CN107563195A - 降低app重打包识别系统误报率的方法和装置 - Google Patents
降低app重打包识别系统误报率的方法和装置 Download PDFInfo
- Publication number
- CN107563195A CN107563195A CN201610514508.2A CN201610514508A CN107563195A CN 107563195 A CN107563195 A CN 107563195A CN 201610514508 A CN201610514508 A CN 201610514508A CN 107563195 A CN107563195 A CN 107563195A
- Authority
- CN
- China
- Prior art keywords
- app
- bag
- identification
- certificate
- wrong report
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Bag Frames (AREA)
Abstract
本发明公开了一种降低APP重打包识别系统误报率的方法和装置,涉及计算机应用系统安全领域。其中的方法包括获取误报APP的包名和证书;判断预识别APP的包名和证书与误报APP的包名和证书是否相匹配;若预识别APP的包名和证书与误报APP的包名和证书相匹配,则不再对预识别APP进行重打包识别。因此,在提升重打包检测效率的同时也降低了重打包系统的误报率。进而增强了现有重打包识别系统的功能,为实际运营提供更有价值的分析数据。
Description
技术领域
本发明涉及计算机应用系统安全领域,尤其涉及一种降低APP重打包识别系统误报率的方法和装置。
背景技术
安卓系统的开放和免费等特性背后存在着巨大的安全隐患,“安卓APP(Application,应用程序)重打包”通过反编译正版APK包(AndroidPackage,Android安装包),植入恶意代码重新打包从而达到窃取用户信息、恶意扣费等不法目的。重打包盗版APP无论从用户界面、功能都与正版APP近乎一致,但常在后台悄悄运行恶意程序。目前重打包已可以通过自动化检测系统进行识别。
但是,现有的重打包识别系统面临误报率较高的问题,如误报需要人工核查确认,但是前次的结果无法反馈到下次的检测中,这类样本(与误报APP相关的版本)会被再次误报,自动化系统的检测效率较低。
发明内容
本发明要解决的一个技术问题是提供一种降低APP重打包识别系统误报率的方法和装置,从而提高重打包检测效率的同时也降低重打包系统的误报率。
根据本发明一方面,提出一种降低APP重打包识别系统误报率的方法,包括:获取误报APP的包名和证书;判断预识别APP的包名和证书与误报APP的包名和证书是否相匹配;若预识别APP的包名和证书与误报APP的包名和证书相匹配,则不再对预识别APP进行重打包识别。
进一步地,获取误报APP的包名和证书之前包括:将误报APP保存在误报APP白名单库。
进一步地,若预识别APP的包名和证书与误报APP的包名和证书相匹配,则判断预识别APP为误报APP白名单库中的误报APP相关版本,不再对预识别APP进行重打包识别。
进一步地,若预识别APP的包名和证书与误报APP的包名和证书不相匹配,则需对预识别APP进行重打包识别。
进一步地,该方法还包括:获取重打包识别的样本APP;对样本APP进行重打包识别,生成识别结果;对识别结果进行误报核查,确定出误报APP。
根据本发明的另一方面,还提出一种降低APP重打包识别系统误报率的装置,包括:包名和证书获取单元,用于获取误报APP的包名和证书;包名和证书判断单元,用于判断预识别APP的包名和证书与误报APP的包名和证书是否相匹配;重打包识别确定单元,用于若预识别APP的包名和证书与误报APP的包名和证书相匹配,则不再对预识别APP进行重打包识别。
进一步地,该装置还包括:误报APP白名单库,用于保存误报APP。
进一步地,重打包识别确定单元用于若预识别APP的包名和证书与误报APP的包名和证书相匹配,则判断预识别APP为误报APP白名单库中的误报APP相关版本,不再对预识别APP进行重打包识别。
进一步地,重打包识别确定单元用于若预识别APP的包名和证书与误报APP的包名和证书不相匹配,则需对预识别APP进行重打包识别。
进一步地,该装置还包括:误报APP确定单元,用于获取重打包识别的样本APP,对样本APP进行重打包识别,生成识别结果,对识别结果进行误报核查,确定出误报APP。
与现有技术相比,本发明通过获取误报APP的包名和证书;判断预识别APP的包名和证书与误报APP的包名和证书是否相匹配;若预识别APP的包名和证书与误报APP的包名和证书相匹配,则不再对预识别APP进行重打包识别。由于将预先判断出的误报APP反馈到下次的检测中,与误报APP相关的版本不再进行重复检测,并且也不会再次误报。因此,在提升重打包检测效率的同时也降低了重打包系统的误报率。进而增强了现有重打包识别系统的功能,为实际运营提供更有价值的分析数据。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1为本发明降低APP重打包识别系统误报率的方法的一个实施例的流程示意图。
图2为本发明降低APP重打包识别系统误报率的方法的另一个实施例的流程示意图。
图3为本发明降低APP重打包识别系统误报率的装置的一个实施例的结构示意图。
图4为本发明降低APP重打包识别系统误报率的装置的另一个实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
图1为本发明降低APP重打包识别系统误报率的方法的一个实施例的流程示意图。该方法包括以下步骤:
在步骤110,获取误报APP的包名和证书。误报APP为在重打包识别过程中被误认为盗版APP的正版APP。在一个实施例中,可以预先将误报APP保存在误报APP白名单库中,当需要每次重打包检测之前,先获取误报APP白名单库中的误报APP的包名和证书。
在步骤120,判断预识别APP的包名和证书与误报APP的包名和证书是否相匹配,若预识别APP的包名和证书与误报APP的包名和证书相匹配,则执行步骤130,若预识别APP的包名和证书与误报APP的包名和证书不相匹配,则执行步骤140。
证书可以为开发者证书,由于同一个APP的不同版本包名和证书是一致的,因此在该步骤中判断预识别APP的包名和证书与误报APP的包名和证书是否相匹配。
在步骤130,不再对预识别APP进行重打包识别。如果预识别APP的包名和证书与误报APP的包名和证书相匹配,则可以判断预识别APP与误报APP白名单库中的APP相似,即该预识别APP为历史误报的APP相关版本,因此不需要再进行重打包识别。
在步骤140,需对预识别APP进行重打包识别。由于预识别APP的包名和证书与误报APP的包名和证书不相匹配,则有可能是与误报APP不相关的版本,因此需要进行重打包识别。
在该实施例中,通过判断预识别APP的包名和证书与误报APP的包名和证书是否相匹配,若相匹配,则为历史误报的APP相关版本,不需要再对预识别APP进行重打包识别。由于将预先判断出的误报APP反馈到下次的检测中,与误报APP相关的版本不再进行重复检测,并且也不会再次误报。因此,本发明在提升重打包检测效率的同时也降低了重打包系统的误报率,进而增强了现有重打包识别系统的功能,为实际运营提供更有价值的分析数据。
图2为本发明降低APP重打包识别系统误报率的方法的另一个实施例的流程示意图。该方法包括以下步骤:
在步骤210,获取重打包识别的样本APP。例如,可以预先在应用市场采集安卓应用APP进行存储,作为重打包检测的样本。
在步骤220,对样本APP进行重打包识别,生成识别结果。如以上传的正版APP为标准,针对采集的样本APP进行重打包检测,生成检测结果。
在步骤230,针对结果进行人工核查误报情况,得到误报结果。
在步骤240,将确定的误报APP保存在白名单库中。
在步骤250,判断预识别APP的包名和证书与白名单库中APP的包名和证书是否相匹配。若相匹配,则执行步骤260,否则,执行步骤270。
在步骤260,判断预识别APP为误报APP白名单库中历史误报APP相关版本,不再对预识别APP进行重打包识别。
在步骤270,需对预识别APP进行重打包识别。
在该实施例中,通过创建误报APP白名单库,当预识别APP与误报APP白名单库中的APP的包名和证书相匹配时,则判断该预识别APP为历史误报APP的相关版本,无需在做重打包检测,因此,在提升重打包检测效率的同时也降低了重打包系统的误报率,进而增强了现有重打包识别系统的功能,为实际运营提供更有价值的分析数据。
图3为本发明降低APP重打包识别系统误报率的装置的一个实施例的结构示意图。该装置包括包名和证书获取单元310、包名和证书判断单元320和重打包识别确定单元330,其中:
包名和证书获取单元310用于获取误报APP的包名和证书。在一个实施例中,可以预先将误报APP保存在误报APP白名单库中,当需要每次重打包检测之前,先获取误报APP白名单库中的误报APP的包名和证书。
包名和证书判断单元320用于判断预识别APP的包名和证书与误报APP的包名和证书是否相匹配。
重打包识别确定单元330用于若预识别APP的包名和证书与误报APP的包名和证书相匹配,则不再对预识别APP进行重打包识别,若预识别APP的包名和证书与误报APP的包名和证书不相匹配,则需对预识别APP进行重打包识别。
如果预识别APP的包名和证书与误报APP的包名和证书相匹配,则可以判断预识别APP与误报APP白名单库中的APP相似,即该预识别APP为历史误报的APP相关版本,因此不需要再进行重打包识别。若预识别APP的包名和证书与误报APP的包名和证书不相匹配,则有可能是与误报APP不相关的版本,因此需要进行重打包识别。
在该实施例中,通过判断预识别APP的包名和证书与误报APP的包名和证书是否相匹配,若相匹配,则为历史误报的APP相关版本,不需要再对预识别APP进行重打包识别。因此,本发明在提升重打包检测效率的同时也降低了重打包系统的误报率,进而增强了现有重打包识别系统的功能,为实际运营提供更有价值的分析数据。
图4为本发明降低APP重打包识别系统误报率的装置的另一个实施例的结构示意图。该装置包括误报APP确定单元410、误报APP白名单库420、包名和证书获取单元430、包名和证书判断单元440和重打包识别确定单元450,其中:
误报APP确定单元410用于获取重打包识别的样本APP,对样本APP进行重打包识别,生成识别结果,对识别结果进行误报核查,确定出误报APP。
例如,可以预先在应用市场采集安卓应用APP进行存储,作为重打包检测的样本。并以上传的正版APP为标准,针对采集的样本APP进行重打包检测,生成检测结果。针对结果进行人工核查误报情况,得到误报结果,即确定出历史误报APP。
误报APP白名单库420用于存储确定的误报APP。
包名和证书获取单元430用于从误报APP白名单库420获取误报APP,进而获取误报APP的包名和证书。
包名和证书判断单元440用于判断预识别APP的包名和证书与白名单库中APP的包名和证书是否相匹配。
重打包识别确定单元450用于如果预识别APP的包名和证书与误报APP的包名和证书相匹配,则可以判断预识别APP与误报APP白名单库中的APP相似,即该预识别APP为历史误报的APP相关版本,因此不需要再进行重打包识别。若预识别APP的包名和证书与误报APP的包名和证书不相匹配,则有可能是与误报APP不相关的版本,因此需要进行重打包识别。
在该实施例中,通过创建误报APP白名单库,当预识别APP与误报APP白名单库中的APP的包名和证书相匹配时,则判断该预识别APP为历史误报APP的相关版本,无需在做重打包检测,因此,在提升重打包检测效率的同时也降低了重打包系统的误报率,进而增强了现有重打包识别系统的功能,为实际运营提供更有价值的分析数据。
至此,已经详细描述了本发明。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本发明的方法以及装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。
Claims (10)
1.一种降低APP重打包识别系统误报率的方法,其特征在于,包括:
获取误报APP的包名和证书;
判断预识别APP的包名和证书与所述误报APP的包名和证书是否相匹配;
若所述预识别APP的包名和证书与所述误报APP的包名和证书相匹配,则不再对所述预识别APP进行重打包识别。
2.根据权利要求1所述的方法,其特征在于,获取误报APP的包名和证书之前包括:
将所述误报APP保存在误报APP白名单库。
3.根据权利要求2所述的方法,其特征在于,若所述预识别APP的包名和证书与所述误报APP的包名和证书相匹配,则判断所述预识别APP为所述误报APP白名单库中的误报APP相关版本,不再对所述预识别APP进行重打包识别。
4.根据权利要求3所述的方法,其特征在于,若所述预识别APP的包名和证书与所述误报APP的包名和证书不相匹配,则需对所述预识别APP进行重打包识别。
5.根据权利要求1-4任一所述的方法,其特征在于,还包括:
获取重打包识别的样本APP;
对所述样本APP进行重打包识别,生成识别结果;
对所述识别结果进行误报核查,确定出所述误报APP。
6.一种降低APP重打包识别系统误报率的装置,其特征在于,包括:
包名和证书获取单元,用于获取误报APP的包名和证书;
包名和证书判断单元,用于判断预识别APP的包名和证书与所述误报APP的包名和证书是否相匹配;
重打包识别确定单元,用于若所述预识别APP的包名和证书与所述误报APP的包名和证书相匹配,则不再对所述预识别APP进行重打包识别。
7.根据权利要求6所述的装置,其特征在于,还包括:
误报APP白名单库,用于保存所述误报APP。
8.根据权利要求7所述的装置,其特征在于,所述重打包识别确定单元用于若所述预识别APP的包名和证书与所述误报APP的包名和证书相匹配,则判断所述预识别APP为所述误报APP白名单库中的误报APP相关版本,不再对所述预识别APP进行重打包识别。
9.根据权利要求8所述的装置,其特征在于,所述重打包识别确定单元用于若所述预识别APP的包名和证书与所述误报APP的包名和证书不相匹配,则需对所述预识别APP进行重打包识别。
10.根据权利要求6-9任一所述的装置,其特征在于,还包括:
误报APP确定单元,用于获取重打包识别的样本APP,对所述样本APP进行重打包识别,生成识别结果,对所述识别结果进行误报核查,确定出所述误报APP。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610514508.2A CN107563195A (zh) | 2016-07-01 | 2016-07-01 | 降低app重打包识别系统误报率的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610514508.2A CN107563195A (zh) | 2016-07-01 | 2016-07-01 | 降低app重打包识别系统误报率的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107563195A true CN107563195A (zh) | 2018-01-09 |
Family
ID=60969184
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610514508.2A Pending CN107563195A (zh) | 2016-07-01 | 2016-07-01 | 降低app重打包识别系统误报率的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107563195A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7640589B1 (en) * | 2009-06-19 | 2009-12-29 | Kaspersky Lab, Zao | Detection and minimization of false positives in anti-malware processing |
| CN105468975A (zh) * | 2015-11-30 | 2016-04-06 | 北京奇虎科技有限公司 | 恶意代码误报的追踪方法、装置及系统 |
| CN105488361A (zh) * | 2015-11-20 | 2016-04-13 | 北京奇虎科技有限公司 | 盗版应用检测方法和装置、系统 |
-
2016
- 2016-07-01 CN CN201610514508.2A patent/CN107563195A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7640589B1 (en) * | 2009-06-19 | 2009-12-29 | Kaspersky Lab, Zao | Detection and minimization of false positives in anti-malware processing |
| CN105488361A (zh) * | 2015-11-20 | 2016-04-13 | 北京奇虎科技有限公司 | 盗版应用检测方法和装置、系统 |
| CN105468975A (zh) * | 2015-11-30 | 2016-04-06 | 北京奇虎科技有限公司 | 恶意代码误报的追踪方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106295337B (zh) | 用于检测恶意漏洞文件的方法、装置及终端 | |
| US9876812B1 (en) | Automatic malware signature extraction from runtime information | |
| CN102567661B (zh) | 基于机器学习的程序识别方法及装置 | |
| CN103853979B (zh) | 基于机器学习的程序识别方法及装置 | |
| CN105205358B (zh) | 一种识别Android APP加固的方法及检测方法 | |
| US20180253298A1 (en) | Android dynamic loading file extraction method, recording medium and system for performing the method | |
| KR101228899B1 (ko) | 벡터량 산출을 이용한 악성코드의 분류 및 진단 방법과 장치 | |
| CN103294951B (zh) | 一种基于文档型漏洞的恶意代码样本提取方法及系统 | |
| KR20110119918A (ko) | 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법 | |
| WO2015135286A1 (zh) | 提取pe文件特征的方法及装置 | |
| CN105631325B (zh) | 一种恶意应用程序检测方法和装置 | |
| CN106874758B (zh) | 一种识别文档代码的方法和装置 | |
| CN111651768B (zh) | 计算机二进制程序的链接库函数名识别方法及装置 | |
| CN108319850A (zh) | 沙箱检测的方法、沙箱系统和沙箱设备 | |
| CN105488414A (zh) | 一种防止恶意代码探测虚拟环境的方法及系统 | |
| CN104486312B (zh) | 一种应用程序的识别方法和装置 | |
| JP2019192101A (ja) | 脆弱性情報生成装置および脆弱性評価装置 | |
| WO2021038705A1 (ja) | バックドア検査装置、バックドア検査方法、及び非一時的なコンピュータ可読媒体 | |
| CN105718793A (zh) | 基于修改沙箱环境防止恶意代码识别沙箱的方法及系统 | |
| KR101308228B1 (ko) | 악성 코드 자동 탐지 방법 | |
| CN111291377A (zh) | 一种应用漏洞的检测方法及系统 | |
| CN108140120A (zh) | 生物特征检测方法及辨识系统 | |
| CN107563195A (zh) | 降低app重打包识别系统误报率的方法和装置 | |
| WO2021038704A1 (ja) | バックドア検査装置、バックドア検査方法、及び非一時的なコンピュータ可読媒体 | |
| CN104008336A (zh) | 一种ShellCode检测方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180109 |