CN107018152A - 消息拦截方法、装置和电子设备 - Google Patents
消息拦截方法、装置和电子设备 Download PDFInfo
- Publication number
- CN107018152A CN107018152A CN201710392498.4A CN201710392498A CN107018152A CN 107018152 A CN107018152 A CN 107018152A CN 201710392498 A CN201710392498 A CN 201710392498A CN 107018152 A CN107018152 A CN 107018152A
- Authority
- CN
- China
- Prior art keywords
- blacklist
- webpage
- file
- apk file
- apk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例公开了一种消息拦截方法、装置和电子设备,其中,方法包括:解析接收到的消息,对从消息中获取的URL统一资源定位符进行分析;响应于URL统一资源定位符指向网页,根据分析判断URL统一资源定位符指向的网页是否为黑名单网页,并拦截黑名单网页;响应于URL统一资源定位符指向APK安卓安装包文件,下载后判断URL统一资源定位符指向的APK文件是否为黑名单文件,并拦截黑名单文件。本发明实施例实现了通过对URL的分析对黑名单网页和黑名单文件的拦截,使消息中所包含的有危害的信息都能得到拦截,不会危害到用户设备。
Description
技术领域
本发明涉及信息拦截技术,尤其是一种消息拦截方法、装置和电子设备。
背景技术
随着信息化的不断发展,在分享信息化带来的高效率的同时,也会遭受垃圾信息的冲击和困扰,如:广告信息、诈骗信息等。垃圾信息的散布途径有SMS(Short MessageService,短信息服务)、IM(Instant Messaging,即时通讯)、网页等,其传播不仅影响用户的业务体验,还存在安全隐患。
以手机短信为例,垃圾短信可通过手机群发或伪基站的方式发送,目前,检测短信是否为垃圾短信的方式主要为提取关键词,如:发票、中奖等,若短信中存在上述敏感词汇,则判断短信可能为垃圾短信。此种检测方式具有一定的局限性,短信中存在的URL是诈骗分子利用的一个主要渠道,误导用户点击钓鱼网址,下载恶意木马等,此检测方式,若冒充联系人发送诈骗信息时,则产生严重的安全问题。因此,目前的垃圾短信检测方式,无法准确地判断出垃圾短信,尤其是危害较大的诈骗短信。
发明内容
本发明实施例所要解决的一个技术问题是:提供一种能准确判断出垃圾短信的消息拦截方法。
本发明实施例提供的一种消息拦截方法,包括:
解析接收到的消息,对从所述消息中获取的URL统一资源定位符进行分析;
响应于URL统一资源定位符指向网页,根据分析判断所述URL统一资源定位符指向的网页是否为黑名单网页,并拦截所述黑名单网页;
响应于URL统一资源定位符指向APK安卓安装包文件,下载后判断所述URL统一资源定位符指向的APK文件是否为黑名单文件,并拦截所述黑名单文件。
基于上述方法的另一实施例中,根据分析判断所述URL统一资源定位符指向的网页是否为黑名单网页,包括:
解析所述URL统一资源定位符获得对应网页的页面内容特征、代码特征和图像特征;
分别根据所述页面内容特征、代码特征和图像特征判断所述对应网页是否为黑名单网页。
基于上述方法的另一实施例中,分别根据所述页面内容特征、代码特征和图像特征判断所述对应网页是否为黑名单网页,包括:
将所述页面内容特征与内容黑名单中预存的页面内容进行匹配,在所述内容黑名单中存在匹配的页面内容的所述页面内容特征对应的网页为黑名单网页;所述内容黑名单中预存有已知是黑名单的网页对应的网页内容;
根据所述代码特征获得对应网页的域名和IP网络协议;将所述域名和/或IP分别与代码黑名单库中预存的黑名单域名和/或IP进行匹配,在所述代码黑名单库中存在匹配的黑名单域名和/或IP的所述域名和/或IP对应的网页为黑名单网页;所述代码黑名单库中预存有已知是黑名单的网页对应的域名和IP;
将所述图像特征与图片规则库中预存的黑名单规则进行匹配,在所述图像规则库中存在匹配的黑名单规则的图像特征所对应于的网页为黑名单网页;所述图片规则库中预存有已知是黑名单的网页对应的黑名单规则。
基于上述方法的另一实施例中,判断所述URL统一资源定位符指向的APK文件是否为黑名单文件,包括:
通过至少一种查杀引擎对所述APK文件进行查杀,如果所述查杀引擎对所述APK文件执行杀毒处理,则判断所述APK文件为黑名单文件;
如果所述查杀引擎未对所述APK文件执行杀毒处理,将所述APK文件导入沙箱中运行,通过运行过程判断所述APK文件是否为黑名单文件。
基于上述方法的另一实施例中,将所述APK文件导入沙箱中运行,通过运行过程判断所述APK文件是否为黑名单文件,包括:
获取所述导入沙箱中运行的APK文件的行为特征,将所述行为特征与沙箱中预存的模型进行判断,如果所述行为特征在沙箱中存在匹配的行为特征模型,则所述行为特征对应的APK文件为黑名单文件;所述沙箱为所述APK文件的运行提供虚拟环境,并预存有已知是黑名单文件的行为特征模型;
否则,对所述APK文件执行静态分析,判断所述APK文件是否为黑名单文件。
基于上述方法的另一实施例中,对所述APK文件执行静态分析,判断所述APK文件是否为黑名单文件,包括:
通过训练得到的分类模型对所述APK文件进行识别,根据所述分类模型判断所述APK文件是否为黑名单文件;
所述方法还包括:
通过APK文件样本训练得到用于识别恶意APK文件的分类模型。
基于上述方法的另一实施例中,所述通过APK文件样本训练得到用于识别恶意APK文件的分类模型,包括:
选取预定数量APK文件样本;解析APK文件样本中的可执行文件并提取出解析文本中的特征字符串;利用特征字符串构建恶意程序特征码列表和非恶意程序特征码列表;将APK文件样本对应的特征字符串与恶意程序特征码列表和非恶意程序特征码列表进行比对,得到该APK文件样本的字符串特征向量,并根据字符串特征向量和该APK文件样本向系统申请的权限生成该APK文件的识别特征向量;对多个APK文件样本的识别特征向量进行训练,生成用于识别恶意APK文件的分类模型。
根据本发明实施例的另一个方面,提供的一种消息拦截装置,包括:
解析单元,用于解析接收到的消息,对从所述消息中获取的URL统一资源定位符进行分析;
网页判断单元,用于响应于URL统一资源定位符指向网页,根据分析判断所述URL统一资源定位符指向的网页是否为黑名单网页,并拦截所述黑名单网页;
文件判断单元,用于响应于URL统一资源定位符指向APK安卓安装包文件,下载后判断所述URL统一资源定位符指向的APK文件是否为黑名单文件,并拦截所述黑名单文件。
根据本发明实施例的另一个方面,提供的一种电子设备,包括如上所述的消息拦截装置。
基于本发明上述实施例提供的消息拦截方法、装置和电子设备,通过对接收的消息进行解析,获取消息中的URL并分析,在URL指向网页时,判断其指向的网页是否是黑名单网页,并垃圾黑名单网页;在URL指向APK文件时,判断指向的APK文件是否为黑名单文件,并拦截所述黑名单文件;实现了通过对URL的分析对黑名单网页和黑名单文件的拦截,使消息中所包含的有危害的信息都能得到拦截,不会危害到用户设备。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同描述一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1为本发明消息拦截方法一个实施例的流程图。
图2为本发明消息拦截装置一个实施例的结构示意图。
图3为本发明消息拦截装置另一个实施例的结构示意图。
图4为本发明消息拦截装置又一个实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
本发明实施例可以应用于计算机系统/服务器,其可与众多其它通用或专用计算系统环境或配置一起操作。适于与计算机系统/服务器一起使用的众所周知的计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任何系统的分布式云计算技术环境,等等。
计算机系统/服务器可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
图1为本发明消息拦截方法一个实施例的流程图。如图1所示,该实施例方法包括:
步骤101,解析接收到的消息,对从消息中获取的URL统一资源定位符进行分析。
通常垃圾短信或诈骗短信为了骗取用户的点击,会在消息中加上URL统一资源定位符,因此,要对垃圾短信或诈骗短信进行拦截,首先要将消息中的URL统一资源定位符识别出来。
步骤102,响应于URL统一资源定位符指向网页,根据分析判断URL统一资源定位符指向的网页是否为黑名单网页,并拦截所述黑名单网页。
统一资源定位符(URL,英语Uniform Resource Locator的缩写)也被称为网页地址,是因特网上标准的资源的地址。在本实施例中,URL指向网页时,当指向的网页是黑名单网页时,拦截该黑名单网页。
步骤103,响应于URL统一资源定位符指向APK安卓安装包文件,下载后判断URL统一资源定位符指向的APK文件是否为黑名单文件,并拦截黑名单文件。
基于本发明上述实施例提供的消息拦截方法,通过对接收的消息进行解析,获取消息中的URL并分析,在URL指向网页时,判断其指向的网页是否是黑名单网页,并垃圾黑名单网页;在URL指向APK文件时,判断指向的APK文件是否为黑名单文件,并拦截所述黑名单文件;实现了通过对URL的分析对黑名单网页和黑名单文件的拦截,使消息中所包含的有危害的信息都能得到拦截,不会危害到用户设备;本实施例方法使URL无论是指向网页还是指向APK文件都能得到有效拦截。
在整个流程中,利用云存储、云计算保留了PB级的URL请求数据,可疑URL的站点数据,以及相关的分析数据。同时为了加快线上URL的请求,建立URL跳转的多级指纹库,URL到APK的关系链分析库,从而即加快了查询,也能便于进行URL的追踪与追溯。同时为了辅助系统进一步提升准确率以及应急处理一些事件,在系统的最前端设置了一套规则引擎从而实现人为的可控性。
本发明消息拦截方法的另一个实施例中,在上述各实施例方法的基础上,本实施例方法中,步骤102具体可以包括:
解析URL统一资源定位符获得对应网页的页面内容特征、代码特征和图像特征;
分别根据页面内容特征、代码特征和图像特征判断对应网页是否为黑名单网页。
在本实施例中可以通过解析网页的dom文档对象模型树获取页面内容特征;而本实施例中所获取的代码特征通常为域名和/或IP网络协议,当然也可以包括其他代码特征;本实施例中所指图像特征是基于网页的图像进行特征提取获得的具有图片规则;在本实施例中对于页面内容特征、代码特征和图像特征可以选择其中的一个或多个进行判断,当选择一个进行判断时可以直接得到是否为黑名单的结论;但选择多个时,依次对多个特征进行判断,直到得到该网页是否为黑名单的结论,此时对多个特征的顺序没有特别规定,举例来说,如果选择页面内容特征、代码特征和图像特征三个特征进行判断,那么可以按照页面内容特征、代码特征和图像特征的顺序进行判断,也可以按照代码特征、页面内容特征和图像特征的顺序进行判断,还可以按照图像特征、页面内容特征和代码特征的顺序进行判断,此时特征判断的顺序不影响判断结果,本实施例不进行限制。
在本发明消息拦截方法上述实施例的一个具体示例中,分别根据页面内容特征、代码特征和图像特征判断对应网页是否为黑名单网页,可以包括:
将页面内容特征与内容黑名单中预存的页面内容进行匹配,在内容黑名单中存在匹配的页面内容的页面内容特征对应的网页为黑名单网页。
其中,内容黑名单中预存有已知是黑名单的网页对应的网页内容。
根据代码特征获得对应网页的域名和IP网络协议;将域名和/或IP分别与代码黑名单库中预存的黑名单域名和/或IP进行匹配,在代码黑名单库中存在匹配的黑名单域名和/或IP的所述域名和/或IP对应的网页为黑名单网页。
其中,代码黑名单库中预存有已知是黑名单的网页对应的域名和IP。本实施例中,可以通过判断用户访问的网页的URL是否属于本地黑/白名单来判定用户访问的网页是否为钓鱼网页,若用户访问的网页的URL属于本地黑名单则确定网页为钓鱼网页。还可以通过判断用户访问的网页的URL是否属于高危域名或高危IP来判定用户访问的网页是否为钓鱼网页,若用户访问的网页的URL属于高危域名或高危IP则确定网页为钓鱼网页。
将图像特征与图片规则库中预存的黑名单规则进行匹配,在图像规则库中存在匹配的黑名单规则的图像特征所对应于的网页为黑名单网页。
其中,图片规则库中预存有已知是黑名单的网页对应的黑名单规则,图片规则是基于网页获得的,图片规则库中的黑名单规则是统计已知钓鱼网页和其他具有危害的网页获得的这些钓鱼网站中的特定规则,比如:特定LOGO标记。
本发明消息拦截方法又一个实施例中,在上述各实施例的基础上,本实施例中步骤103可以包括:
通过至少一种查杀引擎对APK文件进行查杀,如果查杀引擎对APK文件执行杀毒处理,则判断APK文件为黑名单文件。
如果查杀引擎未对APK文件执行杀毒处理,将APK文件导入沙箱中运行,通过运行过程判断APK文件是否为黑名单文件。
在本实施例中,首先对URL指向的APK文件进行下载,为下载后的APK文件提供至少一种查收引擎进行查杀,此时,由于查杀引擎的数量限制,因此,存在两种可能,一种是通过当前查杀引擎可以直接判断下载的APK文件是病毒文件,此时可直接判断该APK文件为黑名单文件;而另一种情况是通过当前查杀引擎不能直接判断下载的APK文件是否为病毒文件,此时,还需要将APK文件导入沙箱中运行,通过在沙箱中的运行情况对该APK文件是否为黑名单文件进行判断。Sandboxie(又叫沙箱、沙盘)即是一个虚拟系统程序,允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响。其为一个独立的虚拟环境,可用以测试不受信任的应用程序或上网行为。
在本发明上述消息拦截方法实施例的一个具体示例中,将APK文件导入沙箱中运行,通过运行过程判断APK文件是否为黑名单文件的过程可以包括:
获取导入沙箱中运行的APK文件的行为特征,将行为特征与沙箱中预存的模型进行判断,如果行为特征在沙箱中存在匹配的行为特征模型,则行为特征对应的APK文件为黑名单文件。
沙箱为所述APK文件的运行提供虚拟环境,并预存有已知是黑名单文件的行为特征模型。
如果行为特征在沙箱中不存在匹配的行为特征模型,对APK文件执行静态分析,判断APK文件是否为黑名单文件。
在本实施例中,通过拦截系统调用,监视APK文件行为,然后依据预存的黑名单文件对应的行为特征模型与当前APK文件的行为特征进行比对,根据比对结果就可以知道该APK文件是否是黑名单文件,也可以通过用户定义的策略来控制和限制程序对计算机资源的使用,比如改写注册表,读写磁盘等。当通过在沙箱中运行仍然无法判断该APK文件是否为黑名单文件时,可以通过反编译等技术手段对APK文件进行静态分析。反编译为计算机软件反向工程(Reverse engineering)也称为计算机软件还原工程,是指通过对他人软件的目标程序(比如可执行程序)进行“逆向分析、研究”工作,以推导出他人的软件产品所使用的思路、原理、结构、算法、处理过程、运行方法等设计要素,某些特定情况下可能推导出源代码。
在本发明上述消息拦截方法实施例的一个具体示例中,对APK文件执行静态分析,判断APK文件是否为黑名单文件,具体可以包括:
通过训练得到的分类模型对APK文件进行识别,根据分类模型判断APK文件是否为黑名单文件;
本实施例方法还包括:
通过APK文件样本训练得到用于识别恶意APK文件的分类模型。
本实施例中通过预先训练得到的分类模型对APK文件进行识别,具体是将APK文件输入分类模型,分类模型将直接输出其对应的分类结果,对应该APK文件是否是黑名单文件。
在本发明上述消息拦截方法实施例的一个具体示例中,通过APK文件样本训练得到用于识别恶意APK文件的分类模型的过程,具体可以包括:
选取预定数量APK文件样本;解析APK文件样本中的可执行文件并提取出解析文本中的特征字符串;利用特征字符串构建恶意程序特征码列表和非恶意程序特征码列表;将APK文件样本对应的特征字符串与恶意程序特征码列表和非恶意程序特征码列表进行比对,得到该APK文件样本的字符串特征向量,并根据字符串特征向量和该APK文件样本向系统申请的权限生成该APK文件的识别特征向量;对多个APK文件样本的识别特征向量进行训练,生成用于识别恶意APK文件的分类模型。
对APK文件执行静态分析,判断APK文件是否为黑名单文件,具体还可以包括:
解析APK文件,获取其中AndroidManifest.xml文件和classes.dex。抽取classes.dex中的字符串特征,寻找合适字符串作为特征码来区分两类样本。根据以上字符串特征码生成特征码列表。并利用以上特征码列表生成各个样本的特征向量。使用生成的特征向量使用SVM算法进行训练生成分类预测模型。再从样本库中随机抽取黑白样本各3000个记为验证样本。使用分类预测模型对验证样本进行预测。如果有漏报样本则分析漏报样本,将漏报样本中具有一类特征的字符串加入特征码列表中重新生成模型训练预测,直至有个满意的分类模型。如果有误报样本则分析误报样本,将造成误报的特征码再特征码列表中去重,重新生成模型进行训练和预测。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图2为本发明消息拦截装置一个实施例的结构示意图。该实施例的装置可用于实现本发明上述各方法实施例。如图3所示,该实施例的装置包括:
解析单元21,用于解析接收到的消息,对从消息中获取的URL统一资源定位符进行分析;
网页判断单元22,用于响应于URL统一资源定位符指向网页,根据分析判断URL统一资源定位符指向的网页是否为黑名单网页,并拦截黑名单网页;
文件判断单元23,用于响应于URL统一资源定位符指向APK安卓安装包文件,下载后判断URL统一资源定位符指向的APK文件是否为黑名单文件,并拦截黑名单文件。
基于本发明上述实施例提供的消息拦截装置,通过对接收的消息进行解析,获取消息中的URL并分析,在URL指向网页时,判断其指向的网页是否是黑名单网页,并垃圾黑名单网页;在URL指向APK文件时,判断指向的APK文件是否为黑名单文件,并拦截所述黑名单文件;实现了通过对URL的分析对黑名单网页和黑名单文件的拦截,使消息中所包含的有危害的信息都能得到拦截,不会危害到用户设备。
图3为本发明消息拦截装置另一个实施例的结构示意图。如图3所示,本实施例装置中,网页判断单元22包括:
特征获取模块221,用于解析URL统一资源定位符获得对应网页的页面内容特征、代码特征和图像特征;
特征判断模块222,用于分别根据页面内容特征、代码特征和图像特征判断对应网页是否为黑名单网页。
在本实施例中可以通过解析网页的dom文档对象模型树获取页面内容特征;而本实施例中所获取的代码特征通常为域名和/或IP网络协议,当然也可以包括其他代码特征;本实施例中所指图像特征是基于网页的图像进行特征提取获得的具有图片规则;在本实施例中对于页面内容特征、代码特征和图像特征可以选择其中的一个或多个进行判断,当选择一个进行判断时可以直接得到是否为黑名单的结论;但选择多个时,依次对多个特征进行判断,直到得到该网页是否为黑名单的结论,此时对多个特征的顺序没有特别规定,举例来说,如果选择页面内容特征、代码特征和图像特征三个特征进行判断,那么可以按照页面内容特征、代码特征和图像特征的顺序进行判断,也可以按照代码特征、页面内容特征和图像特征的顺序进行判断,还可以按照图像特征、页面内容特征和代码特征的顺序进行判断,此时特征判断的顺序不影响判断结果,本实施例不进行限制。
在本发明消息拦截装置上述实施例的一个具体示例中,特征判断模块222包括:
页面特征模块,用于将页面内容特征与内容黑名单中预存的页面内容进行匹配,在内容黑名单中存在匹配的页面内容的页面内容特征对应的网页为黑名单网页;其中,内容黑名单中预存有已知是黑名单的网页对应的网页内容。
代码特征模块,用于根据代码特征获得对应网页的域名和IP网络协议;将域名和/或IP分别与代码黑名单库中预存的黑名单域名和/或IP进行匹配,在代码黑名单库中存在匹配的黑名单域名和/或IP的域名和/或IP对应的网页为黑名单网页;其中,代码黑名单库中预存有已知是黑名单的网页对应的域名和IP。
图像特征模块,用于将图像特征与图片规则库中预存的黑名单规则进行匹配,在图像规则库中存在匹配的黑名单规则的图像特征所对应于的网页为黑名单网页;其中,图片规则库中预存有已知是黑名单的网页对应的黑名单规则。
图4为本发明消息拦截装置又一个实施例的结构示意图。如图4所示,本实施例装置中,文件判断单元23包括:
引擎查杀模块231,用于通过至少一种查杀引擎对APK文件进行查杀,如果查杀引擎对所述APK文件执行杀毒处理,则判断APK文件为黑名单文件。
沙箱判断模块232,用于当查杀引擎未对APK文件执行杀毒处理时,将APK文件导入沙箱中运行,通过运行过程判断APK文件是否为黑名单文件。
在本实施例中,首先对URL指向的APK文件进行下载,为下载后的APK文件提供至少一种查收引擎进行查杀,此时,由于查杀引擎的数量限制,因此,存在两种可能,一种是通过当前查杀引擎可以直接判断下载的APK文件是病毒文件,此时可直接判断该APK文件为黑名单文件;而另一种情况是通过当前查杀引擎不能直接判断下载的APK文件是否为病毒文件,此时,还需要将APK文件导入沙箱中运行,通过在沙箱中的运行情况对该APK文件是否为黑名单文件进行判断。
在本发明上述消息拦截装置实施例的一个具体示例中,沙箱判断模块232包括:
行为分析模块,用于获取导入沙箱中运行的APK文件的行为特征,将行为特征与沙箱中预存的模型进行判断,如果行为特征在沙箱中存在匹配的行为特征模型,则行为特征对应的APK文件为黑名单文件;沙箱为APK文件的运行提供虚拟环境,并预存有已知是黑名单文件的行为特征模型;
静态分析模块,用于当行为特征在沙箱中不存在匹配的行为特征模型时,对APK文件执行静态分析,判断APK文件是否为黑名单文件。
在本发明上述消息拦截装置实施例的一个具体示例中,静态分析模块,具体用于通过训练得到的分类模型对所述APK文件进行识别,根据分类模型判断APK文件是否为黑名单文件;
本实施例装置还包括分析模型训练单元,用于通过APK文件样本训练得到用于识别恶意APK文件的分类模型。
在本发明上述消息拦截装置实施例的一个具体示例中,分析模型训练单元包括:
选取模块,用于选取预定数量APK文件样本;
字符串解析模块,用于解析APK文件样本中的可执行文件并提取出解析文本中的特征字符串;利用特征字符串构建恶意程序特征码列表和非恶意程序特征码列表;
比对模块,用于将APK文件样本对应的特征字符串与恶意程序特征码列表和非恶意程序特征码列表进行比对,得到该APK文件样本的字符串特征向量,并根据字符串特征向量和该APK文件样本向系统申请的权限生成该APK文件的识别特征向量;
训练模块,用于对多个APK文件样本的识别特征向量进行训练,生成用于识别恶意APK文件的分类模型。
根据本发明实施例的另一个方面,提供的一种电子设备,包括如上述消息拦截装置实施例中的任意一项。
1、一种消息拦截方法,包括:
解析接收到的消息,对从所述消息中获取的URL统一资源定位符进行分析;
响应于URL统一资源定位符指向网页,根据分析判断所述URL统一资源定位符指向的网页是否为黑名单网页,并拦截所述黑名单网页;
响应于URL统一资源定位符指向APK安卓安装包文件,下载后判断所述URL统一资源定位符指向的APK文件是否为黑名单文件,并拦截所述黑名单文件。
2、根据1所述的方法,根据分析判断所述URL统一资源定位符指向的网页是否为黑名单网页,包括:
解析所述URL统一资源定位符获得对应网页的页面内容特征、代码特征和图像特征;
分别根据所述页面内容特征、代码特征和图像特征判断所述对应网页是否为黑名单网页。
3、根据2所述的方法,分别根据所述页面内容特征、代码特征和图像特征判断所述对应网页是否为黑名单网页,包括:
将所述页面内容特征与内容黑名单中预存的页面内容进行匹配,在所述内容黑名单中存在匹配的页面内容的所述页面内容特征对应的网页为黑名单网页;所述内容黑名单中预存有已知是黑名单的网页对应的网页内容;
根据所述代码特征获得对应网页的域名和IP网络协议;将所述域名和/或IP分别与代码黑名单库中预存的黑名单域名和/或IP进行匹配,在所述代码黑名单库中存在匹配的黑名单域名和/或IP的所述域名和/或IP对应的网页为黑名单网页;所述代码黑名单库中预存有已知是黑名单的网页对应的域名和IP;
将所述图像特征与图片规则库中预存的黑名单规则进行匹配,在所述图像规则库中存在匹配的黑名单规则的图像特征所对应于的网页为黑名单网页;所述图片规则库中预存有已知是黑名单的网页对应的黑名单规则。
4、根据1-3任一项所述的方法,判断所述URL统一资源定位符指向的APK文件是否为黑名单文件,包括:
通过至少一种查杀引擎对所述APK文件进行查杀,如果所述查杀引擎对所述APK文件执行杀毒处理,则判断所述APK文件为黑名单文件;
如果所述查杀引擎未对所述APK文件执行杀毒处理,将所述APK文件导入沙箱中运行,通过运行过程判断所述APK文件是否为黑名单文件。
5、根据4所述的方法,将所述APK文件导入沙箱中运行,通过运行过程判断所述APK文件是否为黑名单文件,包括:
获取所述导入沙箱中运行的APK文件的行为特征,将所述行为特征与沙箱中预存的模型进行判断,如果所述行为特征在沙箱中存在匹配的行为特征模型,则所述行为特征对应的APK文件为黑名单文件;所述沙箱为所述APK文件的运行提供虚拟环境,并预存有已知是黑名单文件的行为特征模型;
否则,对所述APK文件执行静态分析,判断所述APK文件是否为黑名单文件。
6、根据5所述的方法,对所述APK文件执行静态分析,判断所述APK文件是否为黑名单文件,包括:
通过训练得到的分类模型对所述APK文件进行识别,根据所述分类模型判断所述APK文件是否为黑名单文件;
所述方法还包括:
通过APK文件样本训练得到用于识别恶意APK文件的分类模型。
7、根据6所述的方法,所述通过APK文件样本训练得到用于识别恶意APK文件的分类模型,包括:
选取预定数量APK文件样本;解析APK文件样本中的可执行文件并提取出解析文本中的特征字符串;利用特征字符串构建恶意程序特征码列表和非恶意程序特征码列表;将APK文件样本对应的特征字符串与恶意程序特征码列表和非恶意程序特征码列表进行比对,得到该APK文件样本的字符串特征向量,并根据字符串特征向量和该APK文件样本向系统申请的权限生成该APK文件的识别特征向量;对多个APK文件样本的识别特征向量进行训练,生成用于识别恶意APK文件的分类模型。
8、一种消息拦截装置,包括:
解析单元,用于解析接收到的消息,对从所述消息中获取的URL统一资源定位符进行分析;
网页判断单元,用于响应于URL统一资源定位符指向网页,根据分析判断所述URL统一资源定位符指向的网页是否为黑名单网页,并拦截所述黑名单网页;
文件判断单元,用于响应于URL统一资源定位符指向APK安卓安装包文件,下载后判断所述URL统一资源定位符指向的APK文件是否为黑名单文件,并拦截所述黑名单文件。
9、根据8所述的装置,所述网页判断单元包括:
特征获取模块,用于解析所述URL统一资源定位符获得对应网页的页面内容特征、代码特征和图像特征;
特征判断模块,用于分别根据所述页面内容特征、代码特征和图像特征判断所述对应网页是否为黑名单网页。
10、根据9所述的装置,所述特征判断模块包括:
页面特征模块,用于将所述页面内容特征与内容黑名单中预存的页面内容进行匹配,在所述内容黑名单中存在匹配的页面内容的所述页面内容特征对应的网页为黑名单网页;所述内容黑名单中预存有已知是黑名单的网页对应的网页内容;
代码特征模块,用于根据所述代码特征获得对应网页的域名和IP网络协议;将所述域名和/或IP分别与代码黑名单库中预存的黑名单域名和/或IP进行匹配,在所述代码黑名单库中存在匹配的黑名单域名和/或IP的所述域名和/或IP对应的网页为黑名单网页;所述代码黑名单库中预存有已知是黑名单的网页对应的域名和IP;
图像特征模块,用于将所述图像特征与图片规则库中预存的黑名单规则进行匹配,在所述图像规则库中存在匹配的黑名单规则的图像特征所对应于的网页为黑名单网页;所述图片规则库中预存有已知是黑名单的网页对应的黑名单规则。
11、根据8-10任一项所述的装置,所述文件判断单元包括:
引擎查杀模块,用于通过至少一种查杀引擎对所述APK文件进行查杀,如果所述查杀引擎对所述APK文件执行杀毒处理,则判断所述APK文件为黑名单文件;
沙箱判断模块,用于当所述查杀引擎未对所述APK文件执行杀毒处理时,将所述APK文件导入沙箱中运行,通过运行过程判断所述APK文件是否为黑名单文件。
12、根据11所述的装置,所述沙箱判断模块包括:
行为分析模块,用于获取所述导入沙箱中运行的APK文件的行为特征,将所述行为特征与沙箱中预存的模型进行判断,如果所述行为特征在沙箱中存在匹配的行为特征模型,则所述行为特征对应的APK文件为黑名单文件;所述沙箱为所述APK文件的运行提供虚拟环境,并预存有已知是黑名单文件的行为特征模型;
静态分析模块,用于当所述行为特征在沙箱中不存在匹配的行为特征模型时,对所述APK文件执行静态分析,判断所述APK文件是否为黑名单文件。
13、根据12所述的装置,所述静态分析模块,具体用于通过训练得到的分类模型对所述APK文件进行识别,根据所述分类模型判断所述APK文件是否为黑名单文件;
所述装置还包括分析模型训练单元,用于通过APK文件样本训练得到用于识别恶意APK文件的分类模型。
14、根据13所述的装置,所述分析模型训练单元包括:
选取模块,用于选取预定数量APK文件样本;
字符串解析模块,用于解析APK文件样本中的可执行文件并提取出解析文本中的特征字符串;利用特征字符串构建恶意程序特征码列表和非恶意程序特征码列表;
比对模块,用于将APK文件样本对应的特征字符串与恶意程序特征码列表和非恶意程序特征码列表进行比对,得到该APK文件样本的字符串特征向量,并根据字符串特征向量和该APK文件样本向系统申请的权限生成该APK文件的识别特征向量;
训练模块,用于对多个APK文件样本的识别特征向量进行训练,生成用于识别恶意APK文件的分类模型。
15、一种电子设备,包括如8至14任意一项所述的消息拦截装置。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
可能以许多方式来实现本发明的方法和装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (10)
1.一种消息拦截方法,其特征在于,包括:
解析接收到的消息,对从所述消息中获取的URL统一资源定位符进行分析;
响应于URL统一资源定位符指向网页,根据分析判断所述URL统一资源定位符指向的网页是否为黑名单网页,并拦截所述黑名单网页;
响应于URL统一资源定位符指向APK安卓安装包文件,下载后判断所述URL统一资源定位符指向的APK文件是否为黑名单文件,并拦截所述黑名单文件。
2.根据权利要求1所述的方法,其特征在于,根据分析判断所述URL统一资源定位符指向的网页是否为黑名单网页,包括:
解析所述URL统一资源定位符获得对应网页的页面内容特征、代码特征和图像特征;
分别根据所述页面内容特征、代码特征和图像特征判断所述对应网页是否为黑名单网页。
3.根据权利要求2所述的方法,其特征在于,分别根据所述页面内容特征、代码特征和图像特征判断所述对应网页是否为黑名单网页,包括:
将所述页面内容特征与内容黑名单中预存的页面内容进行匹配,在所述内容黑名单中存在匹配的页面内容的所述页面内容特征对应的网页为黑名单网页;所述内容黑名单中预存有已知是黑名单的网页对应的网页内容;
根据所述代码特征获得对应网页的域名和IP网络协议;将所述域名和/或IP分别与代码黑名单库中预存的黑名单域名和/或IP进行匹配,在所述代码黑名单库中存在匹配的黑名单域名和/或IP的所述域名和/或IP对应的网页为黑名单网页;所述代码黑名单库中预存有已知是黑名单的网页对应的域名和IP;
将所述图像特征与图片规则库中预存的黑名单规则进行匹配,在所述图像规则库中存在匹配的黑名单规则的图像特征所对应于的网页为黑名单网页;所述图片规则库中预存有已知是黑名单的网页对应的黑名单规则。
4.根据权利要求1-3任一项所述的方法,其特征在于,判断所述URL统一资源定位符指向的APK文件是否为黑名单文件,包括:
通过至少一种查杀引擎对所述APK文件进行查杀,如果所述查杀引擎对所述APK文件执行杀毒处理,则判断所述APK文件为黑名单文件;
如果所述查杀引擎未对所述APK文件执行杀毒处理,将所述APK文件导入沙箱中运行,通过运行过程判断所述APK文件是否为黑名单文件。
5.根据权利要求4所述的方法,其特征在于,将所述APK文件导入沙箱中运行,通过运行过程判断所述APK文件是否为黑名单文件,包括:
获取所述导入沙箱中运行的APK文件的行为特征,将所述行为特征与沙箱中预存的模型进行判断,如果所述行为特征在沙箱中存在匹配的行为特征模型,则所述行为特征对应的APK文件为黑名单文件;所述沙箱为所述APK文件的运行提供虚拟环境,并预存有已知是黑名单文件的行为特征模型;
否则,对所述APK文件执行静态分析,判断所述APK文件是否为黑名单文件。
6.根据权利要求5所述的方法,其特征在于,对所述APK文件执行静态分析,判断所述APK文件是否为黑名单文件,包括:
通过训练得到的分类模型对所述APK文件进行识别,根据所述分类模型判断所述APK文件是否为黑名单文件;
所述方法还包括:
通过APK文件样本训练得到用于识别恶意APK文件的分类模型。
7.根据权利要求6所述的方法,其特征在于,所述通过APK文件样本训练得到用于识别恶意APK文件的分类模型,包括:
选取预定数量APK文件样本;解析APK文件样本中的可执行文件并提取出解析文本中的特征字符串;利用特征字符串构建恶意程序特征码列表和非恶意程序特征码列表;将APK文件样本对应的特征字符串与恶意程序特征码列表和非恶意程序特征码列表进行比对,得到该APK文件样本的字符串特征向量,并根据字符串特征向量和该APK文件样本向系统申请的权限生成该APK文件的识别特征向量;对多个APK文件样本的识别特征向量进行训练,生成用于识别恶意APK文件的分类模型。
8.一种消息拦截装置,其特征在于,包括:
解析单元,用于解析接收到的消息,对从所述消息中获取的URL统一资源定位符进行分析;
网页判断单元,用于响应于URL统一资源定位符指向网页,根据分析判断所述URL统一资源定位符指向的网页是否为黑名单网页,并拦截所述黑名单网页;
文件判断单元,用于响应于URL统一资源定位符指向APK安卓安装包文件,下载后判断所述URL统一资源定位符指向的APK文件是否为黑名单文件,并拦截所述黑名单文件。
9.根据权利要求8所述的装置,其特征在于,所述网页判断单元包括:
特征获取模块,用于解析所述URL统一资源定位符获得对应网页的页面内容特征、代码特征和图像特征;
特征判断模块,用于分别根据所述页面内容特征、代码特征和图像特征判断所述对应网页是否为黑名单网页。
10.一种电子设备,其特征在于,包括如权利要求8至9任意一项所述的消息拦截装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710392498.4A CN107018152A (zh) | 2017-05-27 | 2017-05-27 | 消息拦截方法、装置和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710392498.4A CN107018152A (zh) | 2017-05-27 | 2017-05-27 | 消息拦截方法、装置和电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107018152A true CN107018152A (zh) | 2017-08-04 |
Family
ID=59452685
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710392498.4A Pending CN107018152A (zh) | 2017-05-27 | 2017-05-27 | 消息拦截方法、装置和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107018152A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108683666A (zh) * | 2018-05-16 | 2018-10-19 | 新华三信息安全技术有限公司 | 一种网页识别方法及装置 |
| CN109977666A (zh) * | 2017-12-27 | 2019-07-05 | 航天信息股份有限公司 | 网页内容劫持的检测方法及装置 |
| CN110909737A (zh) * | 2019-11-14 | 2020-03-24 | 武汉虹旭信息技术有限责任公司 | 图片文字识别方法及系统 |
| CN111859381A (zh) * | 2019-04-29 | 2020-10-30 | 深信服科技股份有限公司 | 一种文件检测方法、装置、设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102769632A (zh) * | 2012-07-30 | 2012-11-07 | 珠海市君天电子科技有限公司 | 钓鱼网站分级检测和提示的方法及系统 |
| CN103473506A (zh) * | 2013-08-30 | 2013-12-25 | 北京奇虎科技有限公司 | 用于识别恶意apk文件的方法和装置 |
| CN104134019A (zh) * | 2014-07-25 | 2014-11-05 | 北京奇虎科技有限公司 | 检测脚本病毒的方法和装置 |
| CN104185158A (zh) * | 2014-09-01 | 2014-12-03 | 北京奇虎科技有限公司 | 基于伪基站的恶意短信息处理方法及客户端 |
| CN104378345A (zh) * | 2014-06-24 | 2015-02-25 | 腾讯科技(深圳)有限公司 | 移动客户端url的安全检测方法及系统 |
| CN106302438A (zh) * | 2016-08-11 | 2017-01-04 | 国家计算机网络与信息安全管理中心 | 一种多渠道的基于行为特征的主动监测钓鱼网站的方法 |
-
2017
- 2017-05-27 CN CN201710392498.4A patent/CN107018152A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102769632A (zh) * | 2012-07-30 | 2012-11-07 | 珠海市君天电子科技有限公司 | 钓鱼网站分级检测和提示的方法及系统 |
| CN103473506A (zh) * | 2013-08-30 | 2013-12-25 | 北京奇虎科技有限公司 | 用于识别恶意apk文件的方法和装置 |
| CN104378345A (zh) * | 2014-06-24 | 2015-02-25 | 腾讯科技(深圳)有限公司 | 移动客户端url的安全检测方法及系统 |
| CN104134019A (zh) * | 2014-07-25 | 2014-11-05 | 北京奇虎科技有限公司 | 检测脚本病毒的方法和装置 |
| CN104185158A (zh) * | 2014-09-01 | 2014-12-03 | 北京奇虎科技有限公司 | 基于伪基站的恶意短信息处理方法及客户端 |
| CN106302438A (zh) * | 2016-08-11 | 2017-01-04 | 国家计算机网络与信息安全管理中心 | 一种多渠道的基于行为特征的主动监测钓鱼网站的方法 |
Non-Patent Citations (2)
| Title |
|---|
| 楚国清: "《青少年网络聊天管理研究》", 31 December 2014 * |
| 汪文斌: "《移动互联网》", 31 March 2013 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109977666A (zh) * | 2017-12-27 | 2019-07-05 | 航天信息股份有限公司 | 网页内容劫持的检测方法及装置 |
| CN108683666A (zh) * | 2018-05-16 | 2018-10-19 | 新华三信息安全技术有限公司 | 一种网页识别方法及装置 |
| CN108683666B (zh) * | 2018-05-16 | 2021-04-16 | 新华三信息安全技术有限公司 | 一种网页识别方法及装置 |
| CN111859381A (zh) * | 2019-04-29 | 2020-10-30 | 深信服科技股份有限公司 | 一种文件检测方法、装置、设备及介质 |
| CN110909737A (zh) * | 2019-11-14 | 2020-03-24 | 武汉虹旭信息技术有限责任公司 | 图片文字识别方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11716348B2 (en) | Malicious script detection | |
| CN110399925B (zh) | 账号的风险识别方法、装置及存储介质 | |
| Kharraz et al. | Surveylance: Automatically detecting online survey scams | |
| EP3065367B1 (en) | System and method for automated phishing detection rule evolution | |
| CN106161381B (zh) | 用于去混淆脚本化语言的设备和方法以及计算机可读介质 | |
| CN107688743B (zh) | 一种恶意程序的检测分析方法及系统 | |
| CN109347882B (zh) | 网页木马监测方法、装置、设备及存储介质 | |
| CN107018152A (zh) | 消息拦截方法、装置和电子设备 | |
| CN105229661A (zh) | 基于信号标记确定恶意软件 | |
| CN106529294B (zh) | 一种用于手机病毒判定与过滤的方法 | |
| CN111737692B (zh) | 应用程序的风险检测方法及装置、设备、存储介质 | |
| CN103986731A (zh) | 通过图片匹配来检测钓鱼网页的方法及装置 | |
| CN106022132A (zh) | 一种基于动态内容分析的网页木马实时检测方法 | |
| Vigna et al. | Reducing errors in the anomaly-based detection of web-based attacks through the combined analysis of web requests and SQL queries | |
| US20140123283A1 (en) | Detection of heap spraying by flash with an actionscript emulator | |
| CN106599688A (zh) | 一种基于应用类别的安卓恶意软件检测方法 | |
| CN105488400A (zh) | 一种恶意网页综合检测方法及系统 | |
| CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
| CN113190839A (zh) | 一种基于SQL注入的web攻击防护方法及系统 | |
| CN104080058A (zh) | 信息处理方法及装置 | |
| US20140122052A1 (en) | Detection of jit spraying by flash with an actionscript emulator | |
| CN107147648A (zh) | 资源请求的处理方法、客户端、服务器和系统 | |
| CN116932381A (zh) | 小程序安全风险自动化评估方法及相关设备 | |
| US20140123282A1 (en) | Unpacking flash exploits with an actionscript emulator | |
| CN114996708A (zh) | 涉诈手机应用研判方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170804 |
|
| RJ01 | Rejection of invention patent application after publication |