CN111597557A - 恶意应用程序的检测方法、系统、装置、设备及存储介质 - Google Patents
恶意应用程序的检测方法、系统、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111597557A CN111597557A CN202010614844.0A CN202010614844A CN111597557A CN 111597557 A CN111597557 A CN 111597557A CN 202010614844 A CN202010614844 A CN 202010614844A CN 111597557 A CN111597557 A CN 111597557A
- Authority
- CN
- China
- Prior art keywords
- application
- target
- app
- detected
- website
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 63
- 238000000034 method Methods 0.000 claims abstract description 75
- 238000004088 simulation Methods 0.000 claims abstract description 35
- 238000012545 processing Methods 0.000 claims abstract description 23
- 238000000605 extraction Methods 0.000 claims abstract description 12
- 238000009434 installation Methods 0.000 claims description 51
- 238000004458 analytical method Methods 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 12
- 230000000694 effects Effects 0.000 claims description 12
- 238000012549 training Methods 0.000 claims description 12
- 238000003062 neural network model Methods 0.000 claims description 4
- 238000012360 testing method Methods 0.000 description 18
- 230000008569 process Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 15
- 238000005516 engineering process Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 5
- 239000000284 extract Substances 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 230000001960 triggered effect Effects 0.000 description 5
- 239000002699 waste material Substances 0.000 description 4
- 208000001613 Gambling Diseases 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000007405 data analysis Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请实施例公开了一种恶意应用程序的检测方法、系统、装置、设备及存储介质,其中该方法包括:获取待检测APP运行在模拟环境下的网络访问请求,该网络访问请求中包括URL;对网络访问请求进行URL提取处理,确定该网络访问请求访问的目标网站;获取与目标网站相关的目标信息,根据目标信息确定该目标网站对应的目标网站类型,该目标信息能够直接或间接地反映目标网站对应的网站类型;根据目标网站类型,确定待检测APP对应的目标APP类型,当该目标APP类型属于恶意APP类型时,确定待检测APP为恶意APP。该方法能够准确地识别出恶意APP,大幅提高恶意APP的检测覆盖率,有效地保护用户个人隐私信息安全和财产安全。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及一种恶意应用程序的检测方法、系统、装置、设备及存储介质。
背景技术
如今,随着互联网技术的迅速发展以及智能手机的快速普及,各种各样的应用(Application,APP)层出不穷,一些不法分子借此机会,通过恶意APP提供非法服务(如色情服务、赌博服务等),或者以投资理财的名义非法集资,进行窃取用户个人信息等恶意行为。此类恶意APP大量传播将对用户的信息安全和财产安全造成极大的威胁,同时,若应用商店不慎收录此类恶意APP,也会降低用户对于应用商店的使用体验。
相关技术目前主要依靠APP本身代码的特征识别恶意APP,具体的,通过反编译APP代码,匹配其中是否存在恶意特征码,来识别APP是否为恶意APP。
然而,目前越来越多的APP具备热更新和基于云端下发的指令动态更改APP行为的功能,因此,很多恶意APP本身代码可能只实现基本的浏览器功能,但其后续可以基于热更新的代码和/或云端下发的指令提供非法服务,对于此类恶意APP,采用上述相关技术中的实现方式通常无法识别。可见,目前对于恶意APP的检测覆盖率较低。
发明内容
本申请实施例提供了一种恶意应用程序的检测方法、系统、装置、设备及存储介质,能够准确地识别出恶意APP,大幅提高恶意APP的检测覆盖率。
有鉴于此,本申请第一方面提供了一种恶意应用程序的检测方法,所述方法包括:
获取待检测应用运行在模拟环境下的网络访问请求;所述网络访问请求中包括统一资源定位符URL;
对所述待检测应用的网络访问请求进行URL提取处理,以确定所述网络访问请求访问的目标网站;所述URL中包括所述网络访问请求访问的目标网站的域名;
获取与所述目标网站相关的目标信息,并根据所述目标信息确定所述目标网站对应的目标网站类型;所述目标信息能够直接或间接地反映所述目标网站对应的网站类型;
根据所述目标网站类型,确定所述待检测应用对应的目标应用类型;
当所述目标应用类型属于预设的恶意应用类型时,确定所述待检测应用为恶意应用。
本申请第二方面提供了一种恶意应用程序的检测系统,所述系统包括:网络代理设备、应用运行设备;
所述应用运行设备,用于承载待检测应用在模拟环境下运行,并将所述待检测应用的网络访问请求发送至所述网络代理设备;所述网络访问请求中包括统一资源定位符URL
所述网络代理设备,用于获取所述网络访问请求;对所述待检测应用的网络访问请求进行URL提取处理,以确定所述网络访问请求访问的目标网站,所述URL中包括所述网络访问请求访问的目标网站的域名;获取与所述目标网站相关的目标信息,并根据所述目标信息确定所述目标网站对应的目标网站类型,所述目标信息能够直接或间接地反映所述目标网站对应的网站类型;根据所述目标网站类型,确定所述待检测应用对应的目标应用类型;当所述目标应用类型属于预设的恶意应用类型时,确定所述待检测应用为恶意应用。
本申请第三方面提供了一种恶意应用程序的检测装置,所述装置包括:
请求获取模块,用于获取待检测应用运行在模拟环境下的网络访问请求;所述网络访问请求中包括统一资源定位符URL;
网站确定模块,用于对所述待检测应用的网络访问请求进行URL提取处理,以确定所述网络访问请求访问的目标网站;所述URL中包括所述网络访问请求访问的目标网站的域名;
网站类型确定模块,用于获取与所述目标网站相关的目标信息,并根据所述目标信息确定所述目标网站对应的目标网站类型;所述目标信息能够直接或间接地反映所述目标网站对应的网站类型;
应用类型确定模块,用于根据所述目标网站类型,确定所述待检测应用对应的目标应用类型;
恶意应用识别模块,用于当所述目标应用类型属于预设的恶意应用类型时,确定所述待检测应用为恶意应用。
本申请第四方面提供了一种计算机设备,所述设备包括处理器以及存储器:
所述存储器用于存储计算机程序;
所述处理器用于根据所述计算机程序,执行如上述第一方面所述的恶意应用程序的检测方法的步骤。
本申请第五方面提供了一种计算机可读存储介质,所述计算机可读存储介质用于存储计算机程序,所述计算机程序用于执行上述第一方面所述的恶意应用程序的检测方法的步骤。
本申请第六方面提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述第一方面所述的恶意应用程序的检测方法的步骤。
从以上技术方案可以看出,本申请实施例具有以下优点:
本申请实施例提供了一种恶意应用程序的检测方法,该方法另辟蹊径,基于待检测APP访问的网址信息识别该待检测APP对应的APP类型,进而确定该待检测APP是否为恶意APP,如此避免将本身无恶意特征码的恶意APP误识别为合法APP。具体的,在该恶意应用程序的检测方法中,先获取待检测APP运行在模拟环境下的网络访问请求,其中该待检测APP的网络访问请求包括统一资源定位符(Uniform Resource Locator,URL);然后,对该待检测APP的网络访问请求进行URL提取处理,以确定该网络访问请求访问的目标网站;接着,获取与该目标网站相关的目标信息,并根据所获取的目标信息确定该目标网站对应的目标网站类型,此处的目标信息能够直接或间接地反映该目标网站对应的网站类型;进而,根据该目标网站类型确定待检测APP对应的目标APP类型,当该目标APP类型属于预设的恶意APP类型时,可以确定该待检测APP为恶意APP。上述方法基于待检测APP运行过程中访问的网站类型,识别该待检测APP对应的APP类型,对于本身无恶意特征码、但可以通过热更新或云端下发的指令提供非法服务的恶意APP,该方法可以在检测到该APP访问非法网站时确定其为恶意APP,如此,保证准确有效地识别出恶意APP,提高恶意APP的检测覆盖率。
附图说明
图1为本申请实施例提供的恶意应用程序的检测方法的应用场景示意图;
图2为本申请实施例提供的一种恶意应用程序的检测方法的流程示意图;
图3为本申请实施例提供的恶意应用程序的检测系统的架构示意图;
图4为本申请实施例提供的另一种恶意应用程序的检测方法的流程示意图;
图5为本申请实施例提供的第一种恶意应用程序的检测装置的结构示意图;
图6为本申请实施例提供的第二种恶意应用程序的检测装置的结构示意图;
图7为本申请实施例提供的第三种恶意应用程序的检测装置的结构示意图;
图8为本申请实施例提供的第四种恶意应用程序的检测装置的结构示意图;
图9为本申请实施例提供的服务器的结构示意图;
图10为本申请实施例提供的终端设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
相关技术目前主要依靠APP本身代码的特征,来识别该APP是否为恶意APP,对于本身不包括恶意特征码、而是通过热更新或云端下发的指令来提供非法服务的恶意APP,采用相关技术中的识别方式通常无法识别出来。
针对上述相关技术存在的问题,本申请实施例提供了一种恶意应用程序的检测方法,该方法能够有效地识别出本身无恶意特征码的恶意APP,大幅提高恶意APP的检测覆盖率。
具体的,在本申请实施例提供的恶意应用程序的检测方法中,先获取待检测APP运行在模拟环境下产生的网络访问请求,该网络访问请求中包括URL;然后,对待检测APP的网络访问请求进行URL提取处理,以确定所获取的网络访问请求访问的目标网站;接着,获取与该目标网站相关的目标信息,并根据该目标信息确定该目标网站对应的目标网站类型,此处的目标信息包括能够直接或间接地反映目标网站对应的目标网站类型的信息;进而,根据目标网站类型确定该待检测APP对应的目标APP类型,当该目标APP类型属于预设的恶意APP类型时,确定该待检测APP为恶意APP。
相比相关技术中基于APP本身代码的特征来识别APP是否为恶意APP的实现方式,本申请实施例提供的恶意应用程序的检测方法,可以基于待检测APP运行过程中访问的网站类型,识别待检测APP对应的APP类型,进而据此判断待检测APP是否为恶意APP,无论是本身无恶意特征码的恶意APP,还是本身包括恶意特征码的恶意APP,其通常都需要通过访问非法网站来提供非法服务,因此,采用本申请实施例提供的恶意应用程序的检测方法可以有效地识别出各类恶意APP,提高恶意APP的检测覆盖率。
应理解,本申请实施例提供的恶意应用程序的检测方法可以应用于能够接收网络访问请求的设备,如服务器或终端设备。服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。
为了便于理解本申请实施例提供的恶意应用程序的检测方法,下面先对本申请实施例提供的恶意应用程序的检测方法所适用的应用场景进行示例性介绍。
参见图1,图1为本申请实施例提供的恶意应用程序的检测方法的应用场景示意图。如图1所示,该应用场景中包括终端设备110、服务器120和服务器130,终端设备110与服务器120之间可以通过有线网络或无线网络进行通讯,服务器120与服务器130之间也可以通过有线网络或无线进行通讯。
终端设备110上运行有待检测APP,终端设备110可以将待检测APP响应于目标测试操作试生成的网络访问请求,通过网络发送给服务器120。服务器120是终端设备110与服务器130之间的中转站,其用于将终端设备110产生的网络访问请求转发给服务器130,以及将服务器130响应该网络访问请求产生的反馈信息转发给终端设备110;此外,服务器120还用于执行本申请实施例提供的恶意应用程序的检测方法,基于终端设备110发送的网络访问请求识别待检测APP对应的APP类型,以判断待检测APP是否为恶意APP。服务器130用于响应服务器120转发的网络访问请求生成对应的反馈信息,并将该反馈信息通过服务器120转发给终端设备110,以提供相应的服务。
在实际应用中,终端设备110可以响应测试人员对于待检测APP触发的目标测试操作生成网络访问请求,或者终端设备110可以自主模拟目标测试操作该待检测APP生成网络访问请求,又或者终端设备110可以基于该待检测APP安装包中的配置文件触发待检测APP中的活动Activity,生成网络访问请求,所生成的网络访问请求中包括URL,该URL中包括该网络访问请求访问的目标网站的域名。终端设备110生成网络访问请求后,将网络访问请求发送给服务器120。
服务器120接收到网络访问请求后,可以复制该网络访问请求,将其中一个网络访问请求转发给服务器130,以使服务器130基于该网络访问请求提供相应的服务;将其中另一个网络访问请求作为识别待检测APP是否为恶意APP的依据。
具体识别待检测APP是否为恶意APP时,服务器120可以根据该网络访问请求中携带的URL,确定该网络访问请求访问的目标网站;然后,获取与目标网站相关的目标信息,此处的目标信息包括能够直接或间接地反映目标网站对应的网站类型的信息,根据所获取的目标信息确定该目标网站对应的目标网站类型;进而,根据目标网站类型来确定待检测APP对应的目标APP类型,当该目标APP类型属于预设的恶意APP类型时,可以确定该待检测APP为恶意APP。
应理解,在实际应用中,为了确保能够准确地判断待检测APP是否为恶意APP,服务器120通常需要基于待检测APP的多条网络访问请求,确定该待检测APP对应的目标APP类型,即服务器120需要综合考虑待检测APP的多条网络访问请求各自访问的网站类型,来确定待检测APP对应的目标APP类型,进而判断待检测APP是否为恶意APP。
应理解,图1所示的应用场景仅为示例,在实际应用中,除了可以由服务器120执行本申请实施例提供的恶意应用程序的检测方法,确定待检测APP是否为恶意APP外,也可以由终端设备110执行本申请实施例提供的恶意应用程序的检测方法,即可以不在应用场景中部署服务器120,直接由终端设备110根据待检测APP的网络访问请求,识别该待检测APP是否为恶意APP。在此不对本申请实施例提供的恶意应用程序的检测方法的应用场景做任何限定。
下面通过方法实施例对本申请提供的恶意应用程序的检测方法进行详细介绍。
参见图2,图2为本申请实施例提供的恶意应用程序的检测方法的流程示意图,为了便于描述,以该方法的执行主体为服务器为例进行介绍。如图2所示,该恶意应用程序的检测方法包括以下步骤:
步骤201:获取待检测应用运行在模拟环境下的网络访问请求;所述网络访问请求中包括URL。
当需要识别待检测APP是否为恶意APP时,服务器可以获取该待检测APP运行过程中产生的网络访问请求。该待检测APP可以在终端设备、服务器等能够支持其运行的设备上运行,支持待检测APP运行的设备可以响应于测试人员对于待检测APP触发的目标测试操作生成网络访问请求,也可以自主模拟对于待检测APP的目标测试操作生成网络访问请求,还可以基于待检测APP安装包中的配置文件触发待检测APP中的活动Activity,生成网络访问请求,进而,通过网络将待检测APP运行过程中生成的网络访问请求发送至用于识别APP类型的服务器。
需要说明的是,待检测APP产生的网络访问请求通常能够表征其所要访问的网站。示例性的,网络访问请求中包括URL,该URL中包括网络访问请求所要访问的网站的域名;例如,对于包括URL为http://news.qq.com/local/index.html的网络访问请求,基于该URL中携带的域名qq.com,即可相应地确定该网络访问请求所要访问的网站。
需要说明的是,为了保证准确识别待检测APP对应的APP类型,服务器通常需要获取待检测APP产生的多条网络访问请求,以便基于待检测APP产生的多条网络访问请求各自访问的网站类型,综合确定待检测APP对应的APP类型。
在一种可能的实现方式中,为了减少人工干预,实现APP类型识别的全自动化,本申请中的待检测APP可以在APP模拟器上运行,相应地,服务器可以获取APP模拟器发送的网络访问请求,该网络访问请求是该APP模拟器模拟用户操作该待检测APP产生的。即,服务器在获取待检测APP的网络访问请求之前,可以先将待检测APP的安装包推送至APP模拟器的安装目录,控制该APP模拟器安装该待检测APP;该APP模拟器可以接收服务器下发的控制指令,并根据控制指令模拟用户操作待检测APP,从而生成网络访问请求,此处的用户操作可以包括以下至少一种:对待检测APP的界面的点击操作、对待检测APP的界面的滑动操作、基于待检测APP的键盘输入操作。
需要说明的是,APP模拟器是一种可以在服务器或终端设备上运行的虚拟设备,通过该APP模拟器可以实现APP的预览、开发、测试等工作。
具体实现时,APP模拟器可以被设置网络连接至用于识别APP类型的服务器,APP模拟器监控到其安装目录中有待检测APP的安装包后,可以对该待检测APP的安装包进行解压缩和安装处理,完成待检测APP的安装后,APP模拟器可以触发该待检测APP运行。
在待检测APP运行的过程中,APP模拟器可以响应服务器下发的控制指令,不断地模拟用户操作该待检测APP,例如,可以响应于点击操作模拟指令,模拟用户在待检测APP界面上的随机位置进行点击操作,可以响应于滑动操作模拟指令,模拟用户在待检测APP界面上进行手势滑动操作,可以响应于键盘输入模拟指令,模拟用户基于待检测APP进行键盘输入操作等,本申请在此不对APP模拟器所模拟的用户操作做任何限定。待检测APP响应于APP模拟器模拟的用户操作,相应地生成网络访问请求,并将所生成的网络访问请求发送给用于识别APP类型的服务器。
由于APP模拟器可以模拟各种终端设备的运行系统,并且更加便于管理,因此,利用APP模拟器承载待检测APP运行,模拟用户操作待检测APP产生网络访问请求,可以无需购买大量各类型号的终端设备,节约了测试成本。
在另一种可能的实现方式中,支持待检测APP运行的设备也可以基于待检测APP的安装包中的配置文件触发待检测APP中的目标活动,由此产生网络访问请求,进而,将所产生的网络访问请求发送给服务器。
具体的,支持待检测APP运行的设备可以响应测试人员的操作,反编译待检测APP代码,进而,基于反编译的待检测APP代码,分析该待检测APP的安装包中的配置文件(如AndroidManifest.xml等),触发待检测APP中的各项活动Activity,以生成网络访问请求,并将所生成的网络访问请求发送给用于识别APP类型的服务器。
应理解,在实际应用中,支持待检测APP运行的设备除了可以通过APP模拟器模拟用户操作待检测APP产生网络访问请求,或者基于待检测APP安装包中的配置文件触发活动Activity产生网络访问请求外,还可以通过其它方式触发待检测APP产生网络访问请求,例如,直接响应测试人员对于待检测APP的测试操作产生网络访问请求,本申请在此不对网络访问请求的产生方式做任何限定。
需要说明的是,在实际应用中,通常需要利用测试设备(即上文中支持待检测APP运行的设备)对大量APP进行测试,考虑到测试设备本身的存储空间有限,其同时能够承载的APP数量有限,因此,本申请实施例提供的方法可以在服务器获取到足够的待检测APP产生的网络访问请求后,控制卸载测试设备中安装的待检测APP,例如卸载APP模拟器中的待检测APP。
具体的,服务器可以在确定所获取的网络访问请求的数量超过预设请求数量时,控制卸载所安装的待检测APP。以利用APP模拟器承载待检测APP为例,假设预设请求数量为100条,则服务器可以在确定其已获取到100条待检测APP产生的网络访问请求后,向APP模拟器发送卸载指令,控制APP模拟器卸载该待检测APP。
服务器也可以在确定待检测APP产生的网络访问请求的获取时长超过预设时长时,控制卸载所安装的待检测APP。仍以利用APP模拟器承载待检测APP为例,假设预设时长为5分钟,则服务器可以从获取到APP模拟器发送的第一条待检测APP产生的网络访问请求时起开始计时,当计时时间达到5分钟时,服务器可以向APP模拟器发送卸载指令,控制APP模拟器卸载该待检测APP。
应理解,在实际应用中,服务器也可以综合考虑其获取的待检测APP产生的网络访问请求数量以及这些网络访问请求的获取时长,来控制卸载待检测APP,即服务器可以在确定所获取的网络访问请求数量达到预设请求数量,且网络访问请求的获取时长达到预设时长时,控制卸载待检测APP。此外,上述预设请求数量和预设时长均可以根据实际需求设置,本申请在此不对该预设请求数量和预设时长做具体限定。
在一些实施例中,为了避免对已确定APP类型的APP重复执行识别APP类型的操作,造成不必要的处理资源浪费,在本申请实施例提供的方法中,服务器可以在APP模拟器安装待检测APP之前,基于存储有APP与APP类型之间的对应关系的APP分类库,判断是否已确定该待检测APP对应的APP类型。即,服务器可以查找APP分类库中是否存储有待检测APP对应的APP类型,若没有在该APP分类库中查找到待检测APP对应的APP类型,则控制安装该待检测APP。
示例性的,假设APP分类库如表1所示,其中包括APP标识与APP类型之间的对应关系。服务器在控制APP模拟器安装待检测APP之前,可以先在表1所示的APP分类库中查找待检测APP对应的APP标识;若在该APP分类库中查找到该待检测APP对应的APP标识,则可确定该APP分类库中该APP标识对应的APP类型即为该待检测APP对应的APP类型,无需执行后续操作;反之,若没有在该APP分类库中查找到该待检测APP对应的APP标识,则说明当前尚未确定该待检测APP对应的APP类型,则可将待检测APP的安装包推送至APP模拟器的安装目录,以控制APP模拟器安装该待检测APP。
表1
| APP标识 | APP类型 |
| a | 色情 |
| b | 赌博 |
| c | P2P理财 |
| d | 贷款 |
步骤202:对所述待检测应用的网络访问请求进行URL提取处理,以确定所述网络访问请求访问的目标网站;所述URL中包括所述网络访问请求访问的目标网站的域名。
服务器获取到待检测APP产生的网络访问请求后,可以根据所获取的网络访问请求中的URL,确定该网络访问请求所要访问的目标网站。应理解,在服务器获取到待检测APP产生的多条网络访问请求的情况下,服务器需要相应地针对每条网络访问请求,确定其所要访问的目标网站。
正如上文所介绍的,待检测APP产生的网络访问请求通常能够表征其所要访问的网站,示例性的,待检测APP产生的网络访问请求中可以包括URL,服务器可以从该URL中提取出域名,该域名即为该网络访问请求所要访问的目标网站的域名。例如,假设待检测APP产生的网络访问请求中包括的URL为http://news.qq.com/local/index.html,服务器可以从中提取出域名qq.com,该域名即为该网络访问请求所要访问的目标网站的域名。
应理解,在实际应用中,服务器除了可以基于网络访问请求中包括的URL确定网络访问请求所要访问的目标网站外,也可以通过其它方式确定网络访问请求所要访问的目标网站,本申请在此不对服务器确定网络访问请求所要访问的目标网站的方式做任何限定。
步骤203:获取与所述目标网站相关的目标信息,并根据所述目标信息确定所述目标网站对应的目标网站类型;所述目标信息能够直接或间接地反映所述目标网站对应的网站类型。
服务器确定出网络访问请求所要访问的目标网站后,可以进一步获取与该目标网站相关的目标信息,并根据所获取的目标信息确定该目标网站对应的目标网站类型。应理解,在服务器获取到待检测APP产生的多条网络访问请求,并且确定多条网络访问请求所要访问的网站包括多个不同的目标网站的情况下,服务器需要针对这多个目标网站分别确定对应的目标网站类型。
在一种可能的实现方式中,上述目标信息可以是能够直接地反映目标网站对应的网站类型的信息,如网址分类库中与目标网站相关的信息,网址分类库用于存储网站域名与网站类型之间的对应关系。即服务器可以调用网址分类库,在网址分类库中查找与目标网站的域名对应的网站类型,作为目标网站类型。
示例性的,假设网址分类库如表2所示,服务器从网络访问请求包括的URL中提取出目标网站的域名后,可以在表2所示的网址分类库中查找目标网站的域名,进而,确定网址分类库中与该目标网站的域名对应的网站类型,作为目标网站类型。
表2
| 域名 | 网站类型 |
| A.com | 色情 |
| B.com | 赌博 |
| C.com | 传销 |
| D.com | P2P理财 |
| E.com | 贷款 |
在另一种可能的实现方式中,上述目标信息可以是能够间接地反映目标网站对应的网站类型的信息,如互联网中与目标网站相关的网络信息,服务器也可以根据此类目标信息,确定目标网站对应的目标网站类型。即,服务器也可以抓取目标时段内产生的与目标网站相关的网络信息,作为目标信息,然后分析所抓取的目标信息,根据分析结果确定该目标网站对应的目标网站类型。
示例性的,服务器确定出网络访问请求所要访问的目标网站后,可以通过网络爬虫技术在万维网中抓取目标时段内产生的与目标网站相关的网络信息,例如,可以抓取近一个月内产生的与目标网站相关的网络信息,进而,可以通过大数据分析技术,基于所抓取的网络信息确定目标网站对应的目标网站类型,例如,可以利用预先训练的网站类型分析模型对所抓取的网络信息进行分析处理,以确定目标网站对应的目标网站类型。
需要说明的是,服务器利用网站类型分析模型对目标信息进行分析处理时,可以将目标信息输入预先训练好的网站类型分析模型,该网站类型分析模型对输入的目标信息进行分析处理,进而输出该目标网站对应的目标网站类型。该网站类型分析模型可以是预先基于大量训练样本训练得到的神经网络模型,每个训练样本中包括与样本网站相关的网络信息以及该样本网站对应的标注网站类型。
应理解,在实际应用中,服务器除了可以通过上述方式确定目标网站对应的目标网站类型外,也可以通过其它方式确定目标网站对应的目标网站类型,本申请在此不对确定目标网站类型的方式做任何限定。
可选的,为了便于后续对数据进行溯源和管理,服务器可以将与网络访问请求相关的信息存储至网络请求记录库中。一种示例性的网络请求记录库如表3所示,其中记录有网络访问请求的产生时间、网络访问请求的来源APP、网络访问请求中包括的URL、网络访问请求所要访问的网站域名、网络访问请求所要访问的网站对应的网站类型。
表3
应理解,表3所示的网络请求记录库仅为示例,在实际应用中,该网络请求记录库中可以包括更多或更少的信息,本申请在此不对该网络请求记录库中包括的信息做任何限定。
步骤204:根据所述目标网站类型,确定所述待检测应用对应的目标应用类型。
服务器确定出目标网站类型后,可以进一步基于所确定的目标网站类型,确定待检测APP对应的目标APP类型。示例性的,在仅确定出一种目标网站类型的情况下,服务器可以直接将该目标网站类型作为待检测APP对应的目标APP类型;在确定出多种目标网站类型的情况下,服务器可以按照一定的规则,从多种目标网站类型中选出一种或多种目标网站类型,作为待检测APP对应的目标APP类型。
在一种可能的实现方式中,在待检测APP产生的多条网络访问请求所要访问的网站包括多个不同的目标网站,且这多个目标网站对应多种目标网站类型的情况下,服务器可以确定多种目标网站类型各自对应的出现次数,然后确定所对应的出现次数最多的目标网站类型,作为待检测APP对应的目标APP类型。
例如,假设待检测APP产生的网络访问请求中的URL、URL中携带的域名以及域名对应的目标网站类型这三者间的关系如表4所示,根据表4所示的记录可以看出,目标网站类型“色情”出现了三次,目标网站类型“广告联盟”出现了一次,因此,可以相应地确定出现次数最多的目标网站类型“色情”,作为该待检测APP对应的目标应用类型。
表4
在另一种可能的实现方式中,在待检测APP产生的多条网络访问请求所要访问的网站包括多个不同的目标网站,且这多个目标网站对应多种目标网站类型的情况下,服务器也可以直接将这多种目标网站类型均作为待检测APP对应的目标APP类型。
仍以表4所示的网络访问请求记录为例,由于与待检测APP产生的网络访问请求相关的目标网站类型包括“色情”和“广告联盟”,因此,可以将“色情”和“广告联盟”均作为待检测APP对应的目标APP类型。
应理解,在实际应用中,服务器除了可以通过上述两种方式,根据目标网站类型确定待检测APP对应的目标APP类型外,也可以通过其它方式确定待检测APP对应的目标APP类型,例如,可以确定按照出现次数从高到低的顺序对目标网站类型进行排序,确定排序靠前的N(N为大于1的整数)个目标网站类型,作为待检测APP对应的目标APP类型,本申请在此不对确定待检测APP对应的目标APP类型的方式做任何限定。
服务器确定出待检测APP对应的目标APP类型后,可以将该待检测APP与该目标APP类型之间的对应关系存储至APP分类库,在相关应用场景中,若需要获知该待检测APP对应的APP类型,则可以直接在该APP分类库查找该待检测APP对应的APP类型,无需再次执行上述识别APP类型的操作,避免造成不必要的处理资源浪费。
步骤205:当所述目标应用类型属于预设的恶意应用类型时,确定所述待检测应用为恶意应用。
服务器确定出待检测APP对应的目标APP类型后,可以判断该目标APP类型是否属于预设的恶意APP类型,若是,则可以确定该待检测APP为恶意APP,反之,若否,则可以确定该待检测APP并非恶意APP。
应理解,当待检测APP对应的目标APP类型包括多种时,服务器可以在确定其中存在一种目标APP类型属于恶意APP类型的情况下,确定该待检测APP为恶意APP;例如,假设待检测APP对应的目标APP类型包括A类型、B类型和C类型,若其中B类型为预设的恶意APP类型,则服务器可以确定该待检测APP为恶意APP。
相比相关技术中基于APP本身代码的特征来识别APP是否为恶意APP的实现方式,本申请实施例提供的恶意应用程序的检测方法,可以基于待检测APP运行过程中访问的网站类型,识别待检测APP对应的APP类型,进而据此来判断待检测APP是否为恶意APP,无论是本身无恶意特征码的恶意APP,还是本身包括恶意特征码的恶意APP,其通常都需要通过访问非法网站来提供非法服务,因此,采用本申请实施例提供的恶意应用程序的检测方法可以有效地识别出各类恶意APP,提高恶意APP的检测覆盖率。
本申请实施例还提供了一种恶意应用程序的检测系统,下面通过系统实施例对本申请提供的恶意应用程序的检测系统进行介绍。
参见图3,图3为本申请实施例提供的恶意应用程序的检测系统的架构示意图。如图3所示,该恶意应用程序的检测系统包括应用运行设备310和网络代理(Proxy)设备320,其中,应用运行设备310可以为服务器或终端设备,其实质上与上述方法实施例中的支持待检测APP运行的设备和测试设备相同;网络代理设备320也可以为服务器或终端设备,在实际应用中,该应用运行设备310和该网络代理设备320可以是同一设备,也可以是两台独立的设备。
应用运行设备310,用于承载待检测APP在模拟环境下运行,并将该待检测APP的网络访问请求发送至网络代理设备320;该网络访问请求中包括URL。
网络代理设备320,用于获取网络访问请求;对待检测APP的网络访问请求进行URL提取处理,以确定网络访问请求访问的目标网站,该URL中包括网络访问请求访问的目标网站的域名;获取与目标网站相关的目标信息,并根据该目标信息确定目标网站对应的目标网站类型,该目标信息能够直接或间接地反映目标网站对应的网站类型;根据目标网站类型,确定待检测APP对应的目标APP类型;当目标APP类型属于预设的恶意APP类型时,确定待检测APP为恶意APP。
在实际应用中,应用运行设备310可以响应于测试人员对于待检测APP触发的目标测试操作生成网络访问请求,也可以自主模拟对于待检测APP的目标测试操作生成网络访问请求,还可以基于待检测APP安装包中的配置文件触发活动生成网络访问请求,进而,应用运行设备310可以将待检测APP运行过程中生成的网络访问请求,通过网络发送至网络代理设备320。
需要说明的是,待检测APP产生的网络访问请求通常能够表征其所要访问的网站。示例性的,网络访问请求中可以包括URL,该URL中包括所要访问的网站的域名;例如对于URL为http://news.qq.com/local/index.html的网络访问请求,基于该URL中携带的域名qq.com,即可相应地确定该网络访问请求所要访问的网站。
需要说明的是,为了保证准确识别待检测APP对应的APP类型,应用运行设备310通常触发待检测APP产生的多条网络访问请求,并向网络代理设备320发送多条网络访问请求,以便网络代理设备320基于待检测APP产生的多条网络访问请求各自访问的网站类型,综合确定待检测APP对应的APP类型。
在一种可能的实现方式中,为了减少人工干预,实现APP类型识别的全自动化,可以在应用运行设备310中安装APP模拟器311,利用该APP模拟器311承载待检测APP运行,该APP模拟器311用于模拟用户操作待检测APP产生网络访问请求。即,网络代理设备320在获取待检测APP的网络访问请求之前,可以先将待检测APP的安装包推送至APP模拟器311的安装目录,控制该APP模拟器311安装该待检测APP;该APP模拟器311可以接收服务器下发的控制指令,并根据控制指令模拟用户操作待检测APP,从而生成网络访问请求,此处的用户操作可以包括以下至少一种:对待检测APP的界面的点击操作、对待检测APP的界面的滑动操作、基于待检测APP的键盘输入操作。
具体的,APP模拟器311可以被设置网络连接至网络代理设备320,APP模拟器311监控到其安装目录中有待检测APP的安装包后,可以对该待检测APP的安装包进行解压缩和安装处理,完成待检测APP的安装后,APP模拟器311可以触发该待检测APP运行。
在待检测APP运行的过程中,APP模拟器311可以响应服务器下发的控制指令,不断地模拟用户操作该待检测APP,例如,可以响应于点击操作模拟指令,模拟用户在待检测APP界面上的随机位置进行点击操作,可以响应于滑动操作模拟指令,模拟用户在待检测APP界面上进行手势滑动操作,可以响应于键盘输入模拟指令,模拟用户基于待检测APP进行键盘输入操作等,本申请在此不对APP模拟器311所模拟的用户操作做任何限定。待检测APP响应于APP模拟器311模拟的用户操作,相应地生成网络访问请求,并将所生成的网络访问请求发送给网络代理设备320。
在另一种可能的实现方式中,应用运行设备310也可以基于待检测APP的安装包中的配置文件触发待检测APP中的目标活动,由此产生网络访问请求,进而,将所产生的网络访问请求发送给服务器。
具体的,应用运行设备310可以响应测试人员的操作,反编译待检测APP代码,进而,基于反编译的待检测APP代码,分析该待检测APP的安装包中的配置文件(如AndroidManifest.xml等),触发待检测APP中的各项活动Activity,以生成网络访问请求,并将所生成的网络访问请求发送给网络代理设备320。
应理解,在实际应用中,应用运行设备310除了可以通过APP模拟器311模拟用户操作待检测APP产生网络访问请求,或者基于待检测APP安装包中的配置文件触发活动Activity产生网络访问请求外,还可以通过其它方式触发待检测APP产生网络访问请求,例如,直接响应测试人员对于待检测APP的测试操作产生网络访问请求,本申请在此不对网络访问请求的产生方式做任何限定。
可选的,考虑到在实际应用中通常需要利用应用运行设备310对大量APP进行测试,而应用运行设备310本身的存储空间有限,其同时能够承载的APP数量有限,因此,本申请实施例提供的系统可以在网络代理设备320获取到足够的待检测APP产生的网络访问请求后,控制卸载应用运行设备310中安装的待检测APP,例如,卸载APP模拟器中的待检测APP。
具体的,网络代理设备320可以在确定所获取的网络访问请求的数量超过预设请求数量时,控制卸载所安装的待检测APP。以利用APP模拟器311承载待检测APP为例,假设预设请求数量为100条,则网络代理设备320可以在确定其已获取到100条待检测APP产生的网络访问请求后,向APP模拟器311发送卸载指令,控制APP模拟器311卸载该待检测APP。
网络代理设备320也可以在确定待检测APP产生的网络访问请求的获取时长超过预设时长时,控制卸载所安装的待检测APP。仍以利用APP模拟器311承载待检测APP为例,假设预设时长为5分钟,则网络代理设备320可以从获取到APP模拟器311发送的第一条待检测APP产生的网络访问请求时起开始计时,当计时时间达到5分钟时,网络代理设备320可以向APP模拟器311发送卸载指令,控制APP模拟器311卸载该待检测APP。
应理解,在实际应用中,网络代理设备320也可以综合考虑其获取的待检测APP产生的网络访问请求数量以及这些网络访问请求的获取时长,来控制卸载待检测APP,即网络代理设备320可以在确定所获取的网络访问请求数量达到预设请求数量,且网络访问请求的获取时长达到预设时长时,控制卸载待检测APP。此外,上述预设请求数量和预设时长均可以根据实际需求设置,本申请在此不对该预设请求数量和预设时长做具体限定。
在一些实施例中,为了避免对已确定APP类型的APP重复执行识别APP类型的操作,造成不必要的处理资源浪费,本申请实施例提供的恶意应用程序的检测系统中还可以包括APP分类库330,该APP分类库330用于存储APP与APP类型之间的对应关系。网络代理设备320可以在APP模拟器311安装待检测APP之前,查找该APP分类库330中是否存储有待检测APP对应的APP类型,若没有在该APP分类库330中查找到待检测APP对应的APP类型,则控制应用运行设备310安装该待检测APP。
网络代理设备320获取到待检测APP产生的网络访问请求后,可以根据所获取的网络访问请求中的URL,确定该网络访问请求所要访问的目标网站,该URL中包括网络访问请求访问的目标网站的域名。应理解,在获取到待检测APP产生的多条网络访问请求的情况下,网络代理设备320需要相应地针对每条网络访问请求,确定其所要访问的目标网站。
正如上文所介绍的,待检测APP产生的网络访问请求通常能够表征其所要访问的网站,示例性的,待检测APP产生的网络访问请求中可以包括URL,网络代理设备320可以从该URL中提取出域名,该域名即为该网络访问请求所要访问的目标网站的域名。例如,假设待检测APP产生的网络访问请求中包括的URL为http://news.qq.com/local/index.html,网络代理设备320可以从中提取出域名qq.com,该域名即为该网络访问请求所要访问的目标网站的域名。
网络代理设备320确定出网络访问请求所要访问的目标网站后,可以进一步获取与该目标网站相关的目标信息,并根据所获取的目标信息确定该目标网站对应的目标网站类型。应理解,在网络代理设备320获取到待检测APP产生的多条网络访问请求,并且确定多条网络访问请求所要访问的网站包括多个不同的目标网站的情况下,网络代理设备320需要针对这多个目标网站分别确定对应的目标网站类型。
在一些实施例中,本申请实施例提供的恶意程序的检测识别系统中还可以包括网址分类库340,该网址分类库340用于存储网站域名与网站类型之间的对应关系;相应地,上述目标信息可以是网址分类库340中存储的能够直接地反映目标网站对应的网站类型的信息,如网址分类库340中与目标网站对应的网站类型,网络代理设备320确定出网络访问请求所要访问的目标网站的域名后,可以调用网址分类库340,进而在该网址分类库340中查找与目标网站的域名对应的网站类型,作为目标网站类型。
在一些实施例中,上述目标信息可以是能够间接地反映目标网站对应的网站类型的信息,如互联网中与目标网站相关的网络信息,网络代理设备320也可以根据此类目标信息,确定目标网站对应的目标网站类型。即,网络代理设备320也可以抓取目标时段内产生的与目标网站相关的网络信息,作为目标信息,然后分析所抓取的目标信息,根据分析结果确定该目标网站对应的目标网站类型。
示例性的,网络代理设备320确定出网络访问请求所要访问的目标网站后,可以通过网络爬虫技术在万维网中抓取目标时段内产生的与目标网站相关的网络信息,例如,可以抓取近一个月内产生的与目标网站相关的网络信息,进而,可以通过大数据分析技术,基于所抓取的网络信息确定目标网站对应的目标网站类型,例如,可以利用预先训练的网站类型分析模型对所抓取的信息进行分析处理,以确定目标网站对应的目标网站类型。
需要说明的是,网络代理设备320利用网站类型分析模型对目标信息进行分析处理时,可以将目标信息输入预先训练好的网站类型分析模型,该网站类型分析模型对输入的目标信息进行分析处理,进而输出该目标网站对应的目标网站类型。该网站类型分析模型可以是预先基于大量训练样本训练得到的神经网络模型,每个训练样本中包括与样本网站相关的网络信息以及该样本网站对应的标注网站类型。
应理解,在实际应用中,网络代理设备320除了可以通过上述方式确定目标网站对应的目标网站类型外,也可以通过其它方式确定目标网站对应的目标网站类型,本申请在此不对确定目标网站类型的方式做任何限定。
可选的,为了便于后续对数据进行溯源和管理,本申请实施例提供的恶意应用程序的检测系统中还可以包括网络请求记录库350,网络代理设备320可以将与网络访问请求相关的信息存储至该网络请求记录库350。示例性的,网络请求记录库350中可以记录网络访问请求的产生时间、网络访问请求的来源APP、网络访问请求中包括的URL、网络访问请求所要访问的网站域名、网络访问请求所要访问的网站对应的网站类型,当然,在实际应用中,该网络请求记录库350中可以记录更多或更少的信息,本申请在此不对该网络请求记录库350中包括的信息做任何限定。
网络代理设备320确定出目标网站类型后,可以进一步基于所确定的目标网站类型,确定待检测APP对应的目标APP类型。示例性的,在仅确定出一种目标网站类型的情况下,网络代理设备320可以直接将该目标网站类型作为待检测APP对应的目标APP类型;在确定出多种目标网站类型的情况下,网络代理设备320可以按照一定的规则,从多种目标网站类型中选出一种或多种目标网站类型,作为待检测APP对应的目标APP类型。
在一种可能的实现方式中,在待检测APP产生的多条网络访问请求所要访问的网站包括多个不同的目标网站,且这多个目标网站对应多种目标网站类型的情况下,网络代理设备320可以确定多种目标网站类型各自对应的出现次数,然后确定所对应的出现次数最多的目标网站类型,作为待检测APP对应的目标APP类型。
在另一种可能的实现方式中,在待检测APP产生的多条网络访问请求所要访问的网站包括多个不同的目标网站,且这多个目标网站对应多种目标网站类型的情况下,网络代理设备320也可以直接将这多种目标网站类型均作为待检测APP对应的目标APP类型。
应理解,在实际应用中,网络代理设备320除了可以通过上述两种方式,根据目标网站类型确定待检测APP对应的目标APP类型外,也可以通过其它方式确定待检测APP对应的目标APP类型,例如,可以确定按照出现次数从高到低的顺序对目标网站类型进行排序,确定排序靠前的N(N为大于1的整数)个目标网站类型,作为待检测APP对应的目标APP类型,本申请在此不对确定待检测APP对应的目标APP类型的方式做任何限定。
网络代理设备320确定出待检测APP对应的目标APP类型后,可以将该待检测APP与该目标APP类型之间的对应关系存储至APP分类库330,在相关应用场景中,若需要获知该待检测APP对应的APP类型,则可以直接在该APP分类库330查找该待检测APP对应的APP类型,无需再次执行上述识别APP类型的操作,避免造成不必要的处理资源浪费。
网络代理设备320确定出待检测APP对应的目标APP类型后,可以判断该目标APP类型是否属于预设的恶意APP类型,若是,则可以确定该待检测APP为恶意APP,反之,若否,则可以确定该待检测APP并非恶意APP。
应理解,当待检测APP对应的目标APP类型包括多种时,网络代理设备320可以在确定其中存在一种目标APP类型属于恶意APP类型的情况下,确定该待检测APP为恶意APP;例如,假设待检测APP对应的目标APP类型包括A类型、B类型和C类型,若其中B类型为预设的恶意APP类型,则网络代理设备320可以确定该待检测APP为恶意APP。
本申请实施例提供的恶意应用程序的检测系统,可以基于待检测APP运行过程中访问的网站类型,识别待检测APP对应的APP类型,进而据此来判断待检测APP是否为恶意APP,无论是本身无恶意特征码的恶意APP,还是本身包括恶意特征码的恶意APP,其通常都需要通过访问非法网站来提供非法服务,因此,采用本申请实施例提供的恶意应用程序的检测系统可以有效地识别出各类恶意APP,提高恶意APP的检测覆盖率。
为了便于进一步理解本申请实施例提供的技术方案,下面以本申请实施例提供的恶意应用程序的检测方法应用于图3所示的恶意应用程序的检测系统为例,对本申请实施例提供的恶意应用程序的检测方法进行整体示例性介绍。
参见图4,图4为本申请实施例提供的恶意应用程序的检测方法的实现流程示意图。如图4所示,该方法包括以下步骤:
1)启动网络代理设备,启动应用运行设备中的APP模拟器,并设置该APP模拟器网络连接至网络代理设备。
2)网络代理设备获取到待检测APP后,先调用用于存储APP与APP类型之间的对应关系的APP分类库,然后,查询APP分类库中是否存储有该待检测APP对应的APP类型。若没有在该APP分类库中查询到待检测APP对应的类型,则说明当前尚未确定该待检测APP对应的目标APP类型,进而,可以将该待检测APP的安装包推送到APP模拟器指定的安装目录中,进行利用APP模拟器对待检测APP进行后续测试操作;若在该APP分类库中查询到待检测APP对应的类型,则说明当前已确定待检测APP对应的目标APP类型,无利用APP模拟器对待检测APP进行后续测试操作。
3)APP模拟器监控其指定的安装目录中检测是否存在待安装的APP安装包,该待安装的APP安装包实际上应为网络代理设备推送的待检测APP的安装包。
4)若监控到安装目录中有待检测APP的安装包,则对该待检测APP的安装包进行解压缩和安装处理,运行该待检测APP。APP模拟器控制待检测APP启动运行后,可以不断地模拟用户操作该待检测APP,例如,可以模拟用户在待检测APP界面上的随机位置进行点击操作,模拟用户在待检测APP界面上进行手势滑动操作,模拟用户基于待检测APP进行键盘输入操作等等。待检测APP响应于APP模拟器所模拟的用户操作,相应地生成包括有URL的网络访问请求,并将网络访问请求发送至网络代理设备。
需要说明的是,在实际应用中,本申请实施例提供的方法除了可以借助APP模拟器模拟用户操作待检测APP产生网络访问请求外,还可以响应于测试人员的操作反编译待检测APP代码,进而基于反编译的待检测APP代码,分析该待检测APP的安装包中的配置文件(如AndroidManifest.xml等),触发待检测APP中的各项活动Activity,以生成网络访问请求,并将所生成的网络访问请求发送给网络代理设备。
5)网络代理设备不断地获取待检测APP运行过程中产生的网络访问请求,并将网络访问请求存储至网络请求记录库中,示例性的,网络代理设备可以将网络访问请求的产生时间、网络访问请求的来源APP标识(即待检测APP的标识)、网络访问请求中包括的URL、网络访问请求所要访问的网站域名、以及网络访问请求所要访问的网站对应的网站类型,均存储至网络请求记录库中,其中,网络访问请求所要访问的网站域名以及网络访问请求所要访问的网站对应的网站类型,可以在通过后续操作确定后,再写入网络请求记录库中。
当网络代理设备获取到多于N条网络访问请求,或者网络访问请求的获取时间超过预置时间T时(例如,N可以设置为100,T可以设置为5分钟,此处不做任何限制),即可认为基于已获取的网络访问请求可以完成对于待检测APP对应的APP类型的识别,进而,网络代理设备可以向APP模拟器发送卸载指令,以控制APP模拟器卸载其中安装的待检测APP。
6)网络代理设备对于其获取到的网络访问请求,可以根据网络访问请求中携带的URL获取网站域名(如对于URL http://news.qq.com/local/index.html,其网站域名为qq.com),由此确定该网络访问请求访问的目标网站;然后,调用用于存储网站域名与网站类型之间的对应关系的网址分类库,在该网址分类库中查找与该目标网站的域名对应的网站类型,作为该目标网站对应的目标网站类型。
需要说明的是,在实际应用中,网络代理设备除了可以基于网址分类库中存储的信息确定目标网站对应的目标网站类型外,网络代理设备也可以通过网络爬虫技术在万维网中抓取目标时段内产生的与目标网站相关的网络信息,例如,可以抓取近一个月内产生的与目标网站相关的网络信息,进而,可以通过大数据分析技术,基于所抓取的网络信息确定目标网站对应的目标网站类型。
7)网络代理设备确定出目标网站对应的目标网站类型后,可以根据目标网站类型进一步确定待检测APP对应的目标APP类型。在仅确定出一种目标网站类型的情况下,服务器可以直接将该目标网站类型作为待检测APP对应的目标APP类型。在确定出多种目标网站类型的情况下,服务器可以按照一定的规则,从多种目标网站类型中选出一种或多种目标网站类型,作为待检测APP对应的目标APP类型;示例性的,可以选择出现次数最多的网站类型作为该待检测APP对应的目标APP类型;或者,在允许对APP同时设置多种APP类型的情况下,比如一个APP可以既是色情类也是广告类,可以将多个网站对应的网站类型均作为待检测APP对应的APP类型。
网络代理设备确定出待检测APP对应的目标APP类型后,可以将该待检测APP与目标APP类型之间的对应关系,存储至APP分类库中。
8)网络代理设备确定出待检测APP对应的目标APP类型后,可以判断该目标APP类型是否属于预设的恶意APP类型,若是,则可以确定该待检测APP为恶意APP,反之,若否,则可以确定该待检测APP并非恶意APP。当待检测APP对应的目标APP类型包括多种时,服务器可以在确定其中存在一种目标APP类型属于恶意APP类型的情况下,确定该待检测APP为恶意APP。。
针对上文描述的恶意应用程序的检测方法,本申请还提供了对应的恶意应用程序的检测装置,以使上述恶意应用程序的检测方法在实际中的应用以及实现。
参见图5,图5为上文图2所示的恶意应用程序的检测方法对应的一种恶意应用程序的检测装置500的结构示意图,该恶意应用程序的检测装置500包括:
请求获取模块501,用于获取待检测应用运行在模拟环境下的网络访问请求;所述网络访问请求中包括统一资源定位符URL;
网站确定模块502,用于对所述待检测应用的网络访问请求进行URL提取处理,以确定所述网络访问请求访问的目标网站;所述URL中包括所述网络访问请求访问的目标网站的域名;
网站类型确定模块503,用于获取与所述目标网站相关的目标信息,并根据所述目标信息确定所述目标网站对应的目标网站类型;所述目标信息能够直接或间接地反映所述目标网站对应的网站类型;
应用类型确定模块504,用于根据所述目标网站类型,确定所述待检测应用对应的目标应用类型;
恶意应用识别模块505,用于当所述目标应用类型属于预设的恶意应用类型时,确定所述待检测应用为恶意应用。
可选的,在图5所示的恶意应用程序的检测装置的基础上,参见图6,图6为本申请实施例提供的另一种恶意应用程序的检测装置600的结构示意图。如图6所示,所述装置还包括:
安装控制模块601,用于将所述待检测应用的安装包推送至应用模拟器的安装目录;控制所述应用模拟器对所述待检测应用的安装包进行解压缩处理和安装处理,以使所述待检测应用在所述模拟环境下运行。
可选的,在图6所示的恶意应用程序的检测装置的基础上,通过以下方式生成所述网络访问请求:
向所述应用模拟器发送点击操作模拟指令,以控制所述应用模拟器模拟用户对于所述待检测应用的界面的点击操作,生成所述网络访问请求;
向所述应用模拟器发送滑动操作模拟指令,以控制所述应用模拟器模拟用户对于所述待检测应用的界面的手势滑动操作,生成所述网络访问请求;
向所述应用模拟器发送键盘输入模拟指令,以控制所述应用模拟器模拟用户基于所述待检测应用进行键盘输入操作,生成所述网络访问请求。
可选的,在图6所示的恶意应用程序的检测装置的基础上,参见图7,图7为本申请实施例提供的另一种恶意应用程序的检测装置700的结构示意图。如图7所示,所述装置还包括:
卸载控制模块701,用于检测所获取的所述网络访问请求的数量;从获取到所述待检测应用的第一条所述网络访问请求的时刻起计时,记录所述网络访问请求的获取时长;判断所获取的所述网络访问请求的数量是否超过预设请求数量,以及判断所述网络访问请求的获取时长是否超过预设时长;若存在至少一个判断结果为是,则向所述应用模拟器发送卸载指令,以控制所述应用模拟器卸载其中安装的所述待检测应用。
可选的,在图5所示的恶意应用程序的检测装置的基础上,通过以下方式生成所述网络访问请求:
对所述待检测应用的安装包进行反编译处理;
基于反编译处理后得到的所述待检测应用的安装包中的配置文件,触发目标活动,生成所述网络访问请求。
可选的,在图5所示的恶意应用程序的检测装置的基础上,所述网站类型确定模块503具体用于:
调用网址分类库,在所述网址分类库中查找与所述目标网站的域名对应的所述目标网站类型;所述网址分类库用于存储网站域名与网站类型之间的对应关系。
可选的,在图5所示的恶意应用程序的检测装置的基础上,所述网站类型确定模块503具体用于:
抓取目标时段内产生的与所述目标网站相关的网络信息,作为所述目标信息;
分析所述目标信息,根据分析结果确定所述目标网站对应的所述目标网站类型。
可选的,在图5所示的恶意应用程序的检测装置的基础上,所述网站类型确定模块503具体用于:
通过网站类型分析模型,根据所述目标信息确定所述目标网站对应的所述目标网站类型;所述网站类型分析模型是基于多个训练样本训练得到的神经网络模型,所述训练样本中包括与样本网站相关的网络信息和所述样本网站对应的标注网站类型。
可选的,在图5所示的恶意应用程序的检测装置的基础上,在所述网络访问请求涉及多个目标网站,且所述多个目标网站对应多种目标网站类型的情况下,所述应用类型确定模块504具体用于:
确定所述多种目标网站类型各自对应的出现次数;
确定所对应的出现次数最多的目标网站类型,作为所述目标应用类型。
可选的,在图5所示的恶意应用程序的检测装置的基础上,在所述网络访问请求涉及多个目标网站,且所述多个目标网站对应多种目标网站类型的情况下,所述应用类型确定模块504具体用于:
将所述多种目标网站类型均作为所述目标应用类型。
可选的,在图6所示的恶意应用程序的检测装置的基础上,参见图8,图8为本申请实施例提供的另一种恶意应用程序的检测装置800的结构示意图。如图8所示,该装置还包括:
预查找模块801,用于查找应用分类库中是否存储有所述待检测应用对应的应用类型;所述应用分类库用于存储应用与应用类型之间的对应关系;若未在所述应用分类库中查找到所述待检测应用对应的应用类型,则将所述待检测应用的安装包推送至所述应用模拟器的安装目录,控制所述应用模拟器对所述待检测应用的安装包进行解压缩处理和安装处理,以使所述待检测应用在所述模拟环境下运行。
存储模块802,用于将所述待检测应用与所述目标应用类型之间的对应关系,存储至所述应用分类库。
本申请实施例提供的恶意应用程序的检测装置,可以基于待检测APP运行过程中访问的网站类型,识别待检测APP对应的APP类型,进而据此判断待检测APP是否为恶意APP,无论是本身无恶意特征码的恶意APP,还是本身包括恶意特征码的恶意APP,其通常都需要通过访问非法网站来提供非法服务,因此,采用本申请实施例提供的恶意应用程序的检测装置可以有效地识别出各类恶意APP,提高恶意APP的检测覆盖率。
本申请实施例还提供了一种用于识别恶意APP的设备,该设备具体可以为服务器和终端设备,下面将从硬件实体化的角度对本申请实施例提供的服务器和终端设备进行介绍。
参见图9,图9为本申请实施例提供的一种服务器900的结构示意图。该服务器900可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(centralprocessing units,CPU)922(例如,一个或一个以上处理器)和存储器932,一个或一个以上存储应用程序942或数据944的存储介质930(例如一个或一个以上海量存储设备)。其中,存储器932和存储介质930可以是短暂存储或持久存储。存储在存储介质930的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器922可以设置为与存储介质930通信,在服务器900上执行存储介质930中的一系列指令操作。
服务器900还可以包括一个或一个以上电源926,一个或一个以上有线或无线网络接口950,一个或一个以上输入输出接口958,和/或,一个或一个以上操作系统941,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述实施例中由服务器所执行的步骤可以基于该图9所示的服务器结构。
其中,CPU 922用于执行如下步骤:
获取待检测应用运行在模拟环境下的网络访问请求;所述网络访问请求中包括统一资源定位符URL;
对所述待检测应用的网络访问请求进行URL提取处理,以确定所述网络访问请求访问的目标网站;所述URL中包括所述网络访问请求访问的目标网站的域名;
获取与所述目标网站相关的目标信息,并根据所述目标信息确定所述目标网站对应的目标网站类型;所述目标信息能够直接或间接地反映所述目标网站对应的网站类型;
根据所述目标网站类型,确定所述待检测应用对应的目标应用类型;
当所述目标应用类型属于预设的恶意应用类型时,确定所述待检测应用为恶意应用。
可选的,CPU 922还可以用于执行本申请实施例提供的恶意应用程序的检测方法的任意一种实现方式的步骤。
参见图10,图10为本申请实施例提供的一种终端设备的结构示意图。为了便于说明,仅示出了与本申请实施例相关的部分,具体技术细节未揭示的,请参照本申请实施例方法部分。该终端可以为包括智能手机、计算机、平板电脑、个人数字助理等任意终端设备,以终端为计算机为例:
图10示出的是与本申请实施例提供的终端相关的计算机的部分结构的框图。参考图10,计算机包括:射频(Radio Frequency,RF)电路1010、存储器1020、输入单元1030、显示单元1040、传感器1050、音频电路1060、无线保真(wireless fidelity,WiFi)模块1070、处理器1080、以及电源1090等部件。本领域技术人员可以理解,图10中示出的计算机结构并不构成对计算机的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储器1020可用于存储软件程序以及模块,处理器1080通过运行存储在存储器1020的软件程序以及模块,从而执行计算机的各种功能应用以及数据处理。存储器1020可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据计算机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器1020可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器1080是计算机的控制中心,利用各种接口和线路连接整个计算机的各个部分,通过运行或执行存储在存储器1020内的软件程序和/或模块,以及调用存储在存储器1020内的数据,执行计算机的各种功能和处理数据,从而对计算机进行整体监控。可选的,处理器1080可包括一个或多个处理单元;优选的,处理器1080可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器1080中。
在本申请实施例中,该终端所包括的处理器1080还具有以下功能:
获取待检测应用运行在模拟环境下的网络访问请求;所述网络访问请求中包括统一资源定位符URL;
对所述待检测应用的网络访问请求进行URL提取处理,以确定所述网络访问请求访问的目标网站;所述URL中包括所述网络访问请求访问的目标网站的域名;
获取与所述目标网站相关的目标信息,并根据所述目标信息确定所述目标网站对应的目标网站类型;所述目标信息能够直接或间接地反映所述目标网站对应的网站类型;
根据所述目标网站类型,确定所述待检测应用对应的目标应用类型;
当所述目标应用类型属于预设的恶意应用类型时,确定所述待检测应用为恶意应用。
可选的,所述处理器1080还用于执行本申请实施例提供的恶意应用程序的检测方法的任意一种实现方式的步骤。
本申请实施例还提供一种计算机可读存储介质,用于存储计算机程序,该计算机程序用于执行前述各个实施例所述的一种恶意应用程序的检测方法中的任意一种实施方式。
本申请实施例还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行前述各个实施例所述的一种恶意应用程序的检测方法中的任意一种实施方式。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文全称:Read-OnlyMemory,英文缩写:ROM)、随机存取存储器(英文全称:Random Access Memory,英文缩写:RAM)、磁碟或者光盘等各种可以存储计算机程序的介质。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (15)
1.一种恶意应用程序的检测方法,其特征在于,所述方法包括:
获取待检测应用运行在模拟环境下的网络访问请求;所述网络访问请求中包括统一资源定位符URL;
对所述待检测应用的网络访问请求进行URL提取处理,以确定所述网络访问请求访问的目标网站;所述URL中包括所述网络访问请求访问的目标网站的域名;
获取与所述目标网站相关的目标信息,并根据所述目标信息确定所述目标网站对应的目标网站类型;所述目标信息能够直接或间接地反映所述目标网站对应的网站类型;
根据所述目标网站类型,确定所述待检测应用对应的目标应用类型;
当所述目标应用类型属于预设的恶意应用类型时,确定所述待检测应用为恶意应用。
2.根据权利要求1所述的方法,其特征在于,在所述获取待检测应用运行在模拟环境下的网络访问请求之前,所述方法还包括:
将所述待检测应用的安装包推送至应用模拟器的安装目录;
控制所述应用模拟器对所述待检测应用的安装包进行解压缩处理和安装处理,以使所述待检测应用在所述模拟环境下运行。
3.根据权利要求2所述的方法,其特征在于,通过以下至少一种方式生成所述网络访问请求:
向所述应用模拟器发送点击操作模拟指令,以控制所述应用模拟器模拟用户对于所述待检测应用的界面的点击操作,生成所述网络访问请求;
向所述应用模拟器发送滑动操作模拟指令,以控制所述应用模拟器模拟用户对于所述待检测应用的界面的手势滑动操作,生成所述网络访问请求;
向所述应用模拟器发送键盘输入模拟指令,以控制所述应用模拟器模拟用户基于所述待检测应用进行键盘输入操作,生成所述网络访问请求。
4.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
检测所获取的所述网络访问请求的数量;
从获取到所述待检测应用的第一条所述网络访问请求的时刻起计时,记录所述网络访问请求的获取时长;
判断所获取的所述网络访问请求的数量是否超过预设请求数量,以及判断所述网络访问请求的获取时长是否超过预设时长;
若存在至少一个判断结果为是,则向所述应用模拟器发送卸载指令,以控制所述应用模拟器卸载其中安装的所述待检测应用。
5.根据权利要求1所述的方法,其特征在于,通过以下方式生成所述网络访问请求:
对所述待检测应用的安装包进行反编译处理;
基于反编译处理后得到的所述待检测应用的安装包中的配置文件,触发目标活动,生成所述网络访问请求。
6.根据权利要求1所述的方法,其特征在于,所述获取与所述目标网站相关的目标信息,并根据所述目标信息确定所述目标网站对应的目标网站类型,包括:
调用网址分类库,在所述网址分类库中查找与所述目标网站的域名对应的所述目标网站类型;所述网址分类库用于存储网站域名与网站类型之间的对应关系。
7.根据权利要求1所述的方法,其特征在于,所述获取与所述目标网站相关的目标信息类型,包括:
抓取目标时段内产生的与所述目标网站相关的网络信息,作为所述目标信息;
则所述根据所述目标信息确定所述目标网站对应的目标网站类型,包括:
分析所述目标信息,根据分析结果确定所述目标网站对应的所述目标网站类型。
8.根据权利要求7所述的方法,其特征在于,所述分析所述目标信息,根据分析结果确定所述目标网站对应的所述目标网站类型,包括:
通过网站类型分析模型,根据所述目标信息确定所述目标网站对应的所述目标网站类型;所述网站类型分析模型是基于多个训练样本训练得到的神经网络模型,所述训练样本中包括与样本网站相关的网络信息和所述样本网站对应的标注网站类型。
9.根据权利要求1至8任一项所述的方法,其特征在于,在所获取的所述网络访问请求涉及多个目标网站,且所述多个目标网站对应多种目标网站类型的情况下,所述根据所述目标网站类型,确定所述待检测应用对应的目标应用类型,包括:
确定所述多种目标网站类型各自对应的出现次数;确定所对应的出现次数最多的目标网站类型,作为所述目标应用类型;
或者,将所述多种目标网站类型均作为所述目标应用类型。
10.根据权利要求2所述的方法,其特征在于,在所述获取待检测应用运行在模拟环境下的网络访问请求之前,所述方法还包括:
查找应用分类库中是否存储有所述待检测应用对应的应用类型;所述应用分类库用于存储应用与应用类型之间的对应关系;
若未在所述应用分类库中查找到所述待检测应用对应的应用类型,则将所述待检测应用的安装包推送至所述应用模拟器的安装目录,控制所述应用模拟器对所述待检测应用的安装包进行解压缩处理和安装处理,以使所述待检测应用在所述模拟环境下运行。
11.根据权利要求10所述的方法,其特征在于,在所述根据所述目标网站类型,确定所述待检测应用对应的目标应用类型之后,所述方法还包括:
将所述待检测应用与所述目标应用类型之间的对应关系,存储至所述应用分类库。
12.一种恶意应用程序的检测系统,其特征在于,所述系统包括:网络代理设备、应用运行设备;
所述应用运行设备,用于承载待检测应用在模拟环境下运行,并将所述待检测应用的网络访问请求发送至所述网络代理设备;所述网络访问请求中包括统一资源定位符URL;
所述网络代理设备,用于获取所述网络访问请求;对所述待检测应用的网络访问请求进行URL提取处理,以确定所述网络访问请求访问的目标网站,所述URL中包括所述网络访问请求访问的目标网站的域名;获取与所述目标网站相关的目标信息,并根据所述目标信息确定所述目标网站对应的目标网站类型,所述目标信息能够直接或间接地反映所述目标网站对应的网站类型;根据所述目标网站类型,确定所述待检测应用对应的目标应用类型;当所述目标应用类型属于预设的恶意应用类型时,确定所述待检测应用为恶意应用。
13.一种恶意应用程序的检测装置,其特征在于,所述装置包括:
请求获取模块,用于获取待检测应用运行在模拟环境下的网络访问请求;所述网络访问请求中包括统一资源定位符URL;
网站确定模块,用于对所述待检测应用的网络访问请求进行URL提取处理,以确定所述网络访问请求访问的目标网站;所述URL中包括所述网络访问请求访问的目标网站的域名;
网站类型确定模块,用于获取与所述目标网站相关的目标信息,并根据所述目标信息确定所述目标网站对应的目标网站类型;所述目标信息能够直接或间接地反映所述目标网站对应的网站类型;
应用类型确定模块,用于根据所述目标网站类型,确定所述待检测应用对应的目标应用类型;
恶意应用识别模块,用于当所述目标应用类型属于预设的恶意应用类型时,确定所述待检测应用为恶意应用。
14.一种计算机设备,其特征在于,所述设备包括处理器及存储器;
所述存储器用于存储计算机程序;
所述处理器用于根据所述计算机程序执行权利要求1至8中任一项所述的恶意应用程序的检测方法。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储计算机程序,所述计算机程序用于执行权利要求1至8中任一项所述的恶意应用程序的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010614844.0A CN111597557A (zh) | 2020-06-30 | 2020-06-30 | 恶意应用程序的检测方法、系统、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010614844.0A CN111597557A (zh) | 2020-06-30 | 2020-06-30 | 恶意应用程序的检测方法、系统、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111597557A true CN111597557A (zh) | 2020-08-28 |
Family
ID=72186593
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010614844.0A Pending CN111597557A (zh) | 2020-06-30 | 2020-06-30 | 恶意应用程序的检测方法、系统、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111597557A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112084501A (zh) * | 2020-09-18 | 2020-12-15 | 珠海豹趣科技有限公司 | 一种恶意程序的检测方法、装置、电子设备及存储介质 |
| CN116567629A (zh) * | 2023-07-07 | 2023-08-08 | 深圳市江元科技(集团)有限公司 | 一种实现安卓设备上网智能管控方法、系统和介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101504673A (zh) * | 2009-03-24 | 2009-08-12 | 阿里巴巴集团控股有限公司 | 一种识别疑似仿冒网站的方法与系统 |
| CN103607385A (zh) * | 2013-11-14 | 2014-02-26 | 北京奇虎科技有限公司 | 基于浏览器进行安全检测的方法和装置 |
| CN105007282A (zh) * | 2015-08-10 | 2015-10-28 | 济南大学 | 面向网络服务提供商的恶意软件网络行为检测方法及系统 |
| CN105187392A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 基于网络接入点的移动终端恶意软件检测方法及其系统 |
| CN105893848A (zh) * | 2016-04-27 | 2016-08-24 | 南京邮电大学 | 一种基于代码行为相似度匹配的Android恶意应用程序防范方法 |
| CN106302531A (zh) * | 2016-09-30 | 2017-01-04 | 北京金山安全软件有限公司 | 安全防护方法、装置及终端设备 |
| CN107506646A (zh) * | 2017-09-28 | 2017-12-22 | 努比亚技术有限公司 | 恶意应用的检测方法、装置及计算机可读存储介质 |
| CN110535820A (zh) * | 2019-04-18 | 2019-12-03 | 国家计算机网络与信息安全管理中心 | 针对恶意域名的分类方法、装置、电子设备及介质 |
| CN111324796A (zh) * | 2020-02-11 | 2020-06-23 | 广州智乐物联网技术有限公司 | 基于区块链和sdn边缘计算网络系统的域名爬取方法及装置 |
-
2020
- 2020-06-30 CN CN202010614844.0A patent/CN111597557A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101504673A (zh) * | 2009-03-24 | 2009-08-12 | 阿里巴巴集团控股有限公司 | 一种识别疑似仿冒网站的方法与系统 |
| CN103607385A (zh) * | 2013-11-14 | 2014-02-26 | 北京奇虎科技有限公司 | 基于浏览器进行安全检测的方法和装置 |
| CN105007282A (zh) * | 2015-08-10 | 2015-10-28 | 济南大学 | 面向网络服务提供商的恶意软件网络行为检测方法及系统 |
| CN105187392A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 基于网络接入点的移动终端恶意软件检测方法及其系统 |
| CN105893848A (zh) * | 2016-04-27 | 2016-08-24 | 南京邮电大学 | 一种基于代码行为相似度匹配的Android恶意应用程序防范方法 |
| CN106302531A (zh) * | 2016-09-30 | 2017-01-04 | 北京金山安全软件有限公司 | 安全防护方法、装置及终端设备 |
| CN107506646A (zh) * | 2017-09-28 | 2017-12-22 | 努比亚技术有限公司 | 恶意应用的检测方法、装置及计算机可读存储介质 |
| CN110535820A (zh) * | 2019-04-18 | 2019-12-03 | 国家计算机网络与信息安全管理中心 | 针对恶意域名的分类方法、装置、电子设备及介质 |
| CN111324796A (zh) * | 2020-02-11 | 2020-06-23 | 广州智乐物联网技术有限公司 | 基于区块链和sdn边缘计算网络系统的域名爬取方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112084501A (zh) * | 2020-09-18 | 2020-12-15 | 珠海豹趣科技有限公司 | 一种恶意程序的检测方法、装置、电子设备及存储介质 |
| CN116567629A (zh) * | 2023-07-07 | 2023-08-08 | 深圳市江元科技(集团)有限公司 | 一种实现安卓设备上网智能管控方法、系统和介质 |
| CN116567629B (zh) * | 2023-07-07 | 2023-09-19 | 深圳市江元科技(集团)有限公司 | 一种实现安卓设备上网智能管控方法、系统和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2633487B1 (en) | Method and system to recommend applications from an application market place to a new device | |
| US9792365B2 (en) | Method and system for tracking and gathering multivariate testing data | |
| Liu et al. | Understanding diverse usage patterns from large-scale appstore-service profiles | |
| US9215245B1 (en) | Exploration system and method for analyzing behavior of binary executable programs | |
| US9280665B2 (en) | Fast and accurate identification of message-based API calls in application binaries | |
| US9396237B1 (en) | Monitoring applications for infringement | |
| US10754717B2 (en) | Fast and accurate identification of message-based API calls in application binaries | |
| CN104978213B (zh) | 实现应用安装包的链接获取方法和装置 | |
| CN107276842B (zh) | 接口测试方法、装置及电子设备 | |
| Sivakumar et al. | Nutshell: Scalable whittled proxy execution for low-latency web over cellular networks | |
| CN107632901A (zh) | 一种应用程序运行异常的自修复方法及装置 | |
| CN111597557A (zh) | 恶意应用程序的检测方法、系统、装置、设备及存储介质 | |
| Asim et al. | AndroKit: A toolkit for forensics analysis of web browsers on android platform | |
| CN111177623A (zh) | 信息处理方法及装置 | |
| CN105577472A (zh) | 一种数据采集测试方法和装置 | |
| CN103268448A (zh) | 动态检测移动应用的安全性的方法和系统 | |
| CN111459577B (zh) | 应用安装来源跟踪方法、装置、设备及存储介质 | |
| US10839066B1 (en) | Distinguishing human from machine input using an animation | |
| Sharma et al. | Forensic analysis of a virtual Android phone | |
| CN111949849A (zh) | 鱼类信息的获取方法、装置、电子设备及可读存储介质 | |
| CN113031995B (zh) | 一种更新规则的方法、装置、存储介质以及电子设备 | |
| CN111291288A (zh) | 网页链接抽取方法及系统 | |
| CN108038233B (zh) | 一种采集文章的方法、装置、电子设备及存储介质 | |
| CN108133123B (zh) | 一种应用程序的识别方法及系统 | |
| KR101582420B1 (ko) | 실행 모듈의 무결성 체크 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40028886 Country of ref document: HK |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |