CN114861179A - 移动终端应用和文件的风险检测方法、装置、终端及介质 - Google Patents
移动终端应用和文件的风险检测方法、装置、终端及介质 Download PDFInfo
- Publication number
- CN114861179A CN114861179A CN202210493288.5A CN202210493288A CN114861179A CN 114861179 A CN114861179 A CN 114861179A CN 202210493288 A CN202210493288 A CN 202210493288A CN 114861179 A CN114861179 A CN 114861179A
- Authority
- CN
- China
- Prior art keywords
- application
- detected
- file
- list
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 182
- 238000000034 method Methods 0.000 claims abstract description 32
- 238000005070 sampling Methods 0.000 claims abstract description 12
- 238000009434 installation Methods 0.000 claims description 20
- 230000000750 progressive effect Effects 0.000 claims description 2
- 238000004590 computer program Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 2
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
- G06F21/125—Restricting unauthorised execution of programs by manipulating the program code, e.g. source code, compiled code, interpreted code, machine code
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种移动终端应用和文件的风险检测方法、装置、终端及介质,通过获得待检测对象对应的类型集,逐一根据类型集中包含的类型采用不同的检测步骤:对于应用类,依次通过已获得检测结果的应用列表和危险权限进行检测;对于文件类,对文件内容采样,计算特征值查找黑名单文件列表进行检测;从而实现对待检测对象进行多途径、多方面的综合检测。与现有技术相比,能灵活地检测各种危险软件,确保准确识别出各种危险软件。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及的是一种移动终端应用和文件的风险检测方法、装置、终端及介质。
背景技术
随着智能手机、平板电脑等移动终端的广泛使用以及各种移动终端应用的推广,移动终端的安全问题成为移动互联网行业以及移动互联网用户最为重视的问题之一。目前手机病毒、恶意软件等危险软件的数量呈指数级增长,已经使得用户在使用移动终端时存在各种潜在安全风险,不仅会造成用户隐私信息的泄露,甚至给用户的财产造成损失。
目前检测危险软件通常根据危险软件的特征码进行匹配,检测方式单一、不够灵活。恶意攻击者只需要稍作修改,改变特征码,就可以生成危险软件的变体而不会被识别出来。因此,危险软件的快速变换使得传统安全软件很难及时更新以识别出各种快速出现的大量危险软件,检测准确率下降。
因此,现有技术还有待改进和提高。
发明内容
本发明的主要目的在于提供一种移动终端应用和文件的风险检测方法、装置、智能终端及存储介质,采取多种途径从多个方面综合地进行检测,从而准确地识别各种危险软件。
为了实现上述目的,本发明第一方面提供一种移动终端应用和文件的风险检测方法,其中,上述方法包括:
基于预设的类型参数,获取待检测对象对应的类型集;
若所述类型集包括应用类:
获取已获得检测结果的应用列表;
基于所述待检测对象,获得危险权限信息;
依次根据所述应用列表、所述危险权限信息,获得检测结果;
若所述类型集包括文件类:
获取待检测对象的文件内容;
基于所述文件内容,生成特征值;
获取黑名单文件列表,所述黑名单文件为检测结果为危险级别的文件;
基于所述特征值,若在所述黑名单文件列表中找到所述待检测对象,设定检测结果为危险级别,否则设定检测结果为安全级别;
输出所述检测结果。
可选的,所述依次根据所述应用列表,所述危险权限信息,获得所述待检测对象的检测结果,包括:
基于所述待检测对象,获得应用信息;
基于所述应用信息,在所述应用列表中查找所述待检测对象;
若找到,根据所述应用列表获得所述检测结果;
否则,
依次获得所述危险权限信息中的每一个危险权限对应的风险权重;
累计所述风险权重,获得累计值;
基于所述累计值和设定的风险阈值,获得所述检测结果。
可选的,所述基于所述累计值和设定的风险阈值,获得所述检测结果后,还包括:
基于所述待检测对象,获得应用信息;
基于所述应用信息,若在设定的应用市场中找到所述待检测对象,更新所述检测结果为降低风险等级后的检测结果;
将所述应用信息和所述检测结果保存至服务器。
可选的,若所述待检测对象为安装包文件,设定所述类别包含应用类和文件类,以依次进行应用检测和文件检测。
可选的,所述获取已获得检测结果的应用列表,包括:
获取系统应用,将所述系统应用的检测结果设为安全级别并保存至所述应用列表;
基于用户设定的白名单应用,获得应用信息并保存至所述应用列表;
基于服务器设定的黑名单和/或白名单,获得应用信息并保存至所述应用列表;
输出所述应用列表。
可选的,所述获取待检测对象的文件内容,包括:
获取所述待检测对象的文件大小;
若所述文件大小超过设定阈值,根据预定规则采样获取所述待检测对象的文件内容,否则获取所述待检测对象的全部文件内容。
可选的,所述基于所述待检测对象,获得危险权限信息,包括:
获取预设的危险权限列表;
枚举所述待检测对象的权限清单、所述待检测对象注册的所有服务和接收器的权限清单,获得权限列表;
依次获取所述权限列表中的权限,若在危险权限列表中找到该权限,将该权限保存至所述危险权限信息。
本发明第二方面提供一种移动终端应用和文件的风险检测装置,其中,上述装置包括:
类型获取模块,用于基于预设的类型参数,获取待检测对象对应的类型集;
应用类检测模块,用于获取已获得检测结果的应用列表,基于所述待检测对象,获得危险权限信息,依次根据所述应用列表、所述危险权限信息,获得检测结果;
文件类检测模块,用于获取待检测对象的文件内容,基于所述文件内容,生成特征值,获取黑名单文件列表,所述黑名单文件为检测结果为危险级别的文件,基于所述特征值,若在所述黑名单文件列表中找到所述待检测对象,设定检测结果为危险级别,否则设定检测结果为安全级别;
输出模块,用于输出所述检测结果。
本发明第三方面提供一种智能终端,上述智能终端包括存储器、处理器以及存储在上述存储器上并可在上述处理器上运行的移动终端应用和文件的风险检测程序,上述移动终端应用和文件的风险检测程序被上述处理器执行时实现任意一项上述移动终端应用和文件的风险检测方法的步骤。
本发明第四方面提供一种计算机可读存储介质,上述计算机可读存储介质上存储有移动终端应用和文件的风险检测程序,上述移动终端应用和文件的风险检测程序被处理器执行时实现任意一项上述移动终端应用和文件的风险检测方法的步骤。
由上可见,本发明方案首先获得待检测对象对应的类型集,逐一根据类型集中包含的类型采用不同的检测步骤:对于应用类,依次通过已获得检测结果的应用列表和危险权限进行检测;对于文件类,对文件内容采样,计算特征值查找黑名单文件列表进行检测;从而实现对待检测对象进行多途径、多角度的综合检测。与现有技术相比,本发明方案灵活地检测各种危险软件,确保准确识别出各种危险软件。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1是本发明实施例提供的移动终端应用和文件的风险检测方法的流程示意图;
图2是图1实施例中步骤A400的具体步骤流程示意图;
图3是图1实施例中步骤A200的具体步骤流程示意图;
图4是图1实施例中步骤A300的具体步骤流程示意图;
图5是图2实施例中步骤A440的具体步骤流程示意图;
图6是本发明实施例提供的移动终端应用和文件的风险检测装置的结构示意图;
图7是本发明实施例提供的一种智能终端的内部结构原理框图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况下,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当…时”或“一旦”或“响应于确定”或“响应于检测到”。类似的,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述的条件或事件]”或“响应于检测到[所描述条件或事件]”。
下面结合本发明实施例的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其它不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
由于只通过病毒库检测,危险的手机应用或文件可以修改自身的特征码轻松地避免被检测出来。并且对于一些流行程度不高或者变种的、新的危险软件或文件,病毒库没有更新或者没有对应的特征码,无法检测出来,导致检测准确率不高。
本发明方案通过对待检测对象进行多途径、多角度的综合检测,能够灵活地检测各种危险软件,确保准确识别出各种危险软件。
示例性方法
如图1所示,本发明实施例提供一种移动终端应用和文件的风险检测方法,具体的,上述方法包括如下步骤:
步骤S100:基于预设的类型参数,获取待检测对象对应的类型集;
其中,类型参数是预先设定的各种类型,检测的步骤与具体的类型相关,也就是说根据不同的类型采用不同的检测步骤。本实施例设定的类型有应用类,文件类。其中应用类是指移动终端上运行的各种应用,也包括可以用来安装在移动终端上的各种应用安装包;文件类是指保存在移动终端存储器上的各种文件。
具体的,本实施例在移动终端上运行的应用程序中执行本发明的风险检测方法,既可以对移动终端上运行的应用程序进行扫描监测,也可以根据用户需要对移动终端上存储器中的文件进行扫描监测。根据上述扫描监测的场景就可以获得待检测对象对应的类型集。
需要说明的是,类型参数也可以根据需要对应用类和文件类作进一步限定,例如:针对需要检测获取某些指定高危权限的应用和文件单独细分为一类,以根据细分的类别相应地设定检测步骤,使得检测方法更加灵活。
获得待检测对象的类型集后,若类型集包括应用类,则执行下述的应用检测步骤:
步骤A200:获取已获得检测结果的应用列表;
步骤A300:基于待检测对象,获得危险权限信息;
步骤A400:依次根据所述应用列表、所述危险权限信息,获得检测结果;
具体的,已获得检测结果的应用列表中保存了各种已有检测结果的应用。其中,检测结果可以是安全、警告、危险等各种级别。通过查找该应用列表可以直接获得待检测对象的检测结果。
本实施例的Android系统,由于其开源性的特点,容易遭受恶意软件攻击,比如,应用程序第一次发布时授予的都是正常权限,但是恶意软件开发者将此软件加入危险权限后重新发布,目前Android机制无法检测出这种重新发布的软件携带的恶意权限,因为Android机制只会检测应用程序的哈希值,这种经过重新开发的软件哈希值并没有改变,所以会被认为是正常应用,恶意软件很容易盗取用户的隐私。因此,若待检测对象为应用,本发明还作进一步的进行权限判断以提高检测准确率。
由于待检测对象为应用,可以通过应用的清单文件获取到该应用要求的权限,并进一步判断该权限是否是设定的危险权限。其中,危险权限指容易导致用户隐私泄露或者移动终端不安全的高风险权限,如:应用程序获取的隐私权限、辅助功能权限、通知监听器、设备管理等。若待检测对象获取了这些危险权限,可以根据具体的设定规则来判断检测对象的检测结果。如获取了高风险权限中的多个甚至一个,就认为待检测对象为警告或危险级别。
需要说明的是,所述依次并不限制判断的先后顺序。虽然本实施例先依据应用列表再依据危险权限进行判断,显然也可以先依据危险权限再依据应用列表来判断。
获得待检测对象的类型集后,若类型集包括文件类,则执行下述的文件检测步骤:
步骤B200:获取待检测对象的文件内容;
具体的,若待检测对象为文件类,可以通过移动终端系统的接口读取到待检测对象的文件内容。
进一步地,为了加快检测速度,可以先获取待检测对象的文件大小;若文件大小超过设定阈值(比如10M),则根据预定规则采样获取待检测对象的文件内容,否则直接获取待检测对象的全部文件内容。具体的采样规则可以如本实施例所示分段间隔读取,也可以是其他采样规则,如头部采样和尾部采样等,具体采样方法不做限制。
步骤B300:基于文件内容,生成特征值;
具体的,在读取到文件内容后,根据文件内容的文本计算哈希值作为特征值。显然,也可以采取其他方法来获得文件内容的文本的特征值。
进一步的,为了加快检索和匹配速度,优选生成的特征值在64字节以内。可通过特定的哈希算法(如MD5、SHA1等)获得指定长度的字符串,在确保所有特征值的内存占用可控的情况下优先选择碰撞性低的算法。
步骤B400:获取黑名单文件列表,所述黑名单文件为检测结果为危险级别的文件;
具体的,可以读取用户保存的黑名单文件或者服务器保存的黑名单文件,获得黑名单文件列表,在该黑名单文件列表中保存了危险级别的文件的特征值。
步骤B500:基于所述特征值,若在黑名单文件列表中找到待检测对象,设定检测结果为危险级别,否则设定检测结果为安全级别;
具体的,根据获得的特征值在黑名单文件列表中查找,若待检测对象在黑名单文件列表中,则判定待检测对象为危险文件,否则判定待检测对象为安全文件。
进一步的,还可以在黑名单文件列表中保存危险级别文件的文件名、文件路径等其他信息,然后根据获得的特征值以及待检测对象的文件名、文件路径,在黑名单文件列表中查找,获得检测结果。
步骤S300:输出检测结果。
具体的,获得检测结果后,输出至报警模块,以提示用户。
可选的,还可以将待检测对象、检测结果等传输至服务器,以便服务器统计和更新服务器的黑名单文件列表、已获得检测结果的应用列表。
进一步的,若待检测对象为安装包文件,本发明将该安装包文件对应的类型集设定为应用类以及文件类,也就是说,对该安装包文件会依次采取应用检测步骤和文件检测步骤,以对安装包文件进行递进式的综合检测。若是只根据安装包文件的路径、签名和包名等常规应用检测方法,安装包文件只作简单的更改,就不能被检测到了。因此,本发明同时对安装包文件进行应用检测和文件检测,能够更加确保安装包文件的检测准确率。
综上所述,本发明方案不是只单一的根据特征码来识别危险软件,而是采取多种特征来进行综合检测,对于应用类,依次通过已获得检测结果的应用列表和危险权限进行检测;对于文件类,对文件内容采样,计算特征值查找黑名单文件列表进行检测。并且可以根据待检测对象的类型集,逐一根据类型集中包含的类型联合采用多种检测步骤,实现对待检测对象进行多层次、多角度的综合检测。确保获得较高的准确率。
在一些实施例中,如图2所示,上述步骤A400根据应用列表,危险权限信息获得检测结果,具体包括如下步骤:
步骤A410:基于待检测对象,获得应用信息;
步骤A420:基于应用信息,在应用列表中查找所述待检测对象;
步骤A430:若找到,根据所述应用列表获得检测结果;
步骤A440:否则,依次获得所述危险权限信息中的每一个危险权限对应的风险权重;累计所述风险权重,获得累计值;基于所述累计值和设定的风险阈值,获得所述检测结果。
具体的,Android系统下,可以通过调用PackageManager包管理模块提供的getInstalledPackages安装包信息获取接口,获取当前移动终端中用于记录所有已安装应用信息的应用安装列表信息。其中,应用安装列表信息包括至少以下信息:应用名称信息、应用安装包名信息、应用的安装包存储路径信息、应用版本号信息、应用版本名称信息等。
获取待检测对象的应用信息后,根据应用信息中的包名、应用签名值在应用列表中查找待检测对象。由于应用列表中保存了各个应用及其应用的检测结果。因此,若在应用列表(例如应用黑名单)中查找匹配到待检测对象,可以直接从应用列表中的信息获取到检测结果。
若是在应用列表中未找到待检测应用,则说明待检测应用可能是新的应用或者是危险软件的变种等,则进一步通过获取到的危险权限信息,累计危险权限信息中的风险权重,若风险权重超过设定的安全阈值,则设定待检测应用的检测结果为危险应用。
在一些实施例中,如图3所示,上述步骤A200获取已获得检测结果的应用列表,具体包括如下步骤:
步骤A210:获取系统应用,将系统应用的检测结果设为安全级别并保存至应用列表;
具体的,在对应用进行扫描时,移动终端的系统也会枚举出来各种系统应用,并作为待检测对象要求检测。而这些系统应用是不需要进行检测判断的。因此,可以首先通过枚举移动终端运行的系统应用程序或者读取预设的系统应用列表,获得系统应用,并将这些系统应用的检测结果设置为安全级别,保存在应用列表中。
步骤A220:基于用户设定的白名单应用,获得应用信息并保存至应用列表;
步骤A230:基于服务器设定的黑名单和/或白名单,获得应用信息并保存至应用列表;
步骤A240:输出应用列表。
具体的,用户设定的白名单应用中保存的是检测结果为安全等级的应用,服务器设定的黑名单中保存的是检测结果为危险等级的应用,服务器设定的白名单中保存的是检测结果为安全等级的应用。因此,可以直接将上述名单中的各个应用及其检测结果加入至应用列表。
在一些实施例中,如图4所示,上述步骤A300获得危险权限信息,具体包括如下步骤:
步骤A310:获取预设的危险权限列表;
步骤A320:依次获取待检测对象的权限清单、待检测对象注册的所有服务和接收器的权限清单中的每一个权限,若在危险权限列表中找到该权限,根据危险权限列表将该权限以及该权限对应的风险权重保存至危险权限信息。
具体的,首先读取预设的危险权限列表,该危险权限列表中保存了危险权限的明细以及各危险权限对应的风险权重。危险权限以及对应风险权重的设定规则不限,较佳地,可以参考谷歌发布的权限清单来设定。具体如根据Google公布的权限危险等级来设定风险权重,正常权限赋予风险权重为3,危险权限赋予风险权重为7。签名权限或系统权限的风险权重为5。
通过读取待检测对象的权限清单,逐一获取到待检测对象获取的每个权限,将该权限与危险权限列表匹配,若该权限位于危险权限列表中,则在危险权限列表中获取到该权限对应的风险权重,将该权限以及该权限对应的风险权重保存至危险权限信息。
例如:在Android系统中,应用程序在AndroidManifest.xml文档中使用<uses-permission>赋予权限,用PackageManager提供的API来获得应用程序权限,此API会将package名称与PackageManager.GET_PERMISSIOMS赋给getPackageManager().getPackageInfo()再指给PackageInfo,然后调用requestedPermissions将权限解析出来。
由于辅助功能、通知访问、设备管理等高风险且特殊的权限,一般在应用的权限清单中无法找到,需要获取应用注册的服务、接收器,然后查找这些服务、接收器声明的权限,从而更加准确地判定该应用是否存在特殊权限。
具体的,获取每一项注册的服务信息和接收器信息,依次根据服务信息或接收器信息声明的应用清单中的权限,与危险权限列表中的权限相匹配,若该权限存在于危险权限列表中,则将该权限以及该权限对应的风险权重保存至危险权限信息。
在一些实施例中,如图5所示,上述步骤A440中获得检测结果后,还包括如下步骤:
步骤A441:基于待检测对象,获得应用信息;
步骤A442:基于应用信息,若在设定的应用市场中找到待检测对象,更新检测结果为降低风险等级后的检测结果;
步骤A443:将应用信息和安装包文件保存至服务器。
具体的,调用移动终端系统接口,获取到待检测对象的应用信息。该应用信息包括:应用程序的包名、应用程序的路径、应用程序的签名等。根据应用程序的包名依次在设定的应用市场中查找待检测对象,若在应用市场中找到,则更新检测结果。如检测结果为危险级别则设置为警告级别。然后将应用程序的包名和签名、检测结果传输至服务器。需要说明的是,可以设定查找一个应用市场,也可以同时查找多个应用市场,根据出现的频次进一步设置是否降低待检测对象的风险等级。
由上可知,若是后台数据还不够完善,容易造成遗漏或误判。为了纠正误判,本发明对于根据危险权限判定为危险应用的待检测对象再进行一次筛选,即通过访问各应用市场(如google Play、应用宝等),由于这些市场中上架的应用都有严格的审批,如果待检测对象在某个应用市场中上架了,就设定待检测对象为警告应用,将待检测对象的应用信息和安装包上传至后台服务器,进行更专业的人工审核,从而完善服务器的已获得检测结果的应用列表名单。
在本实施例中,将本发明的检测方法部署在监控APP中,第一次运行时,可以先对移动终端系统中的每一个应用进行扫描,获得应用检测结果;然后再遍历根目录下每个文件,获取文件信息,获得文件检测结果,直至所有的应用和文件均扫描完成。
示例性设备
如图6所示,对应于上述移动终端应用和文件的风险检测方法,本发明实施例还提供一种移动终端应用和文件的风险检测装置,上述移动终端应用和文件的风险检测装置包括:
类型获取模块600,用于基于预设的类型参数,获取待检测对象对应的类型集;
应用类检测模块610,用于获取已获得检测结果的应用列表,基于所述待检测对象,获得危险权限信息,依次根据所述应用列表、所述危险权限信息,获得所述待检测对象的检测结果;
文件类检测模块620,用于获取待检测对象的文件内容,基于所述文件内容,生成特征值,获取黑名单文件列表,所述黑名单文件为检测结果为危险级别的文件,基于所述特征值,若在所述黑名单文件列表中找到所述待检测对象,设定所述检测结果为危险级别,否则设定所述检测结果为安全级别;
输出模块630,用于输出所述检测结果。
具体的,本实施例中,上述移动终端应用和文件的风险检测装置的各模块的具体功能可以参照上述移动终端应用和文件的风险检测方法中的对应描述,在此不再赘述。
基于上述实施例,本发明还提供了一种智能终端,其原理框图可以如图7所示。上述智能终端包括通过系统总线连接的处理器、存储器、网络接口以及显示屏。其中,该智能终端的处理器用于提供计算和控制能力。该智能终端的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和移动终端应用和文件的风险检测程序。该内存储器为非易失性存储介质中的操作系统和移动终端应用和文件的风险检测程序的运行提供环境。该智能终端的网络接口用于与外部的终端通过网络连接通信。该移动终端应用和文件的风险检测程序被处理器执行时实现上述任意一种移动终端应用和文件的风险检测方法的步骤。该智能终端的显示屏可以是液晶显示屏或者电子墨水显示屏。
本领域技术人员可以理解,图7中示出的原理框图,仅仅是与本发明方案相关的部分结构的框图,并不构成对本发明方案所应用于其上的智能终端的限定,具体的智能终端可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种智能终端,上述智能终端包括存储器、处理器以及存储在上述存储器上并可在上述处理器上运行的移动终端应用和文件的风险检测程序,上述移动终端应用和文件的风险检测程序被上述处理器执行时进行以下操作指令:
基于预设的类型参数,获取待检测对象对应的类型集;
若所述类型集包括应用类:
获取已获得检测结果的应用列表;
基于所述待检测对象,获得危险权限信息;
依次根据所述应用列表、所述危险权限信息,获得检测结果;
若所述类型集包括文件类:
获取待检测对象的文件内容;
基于所述文件内容,生成特征值;
获取黑名单文件列表,所述黑名单文件为检测结果为危险级别的文件;
基于所述特征值,若在所述黑名单文件列表中找到所述待检测对象,设定检测结果为危险级别,否则设定检测结果为安全级别;
输出所述检测结果。
可选的,所述依次根据所述应用列表,所述危险权限信息,获得所述待检测对象的检测结果,包括:
基于所述待检测对象,获得应用信息;
基于所述应用信息,在所述应用列表中查找所述待检测对象;
若找到,根据所述应用列表获得所述检测结果;
否则,
依次获得所述危险权限信息中的每一个危险权限对应的风险权重;
累计所述风险权重,获得累计值;
基于所述累计值和设定的风险阈值,获得所述检测结果。
可选的,所述基于所述累计值和设定的风险阈值,获得所述检测结果后,还包括:
基于所述待检测对象,获得应用信息;
基于所述应用信息,若在设定的应用市场中找到所述待检测对象,更新所述检测结果为降低风险等级后的检测结果;
将所述应用信息和所述检测结果保存至服务器。
可选的,若所述待检测对象为安装包文件,设定所述类别包含应用类和文件类,以依次进行应用检测和文件检测。
可选的,所述获取已获得检测结果的应用列表,包括:
获取系统应用,将所述系统应用的检测结果设为安全级别并保存至所述应用列表;
基于用户设定的白名单应用,获得应用信息并保存至所述应用列表;
基于服务器设定的黑名单和/或白名单,获得应用信息并保存至所述应用列表;
输出所述应用列表。
可选的,所述获取待检测对象的文件内容,包括:
获取所述待检测对象的文件大小;
若所述文件大小超过设定阈值,根据预定规则采样获取所述待检测对象的文件内容,否则获取所述待检测对象的全部文件内容。
可选的,所述基于所述待检测对象,获得危险权限信息,包括:
获取预设的危险权限列表;
枚举所述待检测对象的权限清单、所述待检测对象注册的所有服务和接收器的权限清单,获得权限列表;
依次获取所述权限列表中的权限,若在危险权限列表中找到该权限,将该权限保存至所述危险权限信息。
本发明实施例还提供一种计算机可读存储介质,上述计算机可读存储介质上存储有移动终端应用和文件的风险检测程序,上述移动终端应用和文件的风险检测程序被处理器执行时实现本发明实施例提供的任意一种移动终端应用和文件的风险检测方法的步骤。
应理解,上述实施例中各步骤的序号大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将上述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各实例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟是以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,上述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以由另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
上述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,上述计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,上述计算机程序包括计算机程序代码,上述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。上述计算机可读介质可以包括:能够携带上述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,上述计算机可读存储介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解;其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不是相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.移动终端应用和文件的风险检测方法,其特征在于,所述方法包括:
基于预设的类型参数,获取待检测对象对应的类型集;
若所述类型集包括应用类:
获取已获得检测结果的应用列表;
基于所述待检测对象,获得危险权限信息;
依次根据所述应用列表、所述危险权限信息,获得检测结果;
若所述类型集包括文件类:
获取待检测对象的文件内容;
基于所述文件内容,生成特征值;
获取黑名单文件列表,所述黑名单文件为检测结果为危险级别的文件;
基于所述特征值,若在所述黑名单文件列表中找到所述待检测对象,设定检测结果为危险级别,否则设定检测结果为安全级别;
输出所述检测结果。
2.如权利要求1所述的移动终端应用和文件的风险检测方法,其特征在于,所述依次根据所述应用列表,所述危险权限信息,获得所述待检测对象的检测结果,包括:
基于所述待检测对象,获得应用信息;
基于所述应用信息,在所述应用列表中查找所述待检测对象;
若找到,根据所述应用列表获得所述检测结果;
否则,
依次获得所述危险权限信息中的每一个危险权限对应的风险权重;
累计所述风险权重,获得累计值;
基于所述累计值和设定的风险阈值,获得所述检测结果。
3.如权利要求2所述的移动终端应用和文件的风险检测方法,其特征在于,所述基于所述累计值和设定的风险阈值,获得所述检测结果后,还包括:
基于所述待检测对象,获得应用信息;
基于所述应用信息,若在设定的应用市场中找到所述待检测对象,更新所述检测结果为降低风险等级后的检测结果;
将所述应用信息和所述检测结果保存至服务器。
4.如权利要求1所述的移动终端应用和文件的风险检测方法,其特征在于,若所述待检测对象为安装包文件,设定所述类型集包括应用类和文件类,以对所述待检测对象进行递进检测。
5.如权利要求1所述的移动终端应用和文件的风险检测方法,其特征在于,所述获取已获得检测结果的应用列表,包括:
获取系统应用,将所述系统应用的检测结果设为安全级别并保存至所述应用列表;
基于用户设定的白名单应用,获得应用信息并保存至所述应用列表;
基于服务器设定的黑名单和/或白名单,获得应用信息并保存至所述应用列表;
输出所述应用列表。
6.如权利要求1所述的移动终端应用和文件的风险检测方法,其特征在于,所述获取待检测对象的文件内容,包括:
获取所述待检测对象的文件大小;
若所述文件大小超过设定阈值,根据预定规则采样获取所述待检测对象的文件内容,否则获取所述待检测对象的全部文件内容。
7.如权利要求1所述的移动终端应用和文件的风险检测方法,其特征在于,所述基于所述待检测对象,获得危险权限信息,包括:
获取预设的危险权限列表;
枚举所述待检测对象的权限清单、所述待检测对象注册的所有服务和接收器的权限清单,获得权限列表;
依次获取所述权限列表中的权限,若在危险权限列表中找到该权限,将该权限保存至所述危险权限信息。
8.移动终端应用和文件的风险检测装置,其特征在于,所述装置包括:
类型获取模块,用于基于预设的类型参数,获取待检测对象对应的类型集;
应用类检测模块,用于获取已获得检测结果的应用列表,基于所述待检测对象,获得危险权限信息,依次根据所述应用列表、所述危险权限信息,获得所述待检测对象的检测结果;
文件类检测模块,用于获取待检测对象的文件内容,基于所述文件内容,生成特征值,获取黑名单文件列表,所述黑名单文件为检测结果为危险级别的文件,基于所述特征值,若在所述黑名单文件列表中找到所述待检测对象,设定所述检测结果为危险级别,否则设定所述检测结果为安全级别;
输出模块,用于输出所述检测结果。
9.智能终端,其特征在于,所述智能终端包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的移动终端应用和文件的风险检测程序,所述移动终端应用和文件的风险检测程序被所述处理器执行时实现如权利要求1-7任意一项所述移动终端应用和文件的风险检测方法的步骤。
10.计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有移动终端应用和文件的风险检测程序,所述移动终端应用和文件的风险检测程序被处理器执行时实现如权利要求1-7任意一项所述移动终端应用和文件的风险检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210493288.5A CN114861179A (zh) | 2022-05-07 | 2022-05-07 | 移动终端应用和文件的风险检测方法、装置、终端及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210493288.5A CN114861179A (zh) | 2022-05-07 | 2022-05-07 | 移动终端应用和文件的风险检测方法、装置、终端及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114861179A true CN114861179A (zh) | 2022-08-05 |
Family
ID=82635357
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210493288.5A Pending CN114861179A (zh) | 2022-05-07 | 2022-05-07 | 移动终端应用和文件的风险检测方法、装置、终端及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114861179A (zh) |
-
2022
- 2022-05-07 CN CN202210493288.5A patent/CN114861179A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11570211B1 (en) | Detection of phishing attacks using similarity analysis | |
US10430586B1 (en) | Methods of identifying heap spray attacks using memory anomaly detection | |
KR101724307B1 (ko) | 악성코드를 검출하는 방법 및 시스템 | |
US8806641B1 (en) | Systems and methods for detecting malware variants | |
EP2788912B1 (en) | Predictive heap overflow protection | |
US9965630B2 (en) | Method and apparatus for anti-virus scanning of file system | |
CN110383278A (zh) | 用于检测恶意计算事件的系统和方法 | |
CN111460445A (zh) | 样本程序恶意程度自动识别方法及装置 | |
CN110830986A (zh) | 一种物联网卡异常行为检测方法、装置、设备及存储介质 | |
CN116303290B (zh) | 一种office文档检测方法及装置、设备及介质 | |
CN114866296B (zh) | 入侵检测方法、装置、设备及可读存储介质 | |
CN117579395B (zh) | 一种应用人工智能进行网络安全漏洞扫描的方法及系统 | |
CN109547427B (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
CN113378161A (zh) | 一种安全检测方法、装置、设备及存储介质 | |
CN116305129B (zh) | 一种基于vsto的文档检测方法及装置、设备及介质 | |
EP3758330A1 (en) | System and method of determining a trust level of a file | |
KR101473658B1 (ko) | 필터를 이용한 클라우드 기반 악성코드 진단장치, 시스템 및 방법 | |
CN112035831A (zh) | 一种数据处理方法、装置、服务器及存储介质 | |
CN114861179A (zh) | 移动终端应用和文件的风险检测方法、装置、终端及介质 | |
CN115544503A (zh) | 一种无文件攻击检测方法、装置、设备及存储介质 | |
US11275836B2 (en) | System and method of determining a trust level of a file | |
CN112948831A (zh) | 应用程序风险识别的方法和装置 | |
CN113849813A (zh) | 数据检测方法、装置、电子设备及存储介质 | |
CN116305291B (zh) | 一种office文档安全存储方法及装置、设备及介质 | |
CN117609995A (zh) | 工业控制系统安全防护方法、装置、终端设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |