的保存路径的对应关系,所述可执行文件查找模块包括:
路径确定子模块,用于按照所述唯一标识信息以及所述对应关系确定所述可执行文件在所述第二特征终端的保存路径;
可执行文件提取子模块,用于按照所述保存路径提取的所述应用程序对应的可执行文件。
本发明实施例中,优选地,所述装置还包括:
查询请求发送模块,用于向所述特征服务器发送对所述可执行文件的查询请求;
消息接收模块,用于接收所述特征服务器反馈的未接收到其它第二特征终端发送的可执行文件的消息。
依据本发明实施例,在接收到第一特征终端对应用程序安全性的鉴定请求后,向第二特征终端请求获取应用程序的可执行文件,以按照可执行文件对应用程序的安全性进行鉴定,从而在第一特征终端的可执行文件丢失的情况下,还可以在不同于第一特征终端的第二特征终端上查找该可执行文件。
依据本发明实施例,并非终端主动上传可执行文件,而是在需要进一步由服务端主动向终端请求可执行文件,因此,终端无需上传所有未知安全性的应用程序的可执行文件,仅仅在需要时上传,节省了网络带宽资源和服务器的磁盘空间。
对于上述应用程序安全性的鉴定装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见图1和图2所示方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域技术人员易于想到的是:上述各个实施例的任意组合应用都是可行的,故上述各个实施例之间的任意组合都是本发明的实施方案,但是由于篇幅限制,本说明书在此就不一一详述了。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的应用程序安全性的鉴定设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其它形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (22)
1.一种应用程序安全性的鉴定方法,包括:
特征服务端接收第一特征终端对应用程序的安全性的鉴定请求;
其中,所述鉴定请求携带所述应用程序的唯一标识信息,所述特征服务端预置有包括所述应用程序的唯一标识信息与安全性对应关系的安全性鉴定数据库;
所述特征服务端确定所述安全性鉴定数据库中不存在所述唯一标识信息,或根据所述唯一标识信息在所述安全性鉴定数据库中查找到所述应用程序对应的安全性并非安全文件;
向至少一个第二特征终端发送对所述应用程序对应的可执行文件的获取请求,所述获取请求携带所述应用程序的唯一标识信息,其中,所述可执行文件记录所述应用程序运行时的操作行为,所述特征服务端为基于内网对所述第一特征终端和第二特征终端进行安全管理的服务端;
接收第二特征终端依据唯一标识信息查找的应用程序对应的可执行文件,并按照所述可执行文件对所述应用程序的安全性进行鉴定。
2.如权利要求1所述的方法,所述唯一标识信息为所述应用程序的可执行文件的哈希值,或唯一标识所述应用程序的发布者的数字证书信息。
3.如权利要求1所述的方法,在向至少一个第二特征终端发送对所述应用程序对应的可执行文件的获取请求的步骤之前,所述方法还包括:
向所述第一特征终端发送对所述应用程序对应的可执行文件的获取请求,并接收到所述第一特征终端反馈的不存在所述可执行文件的消息。
4.如权利要求1所述的方法,所述按照可执行文件对应用程序的安全性进行鉴定的步骤包括:
通过分析所述可执行文件所记录的所述应用程序运行时的操作行为是否具备目标行为特征,以对所述应用程序的安全性进行鉴定,所述目标行为特征为病毒文件运行时的行为特征。
5.如权利要求4所述的方法,所述通过分析可执行文件所记录的应用程序运行时的操作行为是否具备目标行为特征,以对应用程序的安全性进行鉴定的步骤包括:
对所述应用程序的可执行文件进行反汇编处理,得到所述应用程序对应的汇编源码;
分析所述汇编源码在运行时的操作行为是否具备目标行为特征,所述目标行为特征为病毒文件运行时的行为特征;
若所述汇编源码在运行时的操作行为具备至少一种目标行为特征,则所述应用程序的安全性为危险文件;
若所述汇编源码在运行时的操作行为不具备任何一种目标行为特征,则所述应用程序的安全性为安全文件。
6.如权利要求4所述的方法,所述目标行为特征包括连接外网发送数据、执行多次复制代码的操作或访问并改写系统文件。
7.如权利要求1所述的方法,所述第二特征终端保存有所述应用程序的唯一标识信息与所述可执行文件在所述第二特征终端的保存路径的对应关系,所述接收第二特征终端依据唯一标识信息查找的应用程序对应的可执行文件的步骤包括:
接收所述第二特征终端按照所述唯一标识信息以及所述对应关系确定保存路径后并按照所述保存路径提取的可执行文件。
8.一种应用程序安全性的鉴定方法,包括:
第二特征终端接收特征服务端发送的对应用程序对应的可执行文件的获取请求,所述获取请求在所述特征服务端接收第一特征终端对所述应用程序的安全性的鉴定请求并确定安全性鉴定数据库中不存在唯一标识信息,或根据所述唯一标识信息在所述安全性鉴定数据库中查找到所述应用程序对应的安全性并非安全文件之后发送,其中,所述鉴定请求携带所述应用程序的唯一标识信息,所述特征服务端预置有包括所述应用程序的唯一标识信息与安全性对应关系的安全性鉴定数据库,所述获取请求携带所述应用程序的唯一标识信息,其中,所述可执行文件记录所述应用程序运行时的操作行为,所述特征服务端为基于内网对所述第一特征终端和第二特征终端进行安全管理的服务端;
依据所述唯一标识信息在本地查找所述应用程序对应的可执行文件,并将所述可执行文件发送到所述特征服务端,以按照所述可执行文件对所述应用程序的安全性进行鉴定。
9.如权利要求8所述的方法,所述唯一标识信息为所述应用程序的可执行文件的哈希值,或唯一标识所述应用程序的发布者的数字证书信息。
10.如权利要求8所述的方法,所述第二特征终端保存有所述应用程序的唯一标识信息与所述可执行文件在所述第二特征终端的保存路径的对应关系,所述依据所述唯一标识信息在本地查找应用程序对应的可执行文件的步骤包括:
按照所述唯一标识信息以及所述对应关系确定所述可执行文件在所述第二特征终端的保存路径;
按照所述保存路径提取的所述应用程序对应的可执行文件。
11.如权利要求8所述的方法,在将所述可执行文件发送到所述特征服务端的步骤之前,所述方法还包括:
向所述特征服务端发送对所述可执行文件的查询请求;
接收所述特征服务端反馈的未接收到其它第二特征终端发送的可执行文件的消息。
12.一种应用程序安全性的鉴定装置,包括:
程序鉴定请求模块,用于特征服务端接收第一特征终端对应用程序的安全性的鉴定请求;
其中,所述鉴定请求携带所述应用程序的唯一标识信息,所述特征服务端预置有包括所述应用程序的唯一标识信息与安全性对应关系的安全性鉴定数据库;
第二安全鉴定模块,用于所述特征服务端确定所述安全性鉴定数据库中不存在所述唯一标识信息,或根据所述唯一标识信息在所述安全性鉴定数据库中查找到所述应用程序对应的安全性并非安全文件;
第一可执行文件请求模块,用于向至少一个第二特征终端发送对所述应用程序对应的可执行文件的获取请求,所述获取请求携带所述应用程序的唯一标识信息,其中,所述可执行文件记录所述应用程序运行时的操作行为,所述特征服务端为基于内网对所述第一特征终端和第二特征终端进行安全管理的服务端;
可执行文件接收模块,用于接收第二特征终端依据唯一标识信息查找的应用程序对应的可执行文件;
第一安全鉴定模块,用于按照所述可执行文件对所述应用程序的安全性进行鉴定。
13.如权利要求12所述的装置,所述唯一标识信息为所述应用程序的可执行文件的哈希值,或唯一标识所述应用程序的发布者的数字证书信息。
14.如权利要求12所述的装置,还包括:
第二可执行文件请求模块,用于向所述第一特征终端发送对所述应用程序对应的可执行文件的获取请求,并接收到所述第一特征终端反馈的不存在所述可执行文件的消息。
15.如权利要求12所述的装置,所述第一安全鉴定模块,具体用于通过分析所述可执行文件所记录的所述应用程序运行时的操作行为是否具备目标行为特征,以对所述应用程序的安全性进行鉴定,所述目标行为特征为病毒文件运行时的行为特征。
16.如权利要求15所述的装置,所述第一安全鉴定模块包括:
对所述应用程序的可执行文件进行反汇编处理,得到所述应用程序对应的汇编源码;
分析所述汇编源码在运行时的操作行为是否具备目标行为特征,所述目标行为特征为病毒文件运行时的行为特征;
若所述汇编源码在运行时的操作行为具备至少一种目标行为特征,则所述应用程序的安全性为危险文件;
若所述汇编源码在运行时的操作行为不具备任何一种目标行为特征,则所述应用程序的安全性为安全文件。
17.如权利要求15所述的装置,所述目标行为特征包括连接外网发送数据、执行多次复制代码的操作或访问并改写系统文件。
18.如权利要求12所述的装置,所述第二特征终端保存有所述应用程序的唯一标识信息与所述可执行文件在所述第二特征终端的保存路径的对应关系;
所述可执行文件接收模块,具体用于接收所述第二特征终端按照所述唯一标识信息以及所述对应关系确定保存路径后并按照所述保存路径提取的可执行文件。
19.一种应用程序安全性的鉴定装置,包括:
获取请求接收模块,用于第二特征终端接收特征服务端发送的对应用程序对应的可执行文件的获取请求,所述获取请求在所述特征服务端接收第一特征终端对所述应用程序的安全性的鉴定请求并确定安全性鉴定数据库中不存在唯一标识信息,或根据所述唯一标识信息在所述安全性鉴定数据库中查找到所述应用程序对应的安全性并非安全文件之后发送,其中,所述鉴定请求携带所述应用程序的唯一标识信息,所述特征服务端预置有包括所述应用程序的唯一标识信息与安全性对应关系的安全性鉴定数据库,所述获取请求携带所述应用程序的唯一标识信息,其中,所述可执行文件记录所述应用程序运行时的操作行为,所述特征服务端为基于内网对所述第一特征终端和第二特征终端进行安全管理的服务端;
可执行文件查找模块,用于依据所述唯一标识信息在本地查找所述应用程序对应的可执行文件,并将所述可执行文件发送到所述特征服务端,以按照所述可执行文件对所述应用程序的安全性进行鉴定。
20.如权利要求19所述的装置,所述唯一标识信息为所述应用程序的可执行文件的哈希值,或唯一标识所述应用程序的发布者的数字证书信息。
21.如权利要求19所述的装置,所述第二特征终端保存有所述应用程序的唯一标识信息与所述可执行文件在所述第二特征终端的保存路径的对应关系,所述可执行文件查找模块包括:
路径确定子模块,用于按照所述唯一标识信息以及所述对应关系确定所述可执行文件在所述第二特征终端的保存路径;
可执行文件提取子模块,用于按照所述保存路径提取的所述应用程序对应的可执行文件。
22.如权利要求19所述的装置,还包括:
查询请求发送模块,用于向所述特征服务端发送对所述可执行文件的查询请求;
消息接收模块,用于接收所述特征服务端反馈的未接收到其它第二特征终端发送的可执行文件的消息。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410051841.5A CN104850775B (zh) | 2014-02-14 | 2014-02-14 | 一种应用程序安全性的鉴定方法和装置 |
| PCT/CN2015/070361 WO2015120756A1 (zh) | 2014-02-14 | 2015-01-08 | 一种应用程序安全性的鉴定方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410051841.5A CN104850775B (zh) | 2014-02-14 | 2014-02-14 | 一种应用程序安全性的鉴定方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104850775A CN104850775A (zh) | 2015-08-19 |
| CN104850775B true CN104850775B (zh) | 2019-06-28 |
Family
ID=53850415
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410051841.5A Active CN104850775B (zh) | 2014-02-14 | 2014-02-14 | 一种应用程序安全性的鉴定方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104850775B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105989286A (zh) * | 2015-08-28 | 2016-10-05 | 武汉安天信息技术有限责任公司 | 一种分析可执行文件判断高危文件的方法及系统 |
| CN105740660B (zh) * | 2016-01-20 | 2019-02-15 | 广州优视网络科技有限公司 | 一种应用安全性的检测方法及装置 |
| CN109995534B (zh) * | 2017-12-29 | 2022-04-26 | 北京京东尚科信息技术有限公司 | 一种对应用程序进行安全认证的方法和装置 |
| CN109558708B (zh) * | 2018-11-30 | 2020-10-09 | 北京八分量信息科技有限公司 | 基于安全多方计算的应用程序运行控制方法、装置及系统 |
| CN110515652B (zh) * | 2019-08-30 | 2021-10-15 | 腾讯科技(深圳)有限公司 | 代码摘要的生成方法、装置和存储介质 |
| CN111191270A (zh) * | 2019-10-09 | 2020-05-22 | 浙江中控技术股份有限公司 | 一种基于白名单防护的敏感文件访问控制方法 |
| CN113138806B (zh) * | 2021-03-25 | 2023-11-07 | 车智互联(北京)科技有限公司 | 一种移动应用运行环境的处理方法及装置 |
| CN113010764B (zh) * | 2021-04-15 | 2023-08-22 | 德观智能控制设备涿州有限公司 | 一种舆情监测系统、方法、计算机设备及存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004234378A (ja) * | 2003-01-30 | 2004-08-19 | Fujitsu Ltd | セキュリティ管理装置及びセキュリティ管理方法 |
| CN1900941A (zh) * | 2006-04-28 | 2007-01-24 | 傅玉生 | 一种基于软件身份认证技术的计算机安全保护方法 |
| CN101183414A (zh) * | 2007-12-07 | 2008-05-21 | 白杰 | 一种程序检测的方法、装置及程序分析的方法 |
| CN102082802A (zh) * | 2011-03-01 | 2011-06-01 | 陈彪 | 一种基于行为的移动终端的安全防护系统和方法 |
| CN102685727B (zh) * | 2011-03-11 | 2015-07-01 | 中国移动通信有限公司 | 一种应用程序发送、运行方法、系统、服务器和终端 |
| CN102982275A (zh) * | 2012-11-14 | 2013-03-20 | 北京奇虎科技有限公司 | 一种运行应用程序的安全控制方法和装置 |
| CN103198253B (zh) * | 2013-03-29 | 2016-03-30 | 北京奇虎科技有限公司 | 运行文件的方法及系统 |
-
2014
- 2014-02-14 CN CN201410051841.5A patent/CN104850775B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN104850775A (zh) | 2015-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104850775B (zh) | 一种应用程序安全性的鉴定方法和装置 | |
| US11601442B2 (en) | System and method associated with expedient detection and reconstruction of cyber events in a compact scenario representation using provenance tags and customizable policy | |
| CA2966408C (en) | A system and method for network intrusion detection of covert channels based on off-line network traffic | |
| US11381592B2 (en) | System and method for identifying cybersecurity threats | |
| AU2014334840B2 (en) | Method and system for dynamic and comprehensive vulnerability management | |
| US9294486B1 (en) | Malware detection and analysis | |
| TW201642135A (zh) | 文件檢測方法、裝置及系統 | |
| US11775636B1 (en) | Systems and methods of detecting malicious powershell scripts | |
| Suarez-Tangil et al. | Stegomalware: Playing hide and seek with malicious components in smartphone apps | |
| CN104901822B (zh) | 一种应用程序传播过程的跟踪方法和装置 | |
| US20170286095A1 (en) | Software discovery using exclusion | |
| US9390287B2 (en) | Secure data scanning method and system | |
| Le Jamtel | Swimming in the Monero pools | |
| Shaaban et al. | Practical windows forensics | |
| US20210173826A1 (en) | System and methods for securing software chain of custody | |
| Masid et al. | Application of the SAMA methodology to Ryuk malware | |
| Meffert et al. | Deleting collected digital evidence by exploiting a widely adopted hardware write blocker | |
| CN103632069B (zh) | 一种内网中终端安全的管理方法和装置 | |
| WO2015120756A1 (zh) | 一种应用程序安全性的鉴定方法和装置 | |
| Banas | Cloud forensic framework for iaas with support for volatile memory | |
| Gurkok | Cyber forensics and incident response | |
| CN111431995A (zh) | 文件同步方法、主服务器、从服务器和文件同步系统 | |
| Snyder et al. | Determining the effectiveness of data remanence prevention in the AWS cloud | |
| Hovmark et al. | Towards Extending Probabilistic Attack Graphs with Forensic Evidence: An investigation of property list files in macOS | |
| CN113179245B (zh) | 网络安全应急响应方法、系统、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20161228 Address after: 100015 Chaoyang District Road, Jiuxianqiao, No. 10, building No. 3, floor 15, floor 17, 1701-26, Applicant after: BEIJING QI'ANXIN SCIENCE & TECHNOLOGY CO., LTD. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant before: Beijing Qihoo Technology Co., Ltd. Applicant before: Qizhi Software (Beijing) Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100015 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Patentee after: Qianxin Technology Group Co., Ltd. Address before: 100015 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Patentee before: BEIJING QI'ANXIN SCIENCE & TECHNOLOGY CO., LTD. |