CN116049820A - 流氓应用检测方法、电子设备及通信系统 - Google Patents
流氓应用检测方法、电子设备及通信系统 Download PDFInfo
- Publication number
- CN116049820A CN116049820A CN202210970228.8A CN202210970228A CN116049820A CN 116049820 A CN116049820 A CN 116049820A CN 202210970228 A CN202210970228 A CN 202210970228A CN 116049820 A CN116049820 A CN 116049820A
- Authority
- CN
- China
- Prior art keywords
- application
- rogue
- behavior
- data
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请提供了一种流氓应用检测方法、电子设备及通信系统,在该方法中,电子设备中预置有用于识别流氓应用的初始规则,电子设备采集应用的行为数据,并将该行为数据上报至服务器,服务器基于大量电子设备上报的行为数据来更新检测规则,并将更新后的检测规则下发至电子设备,使得电子设备基于更新后的检测规则来识别流氓应用。
Description
技术领域
本申请涉及终端领域,尤其涉及一种流氓应用检测方法、电子设备及通信系统。
背景技术
在电子设备中安装有流氓应用的情况下,流氓应用会恶意收集电子设备中存储的用户信息,以及使电子设备输出广告等信息,从而侵害用户的合法权益,极大影响用户体验。然而,由于流氓应用具备隐秘性,即伪装成用户常用的其他应用,或者捆绑在其他应用中,或者隐藏自己的应用图标、名称等,导致用户难以发现并卸载,从而给电子设备带了来潜在的安全风险。
如何解决上述技术问题,即如何检测到流氓应用以实施对应管控措施,则是亟待解决的问题。
发明内容
本申请提供了一种流氓应用检测方法、电子设备及通信系统,在该方法中,电子设备中预置有用于识别流氓应用的初始规则,电子设备采集应用的行为数据,并将该行为数据上报至服务器,服务器基于大量电子设备上报的行为数据来更新检测规则,并将更新后的检测规则下发至电子设备,使得电子设备基于更新后的检测规则来识别流氓应用。
第一方面,本申请提供了一种流氓应用检测方法,该方法应用于包含一个或多个第一设备、第二设备和服务器的通信系统,该方法包括:该一个或多个第一设备向该服务器发送第一行为数据,该第一行为数据为该第一设备中应用的行为数据;该服务器基于该第一行为数据更新初始检测规则,得到第一检测规则,并将该第一检测规则下发至该第二设备;该第二设备采集第一应用的行为数据;该第二设备基于该第一应用的行为数据,使用该第一检测规则识别该第一应用是否为流氓应用;在该第一应用为流氓应用的情况下,该第二设备输出提示信息,和/或,对该第一应用实施管控措施,该提示信息用于提示该第一应用为流氓应用。
实施第一方面提供的方法后,第二设备可以采用服务器实时更新后下发的最新的检测规则对采集到的应用的行为数据进行检测,以识别到流氓应用,从而达到及时提示用户或者对流氓应用实施管控措施的目的,避免用户长时间收到流氓软件的骚扰。
结合第一方面提供的方法,该第一检测规则包括以下任意一项或多项:流氓行为规则库、白名单或黑名单;其中,该流氓行为规则库包含一个或多个流氓行为,该白名单包含一个或多个应用,该黑名单包括一个或多个应用;在该第一应用的行为数据对应的行为包含在该流氓行为中的情况下,该第一应用为流氓应用;或者,在该第一应用的行为数据对应的行为包含在该流氓行为中,并且,该白名单不包括该第一应用的情况下,该第一应用为流氓应用;或者,在该黑名单包括该第一应用的情况下,该第一应用为流氓应用。
这样,第一设备可以采用多种方式来检测流氓应用,提高流氓用于检测可实时性,具体的,当采用流氓行为规则库和白名单应用进行检测时,由于非流氓应用也具有流氓应用所具有的部分行为数据(例如在锁屏界面弹出通知),因此为了避免仅根据流氓行为库检测时出现检测错误即出现将正常应用判定为流氓应用的情况,也避免对安全应用的行为数据进行复杂的分析,因此将安全应用纳入的白名单应用中,既可以减少误检测的情况,又简化了检测机制,提高流氓应用检测效率。当采用流氓行为规则库和黑名单应用检测规则时,由于一些流氓应用比较“收敛”,即流氓行为比较隐蔽或者执行流氓行为的频次和种类较少时,仅根据流氓行为库检测时出现漏检测的情况,并且当新出现的流氓应用还未在网络空间中大肆进行流氓行为时,服务器根据第一设备上报的应用数据还无法分析出新的流氓行为,没能及时更新流氓行为库,则可能导致第二设备漏检测出新出现的流氓应用。因此,将这类“收敛”的流氓应用和新出现的流氓应用及时的纳入黑名单应用中,既可以减少漏检测的情况,又简化了检测机制,提高流氓应用检测效率。
结合第一方面提供的方法,该通信系统还包括:一个或多个第三设备、第四设备;该方法还包括:该一个或多个第三设备向该服务器发送第二行为数据,该第二行为数据为该第三设备中应用的行为数据;该服务器基于该第三行为数据更新该初始检测规则,得到第二检测规则,并将该第二检测规则下发至该第四设备;该第四设备采集第三应用的行为数据;该第四设备基于该第三应用的行为数据,使用该第二检测规则识别该第三应用是否为流氓应用;在该第三应用为流氓应用的情况下,该第四设备输出提示信息,和/或,对该第三应用实施该管控措施,该提示信息用于提示该第三应用为流氓应用;其中,该第一设备和该第二设备的以下任意一项或多项信息相同:所在区域,设备型号、设备类型,所属用户的年龄段;该第三设备和该第四设备的以下任意一项或多项信息相同:所在区域,设备型号、设备类型,所属用户的年龄段;该第二设备和第四设备的以下任意一项或多项信息不同:所在区域,设备型号、设备类型,所属用户的年龄段。
这样,服务器基于不同区域、不同型号、不同类型或者不同年龄段用户的电子设备上报的行为数据更新得到的检测规则可以是不同的检测规则。当更新后的检测规则为多个不同的检测规则时,则可以将不同检测规则下发至对应的不同地区的电子设备中,或者下发至不同类型、型号的电子设备中,或者下发至不同年龄段的用户的电子设备中。从而将更新的检测规则精准的匹配到对应的电子设备中,使得检测流氓应用的精确度更高。结合第一方面提供的方法,该管控措施包括以下任一项或多项:卸载该第一应用,卸载该第一应用后并且禁止再安装该第一应用,限制该第一应用的权限;或者,将该第一应用上报至该风险管控中心。
这样,可以通过多种管控措施实现对流氓应用的管理,避免用户被流氓应用骚扰。
结合第一方面提供的方法,该第二设备对该第一应用实施管控措施具体包括:该第二设备根据该第一应用的风险等级,对该第一应用实施对应的该管控措施。这样,可以根据流氓应用的风险等级对不同风险等级的流氓应用进行分级管控,从而提高管控精细度,进一步保障用户不会再被已管控的流氓应用骚扰。
结合第一方面提供的方法,针对不同风险等级的流氓应用的该管控措施是该第二设备中存储的初始管控措施,或者,是该服务器更新该初始管控得到的新管控措施后下发至该第二设备中的。
这样,管控措施可以通过服务器来实时更新,从而保证随着流氓应用的更新演进,仍然能够及时对其做出有效的管控措施,从而有效避免用户被流氓应用打扰。
结合第一方面提供的方法,该方法还包括:在该第一应用为流氓应用的情况下,该第二设备根据以下任意一项或多项确定该第一应用的风险等级:该黑名单中记载的该第一应用对应的该风险等级;第一行为在第一时间段内发生的第一次数,该第一次数越多该风险等级越高;或者,发生第一行为之前的第二时间段内发生系统事件的第二次数,该第二次数越多该风险等级越高;其中,该第一行为该第一应用的流氓行为。
这样,可以通过多种计算方式来分析出流氓应用的风险等级,从而使得第二设备能够按照风险等级对流氓应用进行精准的管控。
结合第一方面提供的方法,该第一设备向服务器发送第一行为数据具体包括:该第一设备基于上报规则向该服务器发送该第一行为数据,该上报规则包括以下任一项或多项:应用的类型,行为数据的类型,或上报周期。
这样,可以减少上报冗余数据的情况,从而提高了更新检测规则的效率。
结合第一方面提供的方法,该上报规则为该第一设备中存储的初始上报规则,或者该上报规则为该服务器对该初始管控规则进行更新得到的新上报规则后下发至该第一设备中的。
这样,上报规则可以通过服务器来实时更新,从而保证随着流氓应用的更新演进,仍然能够及时对其上报数据的规则进行更新,从而使得上报的应用的行为数据能够全面反映出流氓应用的行为特征,从而使得服务器能够根据这些行为数据得到更加准确的检测规则。
结合第一方面提供的方法,该第一行为数据包括:应用的动态特征类数据和静态特征类数据;该静态特征类数据包括以下任一项或多项:应用的声明文件、应用安装包的来源、应用开发者所在区域、安装应用的电子设备所在区域;该动态特征类数据包括以下任一项或多项:应用自启动、应用关联启动、应用后台保活、应用在锁屏/桌面弹出广告、通知、应用创建快捷方式、应用隐藏桌面中的应用图标、应用隐藏最近运行记录。
这样,可以通过采集多种应用的行为数据来作为检测流氓应用的数据来源,从而能够通过全面分析以检测出流氓应用,保证检测结果的可靠新。
结合第一方面提供的方法,该第一设备向服务器发送第一行为数据之前,该方法包括:该第一设备根据第一用户操作开启流氓应用检测功能,或者该第一设备默认开启流氓应用检测功能。
结合第一方面提供的方法,该第一设备向服务器发送第一行为数据之前,该方法包括:该第一设备运行第二应用,该第二应用用于提供流氓应用检测功能。
这样,流氓检测功能可以由应用程序提供。
结合第一方面提供的方法,该第二设备为该一个或多个第一设备中的设备,或者,该第二设备不同于该一个或多个第一设备。
这样,用于向服务器上报行为数据的设备和接收服务器下发检测规则的设备可以是同一个设备也可以是不同的设备,这样可以使得即使某个设备之前为上报行为数据但仍然能够接收到服务器下发的最新的检测规则,从而使得该某个设备也能够采用到最新的检测规则及时的检测出流氓应用。
第二方面,本申请提供了一种流氓应用检测方法,该方法应用于一个或多个第一设备,该方法包括:该一个或多个第一设备向服务器发送第一行为数据,该第一行为数据为该第一设备中应用的行为数据;该第一行为数据用于,该服务器基于该第一行为数据更新初始检测规则,得到第一检测规则,并将该第一检测规则下发至第二设备;该第一检测规则用于,该第二设备基于采集到的第一应用的行为数据,使用该第一检测规则识别该第一应用是否为流氓应用;在该第一应用为流氓应用的情况下,使得该第二设备输出提示信息,和/或,对该第一应用实施管控措施,该提示信息用于提示该第一应用为流氓应用。
结合第二方面提供的方法,该第一检测规则包括以下任意一项或多项:流氓行为规则库、白名单或黑名单;其中,该流氓行为规则库包含一个或多个流氓行为,该白名单包含一个或多个应用,该黑名单包括一个或多个应用;在该第一应用的行为数据对应的行为包含在该流氓行为中的情况下,该第一应用为流氓应用;或者,在该第一应用的行为数据对应的行为包含在该流氓行为中,并且,该白名单不包括该第一应用的情况下,该第一应用为流氓应用;或者,在该黑名单包括该第一应用的情况下,该第一应用为流氓应用。
结合第二方面提供的方法,该管控措施包括以下任一项或多项:卸载该第一应用,卸载该第一应用后并且禁止再安装该第一应用,限制该第一应用的权限;或者,将该第一应用上报至该风险管控中心。
结合第二方面提供的方法,该管控措施具体包括:根据该第一应用的风险等级,对该第一应用实施对应的该管控措施。
结合第二方面提供的方法,针对不同风险等级的流氓应用的该管控措施是该第二设备中存储的初始管控措施,或者,是该服务器更新该初始管控得到的新管控措施后下发至该第二设备中的。
结合第二方面提供的方法,该第一设备向服务器发送第一行为数据具体包括:该第一设备基于上报规则向该服务器发送该第一行为数据,该上报规则包括以下任一项或多项:应用的类型,行为数据的类型,或上报周期。
结合第二方面提供的方法,该上报规则为该第一设备中存储的初始上报规则,或者该上报规则为该服务器对该初始管控规则进行更新得到的新上报规则后下发至该第一设备中的。
结合第二方面提供的方法,该第一行为数据包括:应用的动态特征类数据和静态特征类数据;该静态特征类数据包括以下任一项或多项:应用的声明文件、应用安装包的来源、应用开发者所在区域、安装应用的电子设备所在区域;该动态特征类数据包括以下任一项或多项:应用自启动、应用关联启动、应用后台保活、应用在锁屏/桌面弹出广告、通知、应用创建快捷方式、应用隐藏桌面中的应用图标、应用隐藏最近运行记录。
结合第二方面提供的方法,该第一设备向服务器发送第一行为数据之前,该方法包括:该第一设备根据第一用户操作开启流氓应用检测功能,或者该第一设备默认开启流氓应用检测功能。
结合第二方面提供的方法,该第一设备向服务器发送第一行为数据之前,该方法包括:该第一设备运行第二应用,该第二应用用于提供流氓应用检测功能。
结合第二方面提供的方法,该第二设备为该一个或多个第一设备中的设备,或者,该第二设备不同于该一个或多个第一设备。
第三方面,本申请提供了一种流氓应用检测方法,该方法应用于第二设备,该方法包括:该第二设备采集第一应用的行为数据;该第二设备基于该第一应用的行为数据,使用第一检测规则识别该第一应用是否为流氓应用;其中,该第一检测规则为,服务器基于一个或多个第一设备发送的第一行为数据更新初始检测规则得到并下发至该第二设备中的,该第一行为数据为该第一设备中应用的行为数据;在该第一应用为流氓应用的情况下,该第二设备输出提示信息,和/或,对该第一应用实施管控措施,该提示信息用于提示该第一应用为流氓应用。
结合第三方面提供的方法,该第一检测规则包括以下任意一项或多项:流氓行为规则库、白名单或黑名单;其中,该流氓行为规则库包含一个或多个流氓行为,该白名单包含一个或多个应用,该黑名单包括一个或多个应用;在该第一应用的行为数据对应的行为包含在该流氓行为中的情况下,该第一应用为流氓应用;或者,在该第一应用的行为数据对应的行为包含在该流氓行为中,并且,该白名单不包括该第一应用的情况下,该第一应用为流氓应用;或者,在该黑名单包括该第一应用的情况下,该第一应用为流氓应用。
结合第三方面提供的方法,该管控措施包括以下任一项或多项:卸载该第一应用,卸载该第一应用后并且禁止再安装该第一应用,限制该第一应用的权限;或者,将该第一应用上报至该风险管控中心。
结合第三方面提供的方法,该第二设备对该第一应用实施管控措施具体包括:该第二设备根据该第一应用的风险等级,对该第一应用实施对应的该管控措施。
结合第三方面提供的方法,针对不同风险等级的流氓应用的该管控措施是该第二设备中存储的初始管控措施,或者,是该服务器更新该初始管控得到的新管控措施后下发至该第二设备中的。
结合第三方面提供的方法,该方法还包括:在该第一应用为流氓应用的情况下,该第二设备根据以下任意一项或多项确定该第一应用的风险等级:该黑名单中记载的该第一应用对应的该风险等级;第一行为在第一时间段内发生的第一次数,该第一次数越多该风险等级越高;或者,发生第一行为之前的第二时间段内发生系统事件的第二次数相关,该第二次数越多该风险等级越高;其中,该第一行为该第一应用的流氓行为。
结合第三方面提供的方法,该第一行为数据具体为,该第一设备基于上报规则向该服务器发送该第一行为数据,该上报规则包括以下任一项或多项:应用的类型,行为数据的类型,或上报周期。
结合第三方面提供的方法,该上报规则为该第一设备中存储的初始上报规则,或者该上报规则为该服务器对该初始管控规则进行更新得到的新上报规则后下发至该第一设备中的。
结合第三方面提供的方法,该第一行为数据包括:应用的动态特征类数据和静态特征类数据;该静态特征类数据包括以下任一项或多项:应用的声明文件、应用安装包的来源、应用开发者所在区域、安装应用的电子设备所在区域;该动态特征类数据包括以下任一项或多项:应用自启动、应用关联启动、应用后台保活、应用在锁屏/桌面弹出广告、通知、应用创建快捷方式、应用隐藏桌面中的应用图标、应用隐藏最近运行记录。
结合第三方面提供的方法,该第二设备为该一个或多个第一设备中的设备,或者,该第二设备不同于该一个或多个第一设备。
第四方面,本申请提供了一种流氓应用检测方法,该方法应用于服务器,该方法包括:该服务器接收一个或多个第一设备发送的第一行为数据,该第一行为数据为该第一设备中应用的行为数据;该服务器基于该第一行为数据更新初始检测规则,得到第一检测规则,并将该第一检测规则下发至该第二设备;该第一检测规则用于,该第二设备基于采集到的第一应用的行为数据,使用该第一检测规则识别该第一应用是否为流氓应用;在该第一应用为流氓应用的情况下,使得该第二设备输出提示信息,和/或,对该第一应用实施管控措施,该提示信息用于提示该第一应用为流氓应用。
结合第四方面提供的方法,该第一检测规则包括以下任意一项或多项:流氓行为规则库、白名单或黑名单;其中,该流氓行为规则库包含一个或多个流氓行为,该白名单包含一个或多个应用,该黑名单包括一个或多个应用;在该第一应用的行为数据对应的行为包含在该流氓行为中的情况下,该第一应用为流氓应用;或者,在该第一应用的行为数据对应的行为包含在该流氓行为中,并且,该白名单不包括该第一应用的情况下,该第一应用为流氓应用;或者,在该黑名单包括该第一应用的情况下,该第一应用为流氓应用。
结合第四方面提供的方法,该方法还包括:该服务器接收一个或多个第三设备发送的第二行为数据,该第二行为数据为该第三设备中应用的行为数据;该服务器基于该第三行为数据更新该初始检测规则,得到第二检测规则,并将该第二检测规则下发至该第四设备;该第一检测规则用于,该第四设备基于采集到的第一应用的行为数据,使用该第一检测规则识别该第一应用是否为流氓应用;在该第一应用为流氓应用的情况下,使得该第四设备输出提示信息,和/或,对该第一应用实施该管控措施,该提示信息用于提示该第一应用为流氓应用;其中,该第一设备和该第二设备的以下任意一项或多项信息相同:所在区域,设备型号、设备类型,所属用户的年龄段;该第三设备和该第四设备的以下任意一项或多项信息相同:所在区域,设备型号、设备类型,所属用户的年龄段;该第二设备和第四设备的以下任意一项或多项信息不同:所在区域,设备型号、设备类型,所属用户的年龄段。
结合第四方面提供的方法,该管控措施包括以下任一项或多项:卸载该第一应用,卸载该第一应用后并且禁止再安装该第一应用,限制该第一应用的权限;或者,将该第一应用上报至该风险管控中心。
结合第四方面提供的方法,该管控措施具体包括:根据该第一应用的风险等级,对该第一应用实施对应的管控措施。
结合第四方面提供的方法,针对不同风险等级的流氓应用的该管控措施是该第二设备中存储的初始管控措施,或者,是该服务器更新该初始管控得到的新管控措施后下发至该第二设备中的。
结合第四方面提供的方法,该服务器接收一个或多个第一设备发送的第一行为数据具体包括:该服务器接收该第一设备基于上报规则发送的该第一行为数据,该上报规则包括以下任一项或多项:应用的类型,行为数据的类型,或上报周期。
结合第四方面提供的方法,该上报规则为该第一设备中存储的初始上报规则,或者该上报规则为该服务器对该初始管控规则进行更新得到的新上报规则后下发至该第一设备中的。
结合第四方面提供的方法,该第一行为数据包括:应用的动态特征类数据和静态特征类数据;该静态特征类数据包括以下任一项或多项:应用的声明文件、应用安装包的来源、应用开发者所在区域、安装应用的电子设备所在区域;该动态特征类数据包括以下任一项或多项:应用自启动、应用关联启动、应用后台保活、应用在锁屏/桌面弹出广告、通知、应用创建快捷方式、应用隐藏桌面中的应用图标、应用隐藏最近运行记录。
第五方面,本申请提供了一种通信系统,该通信系统包括:一个或多个第一设备、第二设备和服务器;该第一设备用于执行如第二方面中任一项描述的方法,该第二设备用于执行如第三方面中任一项描述的方法,该服务器用于执行如第四方面中任一项描述的方法。
第六方面,本申请提供了一种通信装置,其特征在于,所述通信装置包括一个或多个处理器,一个或多个存储器,和一个或多个显示屏;其中,所述一个或多个存储器与所述一个或多个处理器耦合,所述一个或多个存储器用于存储计算机程序代码,所述计算机程序代码包括计算机指令,当所述一个或多个处理器执行所述计算机指令时,使得所述通信装置执行如第二方面中任一项描述的方法,或者执行如第三方面中任一项描述的方法,或者执行如第四方面中任一项描述的方法。
第七方面,本申请提供了一种芯片,所述芯片应用于通信装置,其特征在于,所述芯片包括一个或多个处理器,所述处理器用于调用计算机指令以使得所述通信装置执行如第二方面中任一项描述的方法,或者执行如第三方面中任一项描述的方法,或者执行如第四方面中任一项描述的方法。
附图说明
图1为本申请实施例提供的一种开启流氓应用检测功能前的用户界面示意图;
图2为本申请实施例提供的一种开启流氓应用检测功能的操作示意图;
图3A-图3E为本申请实施例提供的一组开启流氓应用检测功能后的用户界面示意图;
图4为本申请实施例提供的一种通信系统10示意图;
图5A为本申请实施例提供的一种电子设备100的硬件架构示意图;
图5B为本申请实施例提供的一种电子设备100的软件架构示意图;
图6为本申请实施例提供的一种服务器200的硬件架构示意图;
图7为本申请实施例提供的一种流氓应用检测方法流程图;
图8为本申请实施例提供的一种流氓应用检测架构图。
具体实施方式
下面将结合附图对本申请实施例中的技术方案进行清楚、详尽地描述。其中,在本申请实施例的描述中,除非另有说明,“/”表示或的意思,例如,A/B可以表示A或B;文本中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
以下,术语“第一”、“第二”仅用于描述目的,而不能理解为暗示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征,在本申请实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本申请所描述的实施例可以与其它实施例相结合。
本申请以下实施例中的术语“用户界面(userinterface,UI)”,是应用程序或操作系统与用户之间进行交互和信息交换的介质接口,它实现信息的内部形式与用户可以接受形式之间的转换。用户界面是通过java、可扩展标记语言(extensiblemarkuplanguage,XML)等特定计算机语言编写的源代码,界面源代码在电子设备上经过解析,渲染,最终呈现为用户可以识别的内容。用户界面常用的表现形式是图形用户界面(graphicuserinterface,GUI),是指采用图形方式显示的与计算机操作相关的用户界面。它可以是在电子设备的显示屏中显示的文本、图标、按钮、菜单、选项卡、文本框、对话框、状态栏、导航栏、Widget等可视的界面元素。
在互联网时代,越来越多的用户的受到流氓应用的骚扰。首先,结合图1来详细介绍在对流氓应用进行检测前,流氓应用带给用户的糟糕体验。
参考图1,图1示例性示出一种开启流氓应用检测功能前的用户界面示意图。
图1中的(a)示出了一种流氓应用的安装方式,具体的,流氓应用可以利用广告、推送等方式,在用户易触位置,如“关闭”等按钮中藏入下载链接,一旦用户点击该“关闭”按钮,电子设备后台便开始悄悄下载并安装流氓应用,该流氓应用的名称例如是第一应用。
可以理解的是,流氓应用的下载安装方式不限于图1中的(a)示出的这一种方式,流氓应用还可以通过其他方式被下载安装,例如,流氓应用可以捆绑到其他应用中,当用户下载该应用时,则后台会附带下载已经捆绑的流氓应用;又例如,流氓应用还可以伪装成正常的用户日常所需的软件,并投放在知名的软件下载网站中,进而误导用户在不知情的情况下下载并安装到电子设备上。
图1中的(b)示出了一种流氓应用隐藏、伪装身份的方式。具体的,为了避免被用户发现流氓应用进而被卸载,流氓应用(即第一应用)在应用程序菜单栏中的显示形式可以是112A或者112B。112A是指,流氓应用可以将自己的应用图标、应用名称伪装成用户常用的正常应用程序的图标(例如清理大师的应用图标和名称);112B是指,流氓应用可以将自己的应用图标设置成透明的形式,将自己的应用名称设置为空,便可以在的电子设备中隐身。
可以理解的是,流氓应用的隐藏形式除了图1中的(b)示出隐藏、伪装应用标识、应用名称外,还可以隐藏最近运行记录,进而使得用户从最近应用列表中也无法查询到流氓应用的踪迹。
图1中的(c)和(d)分别示出了流氓应用弹出广告的两种方式。具体的,流氓应用可以控制电子设备在显示锁屏界面时弹出广告,流氓应用可以控制电子设备在显示桌面例如主界面时弹出广告。
可以理解的是,流氓应用除了在桌面、锁屏界面上弹出广告外,还可以在其他应用的界面上弹出广告、并且除了弹出广告外还会弹出通知。流氓应用实现弹出广告、通知的方法包括但不限于以下任意一种或多种:流氓应用通过绑定在系统运行的前台应用中来启动用于显示广告的Activity;或者是流氓应用禁用电子设备的锁屏功能然后启动用于显示广告的Activity,从而伪装成锁屏界面;或者是,流氓应用可以监听系统事件,当监听到特定的系统事件则触发流氓应用弹出广告。
图1仅仅示例性示出流氓应用在被电子设备检测到之前,所表现出强制安装、隐藏身份、弹出广告、通知等部分流氓行为,关于难以卸载、浏览器劫持、恶意捆绑、恶意收集用户信息等流氓行为的示意图暂不一一示出。
为了解决上述技术问题,本申请提供了一种流氓应用检测方法、电子设备及通信系统,在该方法中,电子设备中预置有用于识别流氓应用的初始规则,电子设备采集应用的行为数据,并将该行为数据上报至服务器,服务器基于海量电子设备上报的行为数据来更新检测规则,并将更新后的检测规则下发至电子设备,使得电子设备基于更新后的检测规则来识别流氓应用。
进一步的,在本申请另一些实施例中,当电子设备识别到流氓应用后,可以输出识别结果,识别结果例如可以是存在流氓应用和具体的流氓应用等,从而达到提示用户尽快采取措施的目的。
进一步的,在本申请另一些实施例中,当电子设备识别到流氓应用后,输出识别结果之后或者不输出识别结果,自动对流氓应用实施对应的管控措施,例如卸载流氓应用。
进一步的,在本申请另一些实施例中,电子设备对流氓应用实施的管控措施可以包括一种或多种管控措施,当存在多个管控措施时具体可以根据流氓应用的风险等级来确定对应的管控措施。流氓应用对应的风险等级越高时,则管控措施越严格,例如直接卸载甚至是永久禁止安装;当风险等级较低时,则对应的管控措施较松弛,例如仅禁止输出通知,本申请对此不作限制。
进一步的,服务器基于海量电子设备上报的行为数据更新得到的检测规则可以是一个检测规则,也可以是多个不同的检测规则。当更新后的检测规则为多个不同的检测规则时,则可以将不同检测规则下发至对应的不同地区的电子设备中,或者下发至不同类型、型号的电子设备中,或者下发至不同年龄段的用户的电子设备中。
进一步的,向服务器上报行为数据的电子设备和获取到服务器下发的电子设备可能是同一个电子设备也可能是不同的电子设备。例如,当一段时间内,某一个设备处于关机状态,或者没有安装流氓应用,或者安装的应用没有执行任何行为,则在该一段时间内该某一个设备没有向服务器上报的行为数据,服务器则会在该一段时间内仅根据其他电子设备上报的数据进行分析以得到更新后的检测规则,并仍然将该更新后的检测规则下发至该某一个设备和其他电子设备中。
接下来,介绍本申请涉及的自定义词汇:
流氓应用又称流氓软件、风险应用、危险应用等等,本申请对流氓应用的名称不作限制。流氓应用是指,在未明确提示用户或未经用户许可的情况下,在用户的电子设备中安装运行,从而侵害用户合法权益的应用程序。流氓应用的形式各异,包括但不限于:广告软件、间谍软件、浏览器劫持程序、行为记录软件以及恶意共享软件等,本申请对流氓应用的形式不作具体形式。流氓应用具备的流氓行为包括但不限于以下任意一项或多项:强制安装、隐藏身份、弹出广告、难以卸载、浏览器劫持、恶意捆绑、恶意自启动/关联启动、恶意收集用户信息等流氓行为。
其中,强制安装、隐藏身份、弹出广告等部分流氓行为的介绍具体可以参考前文对图1的描述,关于难以卸载、浏览器劫持、恶意捆绑、恶意自启动/关联启动、恶意收集用户信息等流氓行为的介绍如下:
难以卸载是指,通过常用的卸载常应用的方式无法将其卸载。具体的,通常长按应用图标后,会显示系统提供的“卸载”选项,通过点进“卸载”选项按钮既可以删除对应的应用,但是通过长按流氓应用图标后,除了显示系统提供的“卸载”选项外,还会显示流氓应用自定义的菜单选项如“极速卸载”,该“极速卸载”用于诱骗用户卸载但实际上并不会真正的卸载应用。或者,流氓应用还可以设置多个桌面快方式来伪造程应用图标以供用户输入卸载操作,但实际上并未成功卸载应用程序。
浏览器劫持是指,流氓应用未经用户许可修改用户浏览器软件或操作系统的其他相关设置,强制将用户访问的页面导向到的特定网站,从而增加该网站的点击率,使该网站的访问量和身价提高,来达到排挤其他经营者公平竞争的目的,从中牟取利益。
恶意捆绑是指,流氓应用可将自己的安装包捆绑在其他应用程序的安装包或者安装连接中,当用户下载该其他应用时则附带的也下载并安装了流氓应用。
恶意自启动/关联启动是指,流氓应用在后台运行时自启动Activity/在运行其他应用时拉起流氓应用的Activity。
恶意收集用户信息是指,为经用户的授权,获取用户的隐私信息,包括但不限于用户的浏览记录、相册、通信记录、购物记录、定位等信息。
应用的行为数据是指应用所具备的可能用于执行流氓行为的相关数据,该行为数据具体是根据流氓应用执行流氓行为时生成的相关数据而确定的。
应用的行为数据可分为两大类,即应用的静态特征类的数据和动态特征类的数据。静态特征为应用的安装信息包括但不限于:用于指示应用图标、应用名称的信息、应用声明文件和应用安装包来源、应用开发者所在区域或安装应用的电子设备所在区域等。动态特征为应用的运行数据,包括但不限于:用于指示应用弹出广告、通知,以及自启动、关联启动的数据等。静态特征可用于检测应用是否具备隐藏、伪装身份和假卸载的流氓行为,动态特征可用于检测应用是否具有恶意弹出广告、通知的流氓行为,以及用于检测应用是否具有浏览器劫持、恶意自启动管理启动等流氓行为。
检测规则是指用于根据应用的行为数据判别该应用是否为流氓应用的规则。检测规则可根据以下任意一种或多种来检测:流氓行为规则库、白名单应用或黑名单应用。
流氓行为规则库包括多种流氓行为,当某个应用的行为数据匹配其中的一种或多种流氓行为时,则认为该应用为流氓应用。
白名单应用包括:非流氓应用即安全应用的标识,当某个应用的标识包含在白名单应用内时,则认为该应用不是流氓应用。
黑名单应用包括:流氓应用的标识,当某个应用的标识包含在黑名单应用内时,则认为该应用是流氓应用。白名单应用和黑名单应用中包含的应用标识不同。值得注意的是,在根据检测规则判定应用是否为流氓应用时,白名单应用的检测规则和黑名单应用的检测规则的优先级高于流氓行为规则库。
在本申请中,检测规则包括初始检测规则和更新后的检测规则,具体释义如下:
初始检测规则是指开发人员预置在电子设备中的规则,该规则是通过分析当前网络空间中横行的流氓软件的现有的流氓行为而定义的一套检测规则。
例如,当前网络空间中的流氓软件隐藏、伪装身份的流氓行为发生频率极高,因此该初始检测规则中的初始流氓行为库中可以包括隐藏、伪装身份,隐藏最近运行记录这一行为(这里的隐藏和伪装指针对用户来说,用户不可见应用图标、应用名称,以及在最近运行列表中不可见该运行记录,电子设备系统仍然能够获取到应用的运行记录以及身份等信息);又例如,当前网络空间中的绝大多数第三方的清理大师、病毒查杀、WiFi解锁、壁纸主题、铃声主题类应用都具备多项流氓行为,因此该初始检测规则中的初始黑名单中包括上述应用;又例如,电子设备的系统应用、以及第三方的办公软件、网上银行类应用都是安全的用于为用户提供正常服务的应用,因此该初始检测规则中的初始白名单中包括上述应用。
更新后的检测规则是指,为了克服在后续电子设备采用初始检测规则进行流氓应用检测过程中出现检测错误问题,而对初始检测规则或者上一次更新的检测规则进行改进而得到的规则。
具体的,由于流氓应用具有差异性和变化性,差异性是指流氓应用在不同人群(老年人群、青少年人群)、不同地区的电子设备中表现出的流氓行为不同,变化性是指,流氓应用为了避免被发现和卸载,流氓行为也会实时更新演进。因此,用于检测流氓应用的规则也应该相应的更新,才能及时的、全面的检测出流氓应用。通常,在服务器更新检测规则时,主要以大数据算法的方法来分析应用行为以更新流氓行为库,以人工分析、维护的方式来更新白名单应用和黑名单应用。
更新检测规则的方法包括:服务器基于海量(多个地区多类人群)的电子设备上报的应用的行为数据,分析各类行为发生的频次、各类行为在每个应用上所发生频次等来重新设定流氓行为规则库、白名单应用或黑名单应用中的任一项或多项。并将更新后的检测规则下发至电子设备。其中服务器更新检测规则可以仅依靠自动化的在线分析,也可以结合人工分析。关于更新检测规则的方法具体可以参考后文方法实施例的详细描述,在此暂不详述。
当有某类行为的发生次数比以往大幅增加(如电子设备关联启动某个应用的行为突增,或者电子设备经常强制导向某个三方网站的行为突增),则该类行为可能是不正常的即可能是新出现的流氓行为,因此可以将该行为添加到新的流氓行为库中;又例如,当某个三方应用涉及到关联启动、自启动行为,但实际上该三方应用为一款安全的应用时,则将其加入到新的白名单应用中;又例如,当某个应用突然具备多项流氓行为时,则将添加到新的黑名单应用中。
实施本申请提供的方法后,可达到以下技术效果:
(1)电子设备采用预置的检测规则对采集到的应用的行为数据进行分析,以识别到电子设备中安装的流氓应用,从而达到提示用户及时采取对应的措施的目的,避免用户长时间收到流氓软件的骚扰。
(2)电子设备采用的检测规则中除了包含流氓行为库外,还包括白名单应用。由于非流氓应用也具有,流氓应用所具有的部分行为数据(例如在锁屏界面弹出通知),因此为了避免仅根据流氓行为库检测时出现检测错误即出现将正常应用判定为流氓应用的情况,也避免对安全应用的行为数据进行复杂的分析,因此将安全应用纳入的白名单应用中,既可以减少误检测的情况,又简化了检测机制,提高流氓应用检测效率。
(3)电子设备采用的检测规则中除了包含流氓行为库外,还包括黑名单应用。由于一些流氓应用比较“收敛”,即流氓行为比较隐蔽或者执行流氓行为的频次和种类较少时,仅根据流氓行为库检测时出现漏检测的情况,并且当新出现的流氓应用还未在网络空间中大肆进行流氓行为时,服务器根据海量电子设备上报的应用数据还无法分析出新的流氓行为,没能及时更新流氓行为库,则可能导致电子设备漏检测出新出现的流氓应用。因此,将这类“收敛”的流氓应用和新出现的流氓应用及时的纳入黑名单应用中,既可以减少漏检测的情况,又简化了检测机制,提高流氓应用检测效率。
(4)电子设备采用的检测规则是实时更新的,也就是说检测规则可以适应于随时更新演进的流氓应用和流氓行为,这样可以及时检测出电子设备端的流氓应用,减少流氓应用漏筛的问题。
接下来结合图2,图3A-图3E所示出的UI实施例,来介绍采用本申请提供的流氓应用检测方法后电子设备所显示的用户界面,该用户界面代表了为用户提供的为安全干净的网络空间。
参考图2,图2示例性示出本申请提供的一种开启流氓应用检测功能的操作示意图。
如图2所示,电子设备显示有第二应用提供的界面,该界面显示有流氓应用检测的选项211A,和,选项211A对应的用于开启流氓应用检测功能的控件211B。
第二应用是指用于提供流氓应用检测功能的应用。第二应用可以是在现有的应用程序中集成流氓应用检测功能的应用程序,也可以是新研发的一个专用于流氓应用检测的独立的应用程序。其中,流氓应用检测功能可以是默认开启的,也可以是如图2所述的用户授权开启的,本申请实施例对此不作限制。
可以理解的是,第二应用可以是电子设备100的系统APP也可以是第三方APP。其中,系统APP是指电子设备的生产商所提供或研发的APP,第三方APP是指非电子设备的生产商所提供或研发的APP。电子设备的生产商可以包括该电子设备的制造商、供应商、提供商或运营商等。当第二应用是集成有流氓应用检测功能的现有应用程序时,该第二应用例如可以是手机管家这类应用程序。手机管家是一款设备安全与管理的应用程序,该应用程序除了包含流氓应用检测功能外还包括但不限于:病毒查杀、骚扰拦截、软件权限管理,手机防盗、安全防护、流量监控、内存清理等智能化功能。其中,流氓应用检测功能具体可以属于安全防护中的一项。
可选的,在电子设备开启第二应用提供的流氓应用检测功能之前,电子设备还可以输出提示信息,该提示信息用于告知用户开启该流氓应用检测功能之后,第二应用会获取电子设备中安装的应用的行为数据,用于识别流氓应用。本申请实施例对该提示信息的输出方式不作限制,一种可能实现的形式为,电子设备可以在图2所示的用户界面中的流氓应用检测的选项211A中显示该提示信息。
参考图3A-图3E,图3A-图3E示例性示出本申请提供的一组开启流氓应用检测功能后的用户示意图。
参考图3A,图3A示例性示出电子设备输出提示信息的用户界面示意图。
如图3A所示,当电子设备开启流氓已检测功能之后,电子设备会采集应用的行为数据,并根据这些行为数据和电子设备中存储的检测规则判断产生这些行为数据的应用是否为流氓应用。当电子设备检测到第一应用为流氓应用时,电子设备则输出提示信息311,用于提示用户检测结果和引导用户对流氓应用实施管控措施。提示信息311可以在电子设备中的任意界面中显示,包括但不限于桌面。提示信息311中包含内容例如有:检测结果即“检测到第一应用为流氓应用”,警示信息“避免带来安全问题请您及时处理”。可选的提示信息311还可以显示用于引导用户管理流氓应用的控件312A和删除流氓应用的控件312B。从而避免在流氓应用隐藏、伪装身份的情况下,用户只知道安装了流氓应用但无法管理、卸载流氓应用。
其中,电子设备存储的检测规则可以是开发人员预置在电子设备中的初始规则,也可以是云端(为电子设备提供流氓检测服务的服务器)下发至电子设备中的实时更新的检测规则。具体的检测过程包括:判断行为数据是否匹配到流氓行为规则库中存储的一项或多项流氓行为,以及根据这些行为数据判断生成这些行为数据的应用是否属于黑名单应用或者白名单应用,当确定第一应用的行为数据匹配到流氓行为规则库中存储的一项或多项流氓行为,或者确定第一应用属于黑名单应用,则认为第一应用为流氓应用;当确定第一应用的行为数据没有匹配到流氓行为规则库中存储的一项或多项流氓行为,或者确定第一应用属于白名单应用,则认为第一应用不是流氓应用。关于流氓应用检测过程的详细描述还可以参考后文的图7-图8所介绍的方法实施例,在此暂不赘述。
图3A仅仅示例性示出输出提示信息这一种检测措施,在本申请另一些实施例中,在电子设备检测到流氓应用之后,可以根据流氓应用的风险等级实施对应的不同等级的管控措施。例如,当检测到的流氓应用的风险等级较高时,则输出提示信息并且引导用户卸载流氓应用,当检测到的流氓应用的风险等级较低时,则无需输出提示信息,电子设备可以实时实施静默管控(禁止锁屏通知等),本申请对检测到流氓应用后电子设备采取的管控措施不作限制,关于管控措施的具体实现方法可以参考后文的方法流程的描述,在此暂不赘述。
参考图3B,图3B示例性示出电子设备根据用户操作卸载流氓应用的操作界面示意图。
如图3B所示,当电子设备输出检测到流氓应用的提示信息311时,若电子设备还检测的作用于提示信息311中的控件312A上的用户操作,响应于该操作,电子设备可以卸载已经检测的流氓应用即第一应用。在卸载第一应用之后,桌面中的应用程序菜单栏中不再显示之前流氓应用的图标和名称,例如不再显示之前图1中的(b)所示出的第一应用的两种形式下的身份标识,即112A和112B。
参考图3C,图3C示例性示出电子设备根据用户操作打开管理流氓应用的操作界面示意图。
如图3C所示,当电子设备输出检测到流氓应用的提示信息311时,若电子设备还检测的作用于提示信息311中的控件312B上的用户操作,响应于该操作,电子设备显示用于管理流氓应用的界面。该界面显示的内容包括但不限于:允许通知的选项313A,和选项313A对应的开关控件313B。在允许通知的选项313A对应的开关控件313B处于开启的状态下,该界面中显示的内容还包括用于管理通知的显示形式的选项,例如状态栏通知、锁屏通知、桌面通知、铃声通知和营销广告等等。
在电子设备显示用于管理流氓应用的界面时,用户可以通过关闭允许通知选项313A对应的开关控件313B,以实现一键关闭流氓应用的所有通知类型的权限,或者,用户可以在允许通知的选项313A对应的开关控件313B处于开启的状态下,通过设置其中任意一项或者多项通知类型的权限来管理流氓,例如用户可以通过设置锁屏通知,禁止授权给流氓应用,从而使得第一应用不能在锁屏界面中显示通知、广告。
参考图3D,图3D示例性示出电子设备根据用户操作关闭流氓应用的通知权限的操作界面示意图。
如图3D所示,在电子设备显示用于管理流氓应用的界面时,若电子设备检测到作用于开关控件313B的操作,响应于该操作。电子设备将允许通知的权限由开启状态切换为关闭状态。
参考图3E,图3E示例性示出电子设备在关闭流氓应用的通知权限后用户界面示意图。
如图3E所示,在电子设备关闭流氓应用的允许通知的权限后,电子设备将在锁屏界面、桌面以及其他界面中不再弹出通知和广告等信息,从而解决了流氓应用对用户的骚扰。
可以理解的是,图3B-图3E仅仅示例性示出一组用于引导用户对检测到的流氓应用实施管控措施的一种操作方式,不应构成对本申请的限制,在本申请另一些实施例中,用于引导用户管理流氓应用的方式可能仅包括卸载流氓应用,或者还包括引导用户卸载并且永久禁止下载并安装该流氓应用,本申请实施例对此不作限制。
基于图2介绍的一种开启流氓应用检测功能的操作方式,以及基于图3A介绍的一种输出检测结果的提示信息,和图3B-图3E介绍的用于引导用户对检测到的流氓应用实施管控措施的方式,接下来介绍本申请提供的流氓应用检测方法所应用的通信系统和电子设备。
参考图4,图4示例性示出本申请提供的一种通信系统示意图。
如图4所示,该通信系统10包括电子设备100和服务器200,电子设备100的数量可以是一个或多个,例如包括一个或多个第一设备、一个或多个第二设备以及第三设备等;服务器200的数量可以是一个或多个,例如包括第一服务器和第二服务器,本申请对电子设备100的数量和服务器200的数量不作限制。其中,第一设备可以用于向服务器200上报应用的行为数据(又称第一行为数据),使得服务器200基于应用的行为数据来更新检测规则,其中第二设备可用于接收服务器200下发的更新后的检测规则,使得第二设备基于采集的本端应用的行为数据(又称第二行为数据)采用该更新后的检测规则来进行流氓应用检测。可选的,第一设备和第二设备可以是同一设备,即,既上报应用数据也获取更新后的检测规则;或者,第一设备和第二设备可以不是同一设备,即服务器更新检测规则时仅基于第一设备上报的行为数据来更新,但可以将更新后的检测规则下发至第二设备。
在本申请实施例中,前后文所述的更新后的检测规则还可以称为第一检测规则和第二检测规则。其中第一检测规则和第二检测规则是分别用于下发至不同区域、不同年龄段用户、不同设备型号或不同类型的电子设备100中的。
电子设备100可以是搭载
或者其它操作系统的便携式终端设备,例如手机、平板电脑、桌面型计算机、膝上型计算机、手持计算机、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer,UMPC)、上网本,以及蜂窝电话、个人数字助理(personal digital assistant,PDA)、增强现实(augmented reality,AR)设备、虚拟现实(virtual reality,VR)设备、人工智能(artificial intelligence,AI)设备、可穿戴式设备、车载设备、智能家居设备和/或智慧城市设备,等等。本申请实施例对电子设备100的形态不作限制,电子设备100包括多个设备时,该多个设备的形态可以相同或者不同。
在本申请实施例中,电子设备100可以用于为用户提供流氓应用检测功能。具体的,当电子设备100开启流氓应用检测功能后,电子设备100可以采集安装的应用所生成的行为数据,根据这些应用数据和检测规则判断对应的应用是否为流氓应用,若是,则输出对应的提示信息,用于提示用户对检测到的流氓应用实施对应的管控措施。关于电子设备检测流氓应用的具体实现方法可以参考后文的方法流程的描述,在此暂不赘述。
可以理解的是,上述流氓应用检测功能可以是电子设备安装的系统应用程序、系统服务组件、第三方应用程序,或者是无需安装便可调用的小程序等提供的功能,本申请实施例对此不作限制。
此外,流氓应用检测功能只是本实施例中所使用的一个词语,其可实现的功能或可提供的检测方法在下文方法实施例中已经记载,其名称并不能对本实施例构成任何限制。在本申请其他一些实施例中,流氓应用检测功能也可以被称为例如“风险应用检测功能”、“风险应用查杀”等其他名词。
服务器200是为电子设备中的流氓检测功能提供计算和应用服务的服务器。服务器200可以是由电子设备100的开发商、或者是流氓检测功能的开发商、提供商所提供的一个或多个服务器。
在本申请实施例中,当电子设备100开启流氓应用检测功能后,则电子设备100采集到的应用的行为数据可以上报至服务器200,服务器200根据接收到的海量的行为数据,对其进行分析,以生成新的检测规则,并将行的检测规则下发至电子设备100中,使得电子设备100可以采用实时更新的检测规则对采集到的应用的行为数据进行检测,以判断该行为数据对应的应用是否为流氓应用。其中服务器200中用于收集电子设备100上报的行为数据的服务器和,用于生成新的检测规则的服务器可能为同一个服务器,也可能是不同的服务器。以
平台为例,当用于收集电子设备100的应用数据的服务器例如可以是
旗下的Hiview服务器,用于生成新的检测规则的服务器可以是
旗下的安全云平台服务器。
基于对通信系统10的介绍,接下来介绍通信系统10中包含的电子设备100和服务器200的软硬件架构。
参考图5A,图5A示例性示出一种电子设备100的硬件架构示意图。
如图5A所示,电子设备100可以包括:处理器110,外部存储器接口120,内部存储器121,通用串行总线(universalserialbus,USB)接口130,充电管理模块140,电源管理模块141,电池142,天线1,天线2,移动通信模块150,无线通信模块160,音频模块170,扬声器170A,受话器170B,麦克风170C,耳机接口170D,传感器模块180,按键190,马达191,指示器192,摄像头193,显示屏194,以及用户标识模块(subscriberidentificationmodule,SIM)卡接口195等。其中,传感器模块180可以包括压力传感器180A,触摸传感器180B。或者传感器模块还包括未示出的陀螺仪传感器,气压传感器,磁传感器,加速度传感器,距离传感器,接近光传感器,指纹传感器,温度传感器,环境光传感器和骨传导传感器等。
可以理解的是,本申请实施例示意的结构并不构成对电子设备100的具体限定。在本申请另一些实施例中,电子设备100可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实现。
处理器110可以包括一个或多个处理单元,例如:处理器110可以包括应用处理器(applicationprocessor,AP),调制解调处理器,图形处理器(graphicsprocessingunit,GPU),图像信号处理器(imagesignalprocessor,ISP),控制器,存储器,视频编解码器,数字信号处理器(digitalsignalprocessor,DSP),基带处理器,和/或神经网络处理器(neural-networkprocessingunit,NPU)等。其中,不同的处理单元可以是独立的器件,也可以集成在一个或多个处理器中。
其中,控制器可以是电子设备100的神经中枢和指挥中心。控制器可以根据指令操作码和时序信号,产生操作控制信号,完成取指令和执行指令的控制。
处理器110中还可以设置存储器,用于存储指令和数据。在一些实施例中,处理器110中的存储器为高速缓冲存储器。该存储器可以保存处理器110刚用过或循环使用的指令或数据。如果处理器110需要再次使用该指令或数据,可从所述存储器中直接调用。避免了重复存取,减少了处理器110的等待时间,因而提高了系统的效率。
在本申请实施例中,处理器110可以根据采集到的电子设备100中安装的应用的行为数据,和电子100的存储器中存储的检测规则,来检测行为数据对应的应用是否为流氓应用,当检测到流氓应用时,则控制相应的模块(例如显示屏、音频模块等)输出提示信息用于提示用户检测结果和引导用户对流氓应用执行对应的管控措施,或者,当检测到流氓应用时处理器110可以根据流氓应用的风险等级按照管控规则,对不同风险等级的流氓应用实施对应的管控措施。此外,处理器110采用的上报规则具体是,处理器110根据上报规则,将采集到的应用数据上报至服务器200,服务器200通过分析来实时更新检测规则,并将检测规则下发到电子设备100中的。
关于,处理器110采用检测规则来检测流氓应用,以及采用管控规则对检测到的流氓应用实施对应管控措施,以及根据上报规则向服务器200上报行为数据的具体实现方法可以参考后文方法流程的详细描述,在此暂不赘述。
在一些实施例中,处理器110可以包括一个或多个接口。接口可以包括集成电路(inter-integratedcircuit,I2C)接口,集成电路内置音频(inter-integratedcircuitsound,I2S)接口,脉冲编码调制(pulsecodemodulation,PCM)接口,通用异步收发传输器(universalasynchronousreceiver/transmitter,UART)接口,移动产业处理器接口(mobileindustryprocessorinterface,MIPI),通用输入输出(general-purposeinput/output,GPIO)接口,用户标识模块(subscriberidentitymodule,SIM)接口,和/或通用串行总线(universalserialbus,USB)接口等。
可以理解的是,本申请实施例示意的各模块间的接口连接关系,只是示意性说明,并不构成对电子设备100的结构限定。在本申请另一些实施例中,电子设备100也可以采用上述实施例中不同的接口连接方式,或多种接口连接方式的组合。
充电管理模块140用于从充电器接收充电输入。其中,充电器可以是无线充电器,也可以是有线充电器。在一些有线充电的实施例中,充电管理模块140可以通过USB接口130接收有线充电器的充电输入。在一些无线充电的实施例中,充电管理模块140可以通过电子设备100的无线充电线圈接收无线充电输入。充电管理模块140为电池142充电的同时,还可以通过电源管理模块141为电子设备供电。
电源管理模块141用于连接电池142,充电管理模块140与处理器110。电源管理模块141接收电池142和/或充电管理模块140的输入,为处理器110,内部存储器121,外部存储器,显示屏194,摄像头193,和无线通信模块160等供电。电源管理模块141还可以用于监测电池容量,电池循环次数,电池健康状态(漏电,阻抗)等参数。在其他一些实施例中,电源管理模块141也可以设置于处理器110中。在另一些实施例中,电源管理模块141和充电管理模块140也可以设置于同一个器件中。
电子设备100的无线通信功能可以通过天线1,天线2,移动通信模块150,无线通信模块160,调制解调处理器以及基带处理器等实现。
天线1和天线2用于发射和接收电磁波信号。电子设备100中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用,以提高天线的利用率。例如:可以将天线1复用为无线局域网的分集天线。在另外一些实施例中,天线可以和调谐开关结合使用。
移动通信模块150可以提供应用在电子设备100上的包括2G/3G/4G/5G等无线通信的解决方案。移动通信模块150可以包括至少一个滤波器,开关,功率放大器,低噪声放大器(low noise amplifier,LNA)等。移动通信模块150可以由天线1接收电磁波,并对接收的电磁波进行滤波,放大等处理,传送至调制解调处理器进行解调。移动通信模块150还可以对经调制解调处理器调制后的信号放大,经天线1转为电磁波辐射出去。在一些实施例中,移动通信模块150的至少部分功能模块可以被设置于处理器110中。在一些实施例中,移动通信模块150的至少部分功能模块可以与处理器110的至少部分模块被设置在同一个器件中。
调制解调处理器可以包括调制器和解调器。其中,调制器用于将待发送的低频基带信号调制成中高频信号。解调器用于将接收的电磁波信号解调为低频基带信号。随后解调器将解调得到的低频基带信号传送至基带处理器处理。低频基带信号经基带处理器处理后,被传递给应用处理器。应用处理器通过音频设备(不限于扬声器170A,受话器170B等)输出声音信号,或通过显示屏194显示图像或视频。在一些实施例中,调制解调处理器可以是独立的器件。在另一些实施例中,调制解调处理器可以独立于处理器110,与移动通信模块150或其他功能模块设置在同一个器件中。
无线通信模块160可以提供应用在电子设备100上的包括无线局域网(wirelesslocal area networks,WLAN)(如无线保真(wireless fidelity,Wi-Fi)网络),蓝牙(bluetooth,BT),全球导航卫星系统(global navigation satellite system,GNSS),调频(frequency modulation,FM),近距离无线通信技术(near field communication,NFC),红外技术(infrared,IR)等无线通信的解决方案。无线通信模块160可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块160经由天线2接收电磁波,将电磁波信号解调以及滤波处理,将处理后的信号发送到处理器110。无线通信模块160还可以从处理器110接收待发送的信号,对其进行调频,放大,经天线2转为电磁波辐射出去。
在一些实施例中,电子设备100的天线1和移动通信模块150耦合,天线2和无线通信模块160耦合,使得电子设备100可以通过无线通信技术与网络以及其他设备通信。所述无线通信技术可以包括全球移动通讯系统(global system for mobile communications,GSM),通用分组无线服务(general packet radio service,GPRS),码分多址接入(codedivision multiple access,CDMA),宽带码分多址(wideband code division multipleaccess,WCDMA),时分码分多址(time-division code division multiple access,TD-SCDMA),长期演进(long term evolution,LTE),BT,GNSS,WLAN,NFC,FM,和/或IR技术等。所述GNSS可以包括全球卫星定位系统(global positioning system,GPS),全球导航卫星系统(global navigation satellite system,GLONASS),北斗卫星导航系统(beidounavigation satellite system,BDS),准天顶卫星系统(quasi-zenith satellitesystem,QZSS)和/或星基增强系统(satellite based augmentation systems,SBAS)。
在本申请实施例中,电子设备100可以通过移动通信模块150或者无线通信模块160与服务器200建立通信连接,并基于该通信连接上报电子设备采集到的应用的行为数据,从而为服务器200提供海量数据,以供服务器200根据海量的行为数据来生成新的检测规则,或者还包括生成上报规则和管控规则等,此外,电子设备100还可以基于该通信连接接收服务器下发的更新后的检测规则,或者还包括更新后的上报规则和管控规则等。
电子设备100通过GPU,显示屏194,以及应用处理器等实现显示功能。GPU为图像处理的微处理器,连接显示屏194和应用处理器。GPU用于执行数学和几何计算,用于图形渲染。处理器110可包括一个或多个GPU,其执行程序指令以生成或改变显示信息。
显示屏194用于显示图像,视频等。显示屏194包括显示面板。显示面板可以采用液晶显示屏(liquid crystal display,LCD)。显示屏面板还可以采用有机发光二极管(organic light-emitting diode,OLED),有源矩阵有机发光二极体或主动矩阵有机发光二极体(active-matrix organic light emitting diode,AMOLED),柔性发光二极管(flexlight-emitting diode,FLED),miniled,microLed,micro-oled,量子点发光二极管(quantum dot light emitting diodes,QLED)等制造。在一些实施例中,电子设备100可以包括1个或N个显示屏194,N为大于1的正整数。
在本申请实施例中,电子设备100的显示屏194可用于显示多种用户界面,包括但不限于显示流氓应用弹出广告、通知的用户界面,还包括显示有流氓应用图标的应用程序菜单栏的界面(具体可以参考前文对图1的介绍),以及用于开启流氓应用检测功能的用户界面(参考前文图2的介绍),以及输出流氓应用检测结果和提示用户对流氓应用进行管控的用户界面(参考前文图3A-图3E的介绍)。
电子设备100可以通过ISP,摄像头193,视频编解码器,GPU,显示屏194以及应用处理器等实现拍摄功能。
ISP用于处理摄像头193反馈的数据。例如,拍照时,打开快门,光线通过镜头被传递到摄像头感光元件上,光信号转换为电信号,摄像头感光元件将所述电信号传递给ISP处理,转化为肉眼可见的图像。ISP还可以对图像的噪点,亮度,肤色进行算法优化。ISP还可以对拍摄场景的曝光,色温等参数优化。在一些实施例中,ISP可以设置在摄像头193中。
摄像头193用于捕获静态图像或视频。物体通过镜头生成光学图像投射到感光元件。感光元件可以是电荷耦合器件(charge coupled device,CCD)或互补金属氧化物半导体(complementary metal-oxide-semiconductor,CMOS)光电晶体管。感光元件把光信号转换成电信号,之后将电信号传递给ISP转换成数字图像信号。ISP将数字图像信号输出到DSP加工处理。DSP将数字图像信号转换成标准的RGB,YUV等格式的图像信号。在一些实施例中,电子设备100可以包括1个或N个摄像头193,N为大于1的正整数。
数字信号处理器用于处理数字信号,除了可以处理数字图像信号,还可以处理其他数字信号。例如,当电子设备100在频点选择时,数字信号处理器用于对频点能量进行傅里叶变换等。
视频编解码器用于对数字视频压缩或解压缩。电子设备100可以支持一种或多种视频编解码器。这样,电子设备100可以播放或录制多种编码格式的视频,例如:动态图像专家组(moving picture experts group,MPEG)1,MPEG2,MPEG3,MPEG4等。
在本申请实施例中,电子设备100在共享屏幕、远程控制以及投屏等场景下,需要通过视频编解码器将当前显示屏194所显示的内容编码成视频流后发送至其他电子设备中。
NPU为神经网络(neural-network,NN)计算处理器,通过借鉴生物神经网络结构,例如借鉴人脑神经元之间传递模式,对输入信息快速处理,还可以不断的自学习。通过NPU可以实现电子设备100的智能认知等应用,例如:图像识别,人脸识别,语音识别,文本理解等。
内部存储器121可以包括一个或多个随机存取存储器(random access memory,RAM)和一个或多个非易失性存储器(non-volatile memory,NVM)。
随机存取存储器可以包括静态随机存储器(static random-access memory,SRAM)、动态随机存储器(dynamic random access memory,DRAM)、同步动态随机存储器(synchronous dynamic random access memory,SDRAM)、双倍资料率同步动态随机存取存储器(double data rate synchronous dynamic random access memory,DDR SDRAM,例如第五代DDR SDRAM一般称为DDR5 SDRAM)等;
非易失性存储器可以包括磁盘存储器件、快闪存储器(flash memory)。
快闪存储器按照运作原理划分可以包括NOR FLASH、NAND FLASH、3D NAND FLASH等,按照存储单元电位阶数划分可以包括单阶存储单元(single-level cell,SLC)、多阶存储单元(multi-level cell,MLC)、三阶储存单元(triple-level cell,TLC)、四阶储存单元(quad-level cell,QLC)等,按照存储规范划分可以包括通用闪存存储(英文:universalflash storage,UFS)、嵌入式多媒体存储卡(embedded multi media Card,eMMC)等。
随机存取存储器可以由处理器110直接进行读写,可以用于存储操作系统或其他正在运行中的程序的可执行程序(例如机器指令),还可以用于存储用户及应用程序的数据等。
非易失性存储器也可以存储可执行程序和存储用户及应用程序的数据等,可以提前加载到随机存取存储器中,用于处理器110直接进行读写。
外部存储器接口120可以用于连接外部的非易失性存储器,实现扩展电子设备100的存储能力。外部的非易失性存储器通过外部存储器接口120与处理器110通信,实现数据存储功能。例如将音乐,视频等文件保存在外部的非易失性存储器中。
在本申请实施例中,上述存储器存储有用于电子设备100实现流氓应用检测功能的可执行程序,以及存储有检测规则。或者还包括上报规则和管控规则。其中,检测规则、上报规则和管控规则包括电子设备预置的初始规则,和,云端(为电子设备提供流氓检测服务的服务器200)下发的实时更新的规则。
其中,检测规则包括但不限于以下任意一项或多项:流氓行为规则库、白名单应用和黑名单应用。流氓行为规则库用于处理器110判断应用的行为数据是否匹配到流氓行为规则库中记载的流氓行为,以判断该应用是否为流氓应用;白名单应用可用于处理器110判断应用的行为数据所对应的应用是否为包含在白名单的应用中,若是则认为该应用不是流氓应用;黑名单应用可用于处理器110判断应用的行为数据所对应的应用是否为包含在黑名单的应用中,若是则认为该应用是流氓应用。值得注意的是,白名单应用和黑名单应用中存储的应用是不同的,并且根据白名单应用和黑名单应用检测流氓应用的优先级要高于根据流氓行为规则库检测流氓应用,也就是说,当根据流氓行为规则库检测到某个应用为流氓应用,但该应用被包含在白名单应用中,则认为该某个应用不是流氓应用,或者,当根据流氓行为规则库检测到某个应用不是流氓应用,但该某个应用被包含在黑名单应用中,则认为该某个应用是流氓应用。
其中,上报规则包括但不限于以下任意一项或多项:应用的类型,行为数据的类型、上报时间/周期等。本申请实施例对此不作限制。
其中,管控规则包括但不限于以下任意一项或多项:输出提示信息以引导用户去管控、电子设备自动进行静默管控,上报至风险管控中心(其他服务器中)等。本申请实施例对此不作限制。
电子设备100可以通过音频模块170,扬声器170A,受话器170B,麦克风170C,耳机接口170D,以及应用处理器等实现音频功能。例如音乐播放,录音等。
音频模块170用于将数字音频信息转换成模拟音频信号输出,也用于将模拟音频输入转换为数字音频信号。音频模块170还可以用于对音频信号编码和解码。在一些实施例中,音频模块170可以设置于处理器110中,或将音频模块170的部分功能模块设置于处理器110中。
扬声器170A,也称“喇叭”,用于将音频电信号转换为声音信号。电子设备100可以通过扬声器170A收听音乐,或收听免提通话。
受话器170B,也称“听筒”,用于将音频电信号转换成声音信号。当电子设备100接听电话或语音信息时,可以通过将受话器170B靠近人耳接听语音。
麦克风170C,也称“话筒”,“传声器”,用于将声音信号转换为电信号。当拨打电话或发送语音信息时,用户可以通过人嘴靠近麦克风170C发声,将声音信号输入到麦克风170C。电子设备100可以设置至少一个麦克风170C。在另一些实施例中,电子设备100可以设置两个麦克风170C,除了采集声音信号,还可以实现降噪功能。在另一些实施例中,电子设备100还可以设置三个,四个或更多麦克风170C,实现采集声音信号,降噪,还可以识别声音来源,实现定向录音功能等。
耳机接口170D用于连接有线耳机。耳机接口170D可以是USB接口130,也可以是3.5mm的开放移动电子设备平台(open mobile terminal platform,OMTP)标准接口,美国蜂窝电信工业协会(cellular telecommunications industry association of the USA,CTIA)标准接口。
在本申请实施例中,电子设备100开启流氓检测功能后,当电子设备检测到流氓应用并且输出提示信息时,包括但不限于采用显示屏194显示提示信息的方式,还可以通过扬声器170A/受话器170B的方式来播放警惕诈骗的提示信息。
压力传感器180A用于感受压力信号,可以将压力信号转换成电信号。在一些实施例中,压力传感器180A可以设置于显示屏194。压力传感器180A的种类很多,如电阻式压力传感器,电感式压力传感器,电容式压力传感器等。电容式压力传感器可以是包括至少两个具有导电材料的平行板。当有力作用于压力传感器180A,电极之间的电容改变。电子设备100根据电容的变化确定压力的强度。当有触摸操作作用于显示屏194,电子设备100根据压力传感器180A检测所述触摸操作强度。电子设备100也可以根据压力传感器180A的检测信号计算触摸的位置。在一些实施例中,作用于相同触摸位置,但不同触摸操作强度的触摸操作,可以对应不同的操作指令。例如:当有触摸操作强度小于第一压力阈值的触摸操作作用于短消息应用图标时,执行查看短消息的指令。当有触摸操作强度大于或等于第一压力阈值的触摸操作作用于短消息应用图标时,执行新建短消息的指令。
触摸传感器180B,也称“触控面板”。触摸传感器180B可以设置于显示屏194,由触摸传感器180B与显示屏194组成触摸屏,也称“触控屏”。触摸传感器180B用于检测作用于其上或附近的触摸操作。触摸传感器可以将检测到的触摸操作传递给应用处理器,以确定触摸事件类型。可以通过显示屏194提供与触摸操作相关的视觉输出。在另一些实施例中,触摸传感器180B也可以设置于电子设备100的表面,与显示屏194所处的位置不同。
在本申请实施例中,压力传感器A和触摸传感器180B可用于采集作用于显示屏194上的按压或者触摸操作的相关数据,并将这些数据上报至处理器110,用于处理器110根据这些数据确定对应的事件,以控制电子设备100相应的模块执行对应的事件。例如,前文UI实施例中,电子设备100的处理器110可以检测到作用于显示屏194上显示的第二应用提供的流氓已检测功能对应的开关控件211B上的触摸操作,响应于该操作,处理器110则可以调用第二应用执行检测流氓应用的事件,当第二应用检测流氓应用时,则处理器110还会控制显示屏194输出提示信息。
按键190包括开机键,音量键等。按键190可以是机械按键。也可以是触摸式按键。电子设备100可以接收按键输入,产生与电子设备100的用户设置以及功能控制有关的键信号输入。
马达191可以产生振动提示。马达191可以用于来电振动提示,也可以用于触摸振动反馈。例如,作用于不同应用(例如拍照,音频播放等)的触摸操作,可以对应不同的振动反馈效果。作用于显示屏194不同区域的触摸操作,马达191也可对应不同的振动反馈效果。不同的应用场景(例如:时间提醒,接收信息,闹钟,游戏等)也可以对应不同的振动反馈效果。触摸振动反馈效果还可以支持自定义。
指示器192可以是指示灯,可以用于指示充电状态,电量变化,也可以用于指示消息,未接来电,通知等。
在本申请实施例中,电子设备100在检测到流氓应用后输出的提示信息包括但不限于采用显示屏显示提示信息的方式,还可以通过马达191振动、指示器192闪烁的方式来输出检测到流氓应用的提示信息。
SIM卡接口195用于连接SIM卡。SIM卡可以通过插入SIM卡接口195,或从SIM卡接口195拔出,实现和电子设备100的接触和分离。电子设备100可以支持1个或N个SIM卡接口,N为大于1的正整数。SIM卡接口195可以支持Nano SIM卡,Micro SIM卡,SIM卡等。同一个SIM卡接口195可以同时插入多张卡。所述多张卡的类型可以相同,也可以不同。SIM卡接口195也可以兼容不同类型的SIM卡。SIM卡接口195也可以兼容外部存储卡。电子设备100通过SIM卡和网络交互,实现通话以及数据通信等功能。在一些实施例中,电子设备100采用eSIM,即:嵌入式SIM卡。eSIM卡可以嵌在电子设备100中,不能和电子设备100分离。
在本申请实施例中电子设备100可以通过SIM卡和网络交互,实现收发短信,包括接收到诈骗短信。
电子设备100的软件系统可以采用分层架构,事件驱动架构,微核架构,微服务架构,或云架构。本申请实施例以分层架构的Android系统为例,示例性说明电子设备100的软件结构。
参考图5B,图5B示例性示出一种电子设备100的软件架构示意图。
分层架构将软件分成若干个层,每一层都有清晰的角色和分工。层与层之间通过软件接口通信。在一些实施例中,将
系统分为四层,从上至下分别为应用程序层,应用程序框架层,安卓运行时(
runtime)和系统库,以及内核层。
应用程序层可以包括一系列应用程序包。
如图5B所示,应用程序包可以包括第一应用,第二应用,WLAN,相机,图库,日历,通话,地图,音乐,视频等应用程序。
第一应用是指流氓应用,关于流氓应用的定义具体可以参考前文的详细描述,在此暂不赘述。
第二应用是指提供流氓应用检测功能的应用,关于第二应用的介绍可以参考前文的详细描述,在此暂不赘述。
可以理解的是,当流氓应用检测功能是由应用提供的,则该应用即前文所述的第二应用,当流氓应用检测功能是电子设备中的服务组件所提供时,则电子设备100需安装该服务组件。
应用程序框架层为应用程序层的应用程序提供应用编程接口(applicationprogramming interface,API)和编程框架。应用程序框架层包括一些预先定义的函数。
如图5B所示,应用程序框架层可以包括窗口管理器,内容提供器,视图系统,电话管理器,资源管理器,通知管理器等。
活动管理器(Activity Manager,AM)是电子设备100的系统服务中的重要服务之一。主要负责系统中各个组件的启动、切换、调度及应用进程的管理和调度等工作,其职责与操作系统中的进程管理和调度模块相类似。AM可用于统一调度所有应用的Activity,从系统运行的角度看,AM可以分为客户端和服务器端。客户端运行在各个应用进程,应用进程实现了具体的Activity,Service等,AM可以告知系统需要什么Activity,Service等,并且调用系统接口来实现完成显示;服务器端运行在系统服务进程,是系统级别的活动管理服务的具体实现,其可以响应客户端的系统调用请求,并且管理客户端各个应用进程的生命周期。
在本申请中,AM可用于采集应用的行为数据,并将这些数据上报至上层提供流氓应用检测功能的第二应用,用于第二应用检测这些数据对应的应用是否为流氓应用。在本申请中,AM采集的应用的行为数据具体为应用的动态特征类的行为数据,包括但不限于:开启Activity。
窗口管理器(Window Manager,WM)是用于管理窗口程序。窗口管理器可以获取显示屏大小,判断是否有状态栏,锁定屏幕,截取屏幕等。
在本申请中,WM可用于采集应用的行为数据,并将这些数据上报至上层提供流氓应用检测功能的第二应用,用于第二应用检测这些数据对应的应用是否为流氓应用。在本申请中,WM采集的应用的行为数据具体为应用的动态特征类的行为数据,包括但不限于:锁屏、解锁。
包管理器(Package Manager,PM)是用于负责管理电子设备100中安装的应用程序。
在本申请中,PM可用于采集应用的行为数据,并将这些数据上报至上层提供流氓应用检测功能的第二应用,用于第二应用检测这些数据对应的应用是否为流氓应用。在本申请中,PM采集的应用的行为数据具体为应用的静态特征类的行为数据,包括但不限于:安装包的名称。
内容提供器用来存放和获取数据,并使这些数据可以被应用程序访问。所述数据可以包括视频,图像,音频,拨打和接听的电话,浏览历史和书签,电话簿等。
视图系统包括可视控件,例如显示文字的控件,显示图片的控件等。视图系统可用于构建应用程序。显示界面可以由一个或多个视图组成的。例如,包括短信通知图标的显示界面,可以包括显示文字的视图以及显示图片的视图。
资源管理器为应用程序提供各种资源,比如本地化字符串,图标,图片,布局文件,视频文件等等。
通知管理器使应用程序可以在状态栏中显示通知信息,可以用于传达告知类型的消息,可以短暂停留后自动消失,无需用户交互。比如通知管理器被用于告知下载完成,消息提醒等。通知管理器还可以是以图表或者滚动条文本形式出现在系统顶部状态栏的通知,例如后台运行的应用程序的通知,还可以是以对话窗口形式出现在屏幕上的通知。例如在状态栏提示文本信息,发出提示音,电子设备振动,指示灯闪烁等。
Android Runtime包括核心库和虚拟机。Android runtime负责安卓系统的调度和管理。
核心库包含两部分:一部分是java语言需要调用的功能函数,另一部分是安卓的核心库。
应用程序层和应用程序框架层运行在虚拟机中。虚拟机将应用程序层和应用程序框架层的java文件执行为二进制文件。虚拟机用于执行对象生命周期的管理,堆栈管理,线程管理,安全和异常的管理,以及垃圾回收等功能。
系统库可以包括多个功能模块。例如:表面管理器(surface manager),媒体库(Media Libraries),三维图形处理库(例如:OpenGL ES),2D图形引擎(例如:SGL)等。
表面管理器用于对显示子系统进行管理,并且为多个应用程序提供了2D和3D图层的融合。
媒体库支持多种常用的音频,视频格式回放和录制,以及静态图像文件等。媒体库可以支持多种音视频编码格式,例如:MPEG4,H.264,MP3,AAC,AMR,JPG,PNG等。
三维图形处理库用于实现三维图形绘图,图像渲染,合成,和图层处理等。
2D图形引擎是2D绘图的绘图引擎。
内核层是硬件和软件之间的层。内核层至少包含显示驱动,摄像头驱动,音频驱动,传感器驱动。
下面结合捕获拍照场景,示例性说明电子设备100软件以及硬件的工作流程。
当触摸传感器180B接收到触摸操作,相应的硬件中断被发给内核层。内核层将触摸操作加工成原始输入事件(包括触摸坐标,触摸操作的时间戳等信息)。原始输入事件被存储在内核层。应用程序框架层从内核层获取原始输入事件,识别该输入事件所对应的控件。以该触摸操作是触摸单击操作,该单击操作所对应的控件为开启第二应用提供的流氓应用检测功能的控件为例,第二应用调用应用框架层的接口,采集电子设备中安装的应用的行为数据。
参考图6,图6示例性示出一种服务器200的硬件架构示意图。
如图6所示,服务器200可包括:一个或多个处理器201、存储器202、通信接口203、发射器205、接收器206、耦合器207和天线208。这些部件可通过总线204或者其他方式连接,图6以通过总线204连接为例。其中:
处理器201可用于读取和执行计算机可读指令。具体的,处理器201可用于调用存储于存储器202中的程序,例如本申请的实施例提供的,根据电子设备100上报的应用的行为数据生成新的检测规则或者还包括管理规则、上报规则等,然后将这些规则下发至电子设备100中的方法,在服务器200侧的实现程序,并执行该程序包含的指令。
存储器202与处理器201耦合,用于存储各种软件程序和/或多组指令。具体的,存储器202可包括高速随机存取的存储器,并且也可包括非易失性存储器,例如一个或多个磁盘存储设备、闪存设备或其他非易失性固态存储设备。
存储器202可以存储操作系统(下述简称系统),例如uCOS、VxWorks、RTLinux等嵌入式操作系统。存储器202还可以存储网络通信程序,该网络通信程序可用于与电子设备100等进行通信。存储器202还可以存储有最近一次更新的检测规则,或者还包括上报规则和管理规则等。
通信接口203可用于服务器200与其他通信设备,例如电子设备100等进行通信。具体的,通信接口203可以是3G通信接口、长期演进(LTE)(4G)通信接口、5G通信接口、WLAN通信接口、WAN通信接口等等。不限于无线通信接口,服务器200还可以配置有有线的通信接口203来支持有线通信,例如服务器200与电子设备100之间的链接可以是有线通信连接。
在本申请的一些实施例中,发射器205和接收器206可看作一个无线调制解调器。发射器205可用于对处理器201输出的信号进行发射处理。接收器206可用于接收信号。在服务器200中,发射器205和接收器206的数量均可以是一个或者多个。天线208可用于将传输线中的电磁能转换成自由空间中的电磁波,或者将自由空间中的电磁波转换成传输线中的电磁能。耦合器207可用于将移动通信号分成多路,分配给多个的接收器206。可理解的,网络设备的天线208可以实现为大规模天线阵列。
基于上文对本申请涉及的UI实施例以及通信系统、电子设备和服务器等装置实施例的介绍,接下来结合图7所示的方法流程来详细介绍本申请提供的流氓应用检测方法。
如图7所示,该方法包括以下步骤:
阶段1(S701-S702),电子设备100开启流氓应用检测功能。
在本申请中电子设备100可以包括一个或多个电子设备,这里以前文提到的电子设备100包括一个或多个第一设备和一个或多个第二设备这两个电子设备为例来介绍。
S701,第一设备开启流氓应用检测功能。
具体的,第一设备可以是默认开启流氓应用检测功能,也可以是根据用户操作开启流氓应用检测功能。结合上文图2介绍的一种开启流氓应用检测功能的操作方法为例,第一设备可以根据用户操作开启流氓应用检测功能具体可以是接收到用户输入的作用于流氓应用检测功能对应的开关控件211B上的操作来开启流氓应用检测功能。
在本申请实施例中,流氓应用检测功能可以是系统应用程序、第三方应用程序或者系统服务组件提供的,在此仅以流氓应用检测功能为前文所述的第二应用为例进行介绍。关于流氓应用检测功能的其他介绍可以参考前文的介绍,关于流氓应用检测功能的具体作用可参考后文所述的一系列方法流程。
S702,第二设备开启流氓应用检测功能。
第二设备开启流氓应用检测功能的具体方法与第一设备相同,在此暂不赘述。
阶段2(S703-S704),电子设备100采集应用的行为数据。
S703,第一设备采集应用的行为数据。
具体的,在第一设备开启第二应用提供的流氓应用检测功能之后,第二应用可以向框架层中的对应模块注册监听应用行为的事件,在注册监听事件后便可以通过框架层中的对应模块获取应用的行为数据。也就是说,第二应用可以通知第一设备的框架层中的对应模块获取第一设备安装的应用所生成的行为数据,并将获取到的应用的行为数据上报至第二应用。
在本申请中,第二应用可以分别在框架层中的活动管理器、窗口管理器和包管理器中注册监听事件。
其中,在活动管理器、窗口管理器中注册的监听事件主要用于获取应用的动态特征类的数据,包括但不限于以下类型的行为数据:指示应用在桌面/锁屏中弹窗的数据、指示应用创建快捷方式的数据、指示隐藏桌面中的应用图标的数据、指示隐藏任务栏的数据、指示应用自启动/关联启动的数据、指示后台保活的数据。
其中,在包管理器主要用于为第二应用提供获取应用的静态特征类的数据的接口,静态特征类的数据包括但不限于以下类型的行为数据:用于指示电子设备锁屏、解锁、息屏、网络状态、蓝牙状态的数据。
包管理器还可以获取到每个应用的声明文件(即AndroidManifest.xml文件)。该文件用于描述应用的配置信息,操作系统需要根据文件中的信息运行应用的代码。具体的,Manifest文件定义了应用程序的Java包命名,包的名称作为应用程序的唯一标识符;描述了应用程序的四大组件,即活动(Activity)、服务(Service),广播接收机(BroadcastReceiver),内容提供商(Content Provider);决定了其他应用与应用程序的组件交互所需要的权限,例如获取联系人目录的权限,禁止锁屏的权限等等。
包管理器还可以获取到每个应用的区域、应用开发者的区域和应用安装包的来源等。
可以理解的是,本申请实施例对电子设备采集到的应用的行为数据不作具体的限制。在本申请另一些实施例中,电子设备100中安装的第二应用还可以通过框架层的其他模块(例如内容提供器、视图系统)中获取应用的其他类型的行为数据。
S704,第二设备采集应用的行为数据。
第二设备采集应用的行为数据的具体方法与第一设备相同,在此暂不赘述。
阶段3(S705-S706),电子设备100向服务器200上报的应用行为数据。
S705,第一设备向服务器200上报应用的行为数据。
具体的,第一设备采集到第一设备中安装的应用的行为数据后会缓存,并周期的向服务器200上报。该周期例如可以是每天固定时间向服务器200上报。
在一种示例中,电子设备100上报的应用的行为数据的规格具体为,包含应用的包名、当前应用的Activity和行为类型的行为数据。
S706,第二设备向服务器200上报应用的行为数据。
第二设备采集应用的行为数据的具体方法与第一设备相同,在此暂不赘。可以理解的是,步骤S704和S706为可选步骤,在一些实施例中,第一设备上报行为数据的一段时间内,可能第二设备还未采集到应用的行为数据,进而不向服务器上报行为数据。
阶段4(S707-S709),服务器200生成新的检测规则,并下发至电子设备100中。
S707,服务器200根据电子设备100的应用的行为数据更新检测规则。
具体的,服务器200会收到海量电子设备100上报的各个电子设备中安装的应用的行为数据,例如该电子设备100包括第一设备和第二设备。实际中,电子设备100的数量是成百上千万的,因此服务器200接收到的应用行为的数据量是巨大的,进而适用于进行大数据分析以生成新的检测规则,即对现有的检测规则进行微调,后将现有的检测规则替换为新的检测规则。
新的检测规则中包括以下任意一种或多种:新的流氓行为规则库、新的白名单应用或新的黑名单应用。关于流氓行为规则库、应用白名单和应用黑名单的定义可以参考前文的介绍,在此暂不赘述。
关于服务器200通过大数据分析生成新的检测规则的方法具体包括以下任一项或多项:
基于所有应用的行为数据,分析各种类型的行为数据的发生频次,当某一类行为在一段时间内发生的频次高于第一阈值,则可以将该类行为加入至流氓行为规则库中;
基于所有应用的行为数据,分析每一类的行为数据分别在所有应用上所发生的频次,当某一类或者某多类行为在某个特定应用中的发生频次远高于在其他应用中发生的频次,例如高于第二阈值,则可以将该应用加入至应用黑名单中;
基于所有应用的行为数据,分析每一类的行为数据分别在所有应用上所发生的频次,当某一类或者某多类行为在某个特定应用中的发生频次远低于在其他应用中发生的频次,例如高于第三阈值,则可以将该应用加入至应用白名单中;
基于所有应用的行为数据,当某一类型的行为数据在某个区域或者某类人群中的电子设备中发生的频次远高于在其他区域或者其他人群中的电子设备中发生的频次,例如高于第四阈值,便可以将该类行为加入至流氓行为规则库中;
基于所有应用的行为数据,当某一类或者某多类行为在某个区域或者某类人群中的电子设备中安装的特定应用中的发生频次远高于在其他区域或者其他人群中的电子设备中安装的特定应用所发生的频次,例如高于第五阈值,则可以将该应用加入至应用黑名单中;
基于所有应用的行为数据,当某一类或者某多类行为在某个区域或者某类人群中的电子设备中安装的特定应用中的发生频次远低于在其他区域或者其他人群中的电子设备中安装的特定应用所发生的频次,例如高于第六阈值,则可以将该应用加入至应用白名单中。
值得注意的是,目前流氓应用的投放具有区域性、人群性和随机性。也就是说,一款流氓应用可能专门用于投放在某个特定区域的电子设备中,专门用于获取该特定区域的用户的隐私信息;或者一款流氓应用专门用于投放在老年人群体中,专门用于向老年人推送诈骗类广告;或者一款流氓应用被装在不同的电子设备中,该流氓应用执行流氓行为例如弹出广告的时间是随机的。
因此,在一些实施例中,服务器200可以通过分析不同区域、不同年龄段不同类型设备的中的应用行为数据,对应生成不同的检测规则(例如第一检测规则和第二检测规则),然后将不同的检测规则分类下发至不同区域、不同年龄段不同类型的设备中,从而实现精准的流氓应用检测。或者,在另一些实施例中,当某个流氓应用初期仅在某个地区或者某类人群的电子设备中实施流氓行为时,可能中后期会转移至其他区域或者其他人群中,或者某款应用在不同电子设备实施流氓行为时间不同时,服务器200通过分析一段时间内,各个区域、各个人群各类设备的应用的行为数据来生成同一个新的检测规则,将该新的检测规则下发至所有电子设备100中,能够有效解决流氓应用漏报的情况,也能够及时检测出流氓应用,从而使得所有地区或者所有人群所有类型的设备都能防范于未然。
可以理解的是,上文所述的服务器200进行大数据分析以生成新的检测规则具体是依靠自动化的在线分析,在另一种实现方式中,服务器200还可以结合人工运维的方式来更新检测规则,并且结合人工分析规则能够得到更加贴合流氓应用行为特征的检测规则。具体的,人工运维方式包括但不限于:持续跟踪、收集和分析流氓应用案例,例如从VOC、NPS、关键论坛、维修工单等流氓威胁情报中获取到流氓行为样本,分析和提取样本特征,以根据这些行为特征来完善流氓应用检测规则的更新方式。
针对只采用大数据分析方式的到的检测规则可能不够完善,例如采用黑名单应用检测策略时,会存在漏检测的情况,例如采用白名单应用检测策略时,非白名单应用的行为数据直接与流氓行为规则库进行匹配,从而能够识别出流氓行为,但可能产生误报,因此依靠人工运营维护,能够及时弥补缺陷,减少流氓应用漏报和误报的情况,保证更新后的检测规则更加完善。
接下来以具体的示例来对比分析更新前后的检测规则:
初始规则或者上一次更新的检测规则例如包括:
初始流氓应用规则库或者上一次更新的流氓应用规则库中包括的流氓行为的种类较少,例如仅有指示应用在桌面/锁屏中弹窗的行为、指示应用创建快捷方式的行为、指示隐藏桌面中的应用图标的行为、指示隐藏任务栏的行为、指示后台保活的行为;
初始黑名单应用或者上一次更新的黑名单应用中包括的应用较少,例如仅有清理大师类的应用;
初始白名单应用或者上一次更新的白名单应用中包括的应用较多,例如有WiFi解锁类应用;
然而,经过一段时间,流氓行为、或者流氓应用的种类也会随之演进。例如,经过一段时间可能流氓行为不再只包括上文所述的初始流氓应用规则库或者上一次更新的流氓应用规则库中包括几种行为,可能还包括应用自启动/关联启动的行为,或者流氓应用的种类不仅包括清理大师类的应用,可能还包括WiFi解锁类应用。
因此,服务器200在接收到这段时间内所有电子设备100上报的应用的行为数据,通过大数据分析,判断到指示应用自启动/关联启动的行为数据大幅增加,并且高于第一阈值,则认为该行为可能是恶意的流氓行为,则服务器200可以将其加入至初始或上一次更新的流氓行为规则库中以得到新的流氓行为规则库。或者,服务器200在接收到这段时间内所有电子设备100上报的应用的行为数据,通过大数据分析,还可以判断到当应用在桌面/锁屏中弹窗的行为在WiFi解锁类应用中的发生频次远高于在其他应用中发生的频次,例如高于第二阈值,则服务器200可以将其加入至初始或上一次更新的黑名单应用中以得到新的黑名单应用。或者,在人工运用维护检测规则过程中,发现WiFi解锁类应用变为流氓应用,则可以控制服务器200将白名单应用中的WiFi解锁类应用剔除,加入至初始或上一次更新的黑名单应用中以得到新的黑名单应用。
S708,服务器200向第一设备发送更新后的检测规则。
S709,服务器200向第二设备发送更新后的检测规则。
可以理解的是,在步骤S708和S709中,第一设备和第二设备接收到的检测规则可能是相同的检测规则,也可能是不同的检测规则。
阶段5(S710-S712),电子设备100采用最新的规则进行流氓应用检测。
在此阶段仅以第一设备采用最新的检测规则进行流氓应用检测为例来介绍。关于第二设备采用最新的检测规则进行流氓应用检测的具体实现不再赘述。
此外,在服务器200更新检测规则之后,还可以将该更新后的检测规则下发至除电子设备100外的其他电子设备,使得其他电子设备也可以采用更新后的检测规则进行流氓应用检测。也就是说,服务器200可以将更新后的检测规则下发至在一段时间内向其上报行为数据的电子设备100,还可以将更新后的检测规则下发至在该一段时间内没有向其上报行为数据的其他电子设备100。关于其他设备采用更新后的检测规则进行流氓应用检测的具体实现和下文所述的第一设备采用更新后的检测规则进行流氓应用检测的具体实现类似,因此,这里仅以第一设备采用更新后的检测规则进行流氓应用检测来介绍。
S710,第一设备新采集应用的行为数据。
与上述步骤S703类似,第一设备中的第二应用在开启流氓应用检测功能之后,会持续采集应用的行为数据,并将采集到的应用行为的数据缓存在第二应用中,之后可以周期性的向服务器200上报缓存的应用的行为数据,这里的第一设备新采集的应用的行为数据即在步骤S703之后,电子设备中的第二应用最新缓存的一批数据。
S711,第一设备采用更新后的检测规则对新采集的应用的行为数据进行检测,以识别对应的应用是否为流氓应用。
具体的,第一设备在接收到服务器200下发的更新后的检测规则时,将之前的初始检测规则或上一次更新的检测规则更新为最新接收到的检测规则。并且采用更新后的检测规则对新采集到的行为数据进行检测。
采用更新后的检测规则对新采集到的行为数据进行检测具体包括:检测新的应用的行为数据中是否存在匹配新检测规则中的流氓行为规则库中的一个或多个流氓行为;检测新的应用的行为数据中是否存在对应的应用被包含在新检测规则中的白名单应用中;检测新的应用的行为数据中是否存在对应的应用被包含在新检测规则中的黑名单应用中。当检测新的应用的行为数据中存在匹配新检测规则中的流氓行为规则库中的一个或多个流氓行为,并且该应用不属于白名单应用时,则认为该应用为流氓应用,当检测到应用属于黑名单应用中的某一个时,无论该应用的行为数据是否匹配到流氓行为规则库中,都认为该应用为流氓应用。值得注意的是,白名单应用和黑名单应用中存储的应用是不同的,并且根据白名单应用和黑名单应用检测流氓应用的优先级要高于根据流氓行为规则库检测流氓应用,也就是说,当根据流氓行为规则库检测到某个应用为流氓应用,但该应用被包含在白名单应用中,则认为该某个应用不是流氓应用,或者,当根据流氓行为规则库检测到某个应用不是流氓应用,但该某个应用被包含在黑名单应用中,则认为该某个应用是流氓应用。
S712,第一设备输出提示信息和/或实施流氓应用管控措施。
具体的,当第一设备中的第二应用检测第一设备安装有流氓应用,当该流氓应用为上文所述的第一应用时,则第一设备可以输出提示信息和/或实施流氓应用管控措施。其中,该提示信息用于提示用户第一应用为流氓应用,流氓应用管控措施包括以下任一项或多项:卸载流氓应用,卸载所述流氓应用后并且禁止再安装该流氓应用,限制所述流氓应用的权限;或者,将所述流氓应用上报至所述风险管控中心。
当第一设备对流氓应用实施多个管控措施时,本申请对多个管控措施的实施顺序不作限制。
则输出对应的提示信息,该提示信息的输出方式包括但不限于:显示屏提示、语音提示或者振动提示等等。
其中显示屏提示例如可以参考前文UI实施例中对图3A的描述,在此暂不赘述。
可选的,图7所述的方法流程还可以包括以下任一项或多项步骤:
在第一设备执行步骤S703之后步骤S705之前,第一设备采集到应用的行为数据后,第一设备中的第二应用还会采用当前存储的最新更新的检测规则(即前文所述的初始检测规则或者上一次更新的检测规则)对采集到的应用的行为数据进行检测,以识别对应的流氓应用。其识别流氓应用的方法和上述步骤S711所述的方法类似,在此暂不赘述。
在第一设备执行步骤S705时,第一设备中的第二应用还会采用当前存储的最新上报规则,将采集到的应用的行为数据上报至服务器200。
在第一设备执行步骤S711后,第一设备中的第二应用还会采用当前存储的最新管控规则,对识别到的流氓应用实施对应的管控措施。
接下来,详细介绍上报规则和管控规则的生成方法和定义:
上报规则包括但不限于:行为数据的类型,行为数据所属的应用的类型。上报规则具体根据流氓应用的类型和流氓应用的流氓行为来决定的,例如,流氓应用的类型不包含线上办公类应用,因此上报规则中可以包含指示无需上报线上办公类应用的行为数据;又例如,流氓应用类型包含清理大师类的应用,因此上报规则中可以包含指示需要上报清理大师类应用的行为数据;又例如,流氓应用的流氓行为包含锁屏界面弹广告,因此上报规则中可以包含指示上报锁屏的行为数据;又例如,流氓应用的流氓行为不包含关机,因此上报规则中可以包含指示不上报关机的行为数据。
由于流氓应用时是实时演进更替的,流氓应用的种类和流氓行为也会随时变化,因此本申请在更新检测规则的同时,为了便于检测规则的更新,同时需要筛选合适的应用的行为数据用于服务器200来更新检测规则,因此,在第二应用中可以根据当前流氓应用的类型和流氓行为预置初始的上报规则后,之后服务器200会根据检测规则的更新也相应的更新上报规则。
上报规则的生成方法:在服务器200执行步骤S707时,服务器200根据电子设备100的应用的行为数据更新检测规则外,还会更新上报规则。并且将该更新后的上报规则也下发至电子设备100中,用于通知电子设备100将第二应用中存储的上报规则替换为更新后的最新的上报规则,并按照最新的上报规则上报第二应用采集到的应用的行为数据。
管控规则用于指示不同风险等级的流氓应用所对应的不同管控措施。也就是说当管控措施包含多种时,还可以根据检测到的流氓应用的风险等级匹配对应的管控措施,例如当流氓应用的风险等级极高时,则对应的管控措施可以是输出提示信息并引导用户管控流氓应用,这样可以既达到禁示用户的目的还管控了流氓应用;当流氓应用的风险等级较高时,则对应的管控措施可以是静默管控流氓应用,这样既可以管控了流氓应用也无需打扰用户;当流氓应用的风险等级中等时,则对应的管控措施可以是引导用户将流氓应用加入风险管控中心,这样可以既达到告知用户的目的还管控了流氓应用;当流氓应用的风险等级低时,则对应的管控措施可以是直接将流氓应用加入风险管控中心,这样既可以管控了流氓应用也无需打扰用户。
管控规则的生成方法:在服务器200执行步骤S707时,服务器200根据电子设备100的应用的行为数据更新检测规则外,还会更新管控规则,并且将该更新后的管控规则也下发至电子设备100中,用于通知电子设备100将第二应用中存储的管控规则替换为更新后的最新的管控规则,并按照最新的管控规则对已经检测到的流氓应用实施对应的管控措施。
本申请实施例对流氓应用的风险等级数量不作限制,对管控规则的数量也不作限制。其中,风险等级可以包括以下几种识别方法:
1、风险等级可以由开发人员在服务器200端进行更新人工配置,具体为将黑名单中的应用配置为极高、较高、中等和较低等四个风险等级。服务器200向电子设备100下发黑名单应用时,可以携带黑名单应用中每个应用的风险等级,使得电子设备100在检测流氓应用的同时也可以识别到流氓应用的风险等级。
2、风险等级可以在电子设备100根据应用的行为数据匹配流氓行为规则库的过程中,判断匹配到的流氓行为(又称第一行为)在一段时间(又称第一时间)内执行的次数(又称第一次数)来确定对应的风险等级,当所述第一次数越多所述风险等级越高。例如当某个应用的流氓行为在一段时间内否达到预设最大值时则认为是中风险应用;否则,判断流氓行为低风险应用,本申请实施例对该一段时间,和预设最大值不作限制。
3、风险等级可以在电子设备100根据应用的行为数据匹配流氓行为规则库的过程中,通过分析流氓应用处于在后台保活状态中,监听流氓应用的流氓行为(第一行为)在一定时间段(第二时间段)内发生的第二次数,所述第二次数越多所述风险等级越高。具体的,通过监听特定系统应用的行为(系统事件)后且在时间间隔内,应用出现流氓行为的次数,来判断应用的风险等级。例如,当监听到系统事件和后台弹窗的最近m次的平均时间差低于n秒时,确认该后台弹出广告的流氓应用的风险的方式具体为:当系统事件为作用于home按键(包括手势上划触发返回主页的事件)则确定该流氓应用的风险积分为8分;当系统事件为应用安装或者应用卸载则确定该流氓应用的风险积分为8分;当系统事件为应用从后台切换为前台则确定该流氓应用的风险积分为8分;当系统事件为锁屏/解锁屏幕/亮屏/熄屏/切换网络状态/调整音量/电量变化则确定该流氓应用的风险积分为5分;当累积积分达到8分时则认为该应用为中风险应用,否则该应用为低风险应用。本申请实施例对m、n和风险积分值等不作具体限制。
最后,结合图8所示的一种流氓应用检测架构图来详细介绍本申请提供的流氓应用检测方法。
如图8所示,该流氓应用检测架构包括三个部分:行为数据采集、行为数据识别和行为数据分析。其中,前两个部分由电子设备100端执行,最后一个部分由服务器200端执行。详细执行过程如下:
1、行为数据采集由电子设备100端中安装的用于提供流氓应用检测功能的应用或服务组件来执行,例如由前文所述的第二应用来执行行为数据采集。具体的,第二应用可以通过电子设备100中的应用程序框架层中的相应模块来采集行为数据。
用于采集行为数据的相应模块包括但不限于:活动管理器、窗口管理器和包管理器等。行为数据包括但不限于应用的动态特征类数据和静态特征类数据。关于电子设备采集应用的行为数据的具体实现,以及行为数据的类型等等可以参考前文方法流程中步骤S703的描述,在此暂不赘述。
2、行为数据识别也由电子设备100端中安装的用于提供流氓应用检测功能的应用或服务组件来执行,例如由前文所述的第二应用来执行行为数据识别。具体的,第二应用中存储有最新的检测规则,第二应用可以采用该检测规则识别采集到的行为数据是否为流氓行为,以判定该行为数据对应的应用是否为流氓应用。
其中,第二应用中存储的检测规则是由服务器200实时更新并下发至所有电子设备100中安装的第二应用中。
其中,检测规则包括以下任意一项或多项:流氓行为规则库、应用黑名单或者应用白名单。关于,采用上述检测规则来检测流氓应用的具体实现可以参考前文步骤S711的描述,在此暂不赘述。
3、行为数据分析是由服务器200端来执行。具体的,服务器200基于第二应用根据上报规则向服务器200上报的应用的行为数据,通过大数据分析,或者还结合人工运维的方式来更新检测规则,或者还包括更新上报规则、管控规则。并将更新和检测规则、上报规则和管控规则等下发至所有电子设备100端的第二应用中,使得第二应用采用最新的检测规则来识别行为数据以检测到流氓应用,和使得第二应用采用最新的上报规则将采集到的行为数据上报至服务器200中,以及使得第二应用采用最新的管控规则对检测到的流氓应用实施对应的管控措施。
其中,关于服务器200更新检测规则、上报规则和管控规则的具体实现方法可以参考上文步骤S707的描述,在此暂不赘述。
应理解,本申请提供的上述方法实施例中的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
本申请还提供一种电子设备,该电子设备可以包括:存储器和处理器。其中,存储器可用于存储计算机程序;处理器可用于调用所述存储器中的计算机程序,以使得该电子设备执行上述任意一个实施例中的方法。
本申请还提供了一种芯片系统,所述芯片系统包括至少一个处理器,用于实现上述任意一个实施例中电子设备执行的方法中所涉及的功能。
在一种可能的设计中,所述芯片系统还包括存储器,所述存储器用于保存程序指令和数据,存储器位于处理器之内或处理器之外。
该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
可选地,该芯片系统中的处理器可以为一个或多个。该处理器可以通过硬件实现也可以通过软件实现。当通过硬件实现时,该处理器可以是逻辑电路、集成电路等。当通过软件实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现。
可选地,该芯片系统中的存储器也可以为一个或多个。该存储器可以与处理器集成在一起,也可以和处理器分离设置,本申请实施例并不限定。示例性地,存储器可以是非瞬时性处理器,例如只读存储器ROM,其可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上,本申请实施例对存储器的类型,以及存储器与处理器的设置方式不作具体限定。
示例性地,该芯片系统可以是现场可编程门阵列(field programmable gatearray,FPGA),可以是专用集成芯片(application specific integrated circuit,ASIC),还可以是系统芯片(system on chip,SoC),还可以是中央处理器(central processorunit,CPU),还可以是网络处理器(network processor,NP),还可以是数字信号处理电路(digital signal processor,DSP),还可以是微控制器(micro controller unit,MCU),还可以是可编程控制器(programmable logic device,PLD)或其他集成芯片。
本申请还提供一种计算机程序产品,所述计算机程序产品包括:计算机程序(也可以称为代码,或指令),当所述计算机程序被运行时,使得计算机执行上述任一个实施例中电子设备执行的方法。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序(也可以称为代码,或指令)。当所述计算机程序被运行时,使得计算机执行上述任一个实施例中电子设备执行的方法。
本申请的各实施方式可以任意进行组合,以实现不同的技术效果。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid StateDisk)等。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,该流程可以由计算机程序来指令相关的硬件完成,该程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法实施例的流程。而前述的存储介质包括:ROM或随机存储记忆体RAM、磁碟或者光盘等各种可存储程序代码的介质。
总之,以上所述仅为本发明技术方案的实施例而已,并非用于限定本发明的保护范围。凡根据本发明的揭露,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (26)
1.一种流氓应用检测方法,其特征在于,所述方法应用于包含一个或多个第一设备、第二设备和服务器的通信系统,所述方法包括:
所述一个或多个第一设备向所述服务器发送第一行为数据,所述第一行为数据为所述第一设备中应用的行为数据;
所述服务器基于所述第一行为数据更新初始检测规则,得到第一检测规则,并将所述第一检测规则下发至所述第二设备;
所述第二设备采集第一应用的行为数据;
所述第二设备基于所述第一应用的行为数据,使用所述第一检测规则识别所述第一应用是否为流氓应用;
在所述第一应用为流氓应用的情况下,所述第二设备输出提示信息,和/或,对所述第一应用实施管控措施,所述提示信息用于提示所述第一应用为流氓应用。
2.根据权利要求1所述的方法,其特征在于,所述第一检测规则包括以下任意一项或多项:流氓行为规则库、白名单或黑名单;
其中,所述流氓行为规则库包含一个或多个流氓行为,所述白名单包含一个或多个应用,所述黑名单包括一个或多个应用;
在所述第一应用的行为数据对应的行为包含在所述流氓行为中的情况下,所述第一应用为流氓应用;
或者,在所述第一应用的行为数据对应的行为包含在所述流氓行为中,并且,所述白名单不包括所述第一应用的情况下,所述第一应用为流氓应用;
或者,在所述黑名单包括所述第一应用的情况下,所述第一应用为流氓应用。
3.根据权利要求1或2所述的方法,其特征在于,所述第一设备和所述第二设备的以下任意一项或多项信息相同:所在区域,设备型号、设备类型,所属用户的年龄段。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述管控措施包括以下任一项或多项:卸载所述第一应用,卸载所述第一应用后并且禁止再安装所述第一应用,限制所述第一应用的权限;或者,将所述第一应用上报至所述风险管控中心。
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述第二设备对所述第一应用实施管控措施具体包括:
所述第二设备根据所述第一应用的风险等级,对所述第一应用实施对应的所述管控措施。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
在所述第一应用为流氓应用的情况下,所述第二设备根据以下任意一项或多项确定所述第一应用的风险等级:
所述黑名单中记载的所述第一应用对应的所述风险等级;
第一行为在第一时间段内发生的第一次数,所述第一次数越多所述风险等级越高;
或者,发生第一行为之前的第二时间段内发生系统事件的第二次数,所述第二次数越多所述风险等级越高;
其中,所述第一行为所述第一应用的流氓行为。
7.根据权利要求5或6所述的方法,其特征在于,所述第一设备向服务器发送第一行为数据具体包括:
所述第一设备基于上报规则向所述服务器发送所述第一行为数据,所述上报规则包括以下任一项或多项:应用的类型,行为数据的类型,或上报周期。
8.根据权利要求7所述的方法,其特征在于,针对不同风险等级的流氓应用的所述管控措施是所述第二设备中存储的初始管控措施,或者,是所述服务器更新所述初始管控得到的新管控措施后下发至所述第二设备中的;所述上报规则为所述第一设备中存储的初始上报规则,或者所述上报规则为所述服务器对所述初始管控规则进行更新得到的新上报规则后下发至所述第一设备中的。
9.根据权利要求1-8中任一项所述的方法,其特征在于,所述第一行为数据包括:应用的动态特征类数据和静态特征类数据;
所述静态特征类数据包括以下任一项或多项:应用的声明文件、应用安装包的来源、应用开发者所在区域、安装应用的电子设备所在区域;
所述动态特征类数据包括以下任一项或多项:应用自启动、应用关联启动、应用后台保活、应用在锁屏/桌面弹出广告、通知、应用创建快捷方式、应用隐藏桌面中的应用图标、应用隐藏最近运行记录。
10.一种流氓应用检测方法,其特征在于,所述方法应用于第一设备,所述方法包括:
所述一个第一设备向服务器发送第一行为数据,所述第一行为数据为所述第一设备中应用的行为数据;
所述第一行为数据用于,所述服务器基于所述第一行为数据更新初始检测规则。
11.根据权利要求10所述的方法,其特征在于,所述第一设备向服务器发送第一行为数据具体包括:
所述第一设备基于上报规则向所述服务器发送所述第一行为数据,所述上报规则包括以下任一项或多项:应用的类型,行为数据的类型,或上报周期。
12.根据权利要求11所述的方法,其特征在于,所述上报规则为所述第一设备中存储的初始上报规则,或者所述上报规则为所述服务器对所述初始管控规则进行更新得到的新上报规则后下发至所述第一设备中的。
13.根据权利要求10-12中任一项所述的方法,其特征在于,所述第一行为数据包括:应用的动态特征类数据和静态特征类数据;
所述静态特征类数据包括以下任一项或多项:应用的声明文件、应用安装包的来源、应用开发者所在区域、安装应用的电子设备所在区域;
所述动态特征类数据包括以下任一项或多项:应用自启动、应用关联启动、应用后台保活、应用在锁屏/桌面弹出广告、通知、应用创建快捷方式、应用隐藏桌面中的应用图标、应用隐藏最近运行记录。
14.一种流氓应用检测方法,其特征在于,所述方法应用于服务器,所述方法包括:
所述服务器接收一个或多个第一设备发送的第一行为数据,所述第一行为数据为所述第一设备中应用的行为数据;
所述服务器基于所述第一行为数据更新初始检测规则,得到第一检测规则,并将所述第一检测规则下发至所述第二设备;
所述第一检测规则用于,所述第二设备检测流氓应用。
15.根据权利要求14所述的方法,其特征在于,所述第一检测规则包括以下任意一项或多项:流氓行为规则库、白名单或黑名单;
其中,所述流氓行为规则库包含一个或多个流氓行为,所述白名单包含一个或多个应用,所述黑名单包括一个或多个应用;
在所述第一应用的行为数据对应的行为包含在所述流氓行为中的情况下,所述第一应用为流氓应用;
或者,在所述第一应用的行为数据对应的行为包含在所述流氓行为中,并且,所述白名单不包括所述第一应用的情况下,所述第一应用为流氓应用;
或者,在所述黑名单包括所述第一应用的情况下,所述第一应用为流氓应用。
16.根据权利要求14或15所述的方法,其特征在于,所述第一设备和所述第二设备的以下任意一项或多项信息相同:所在区域,设备型号、设备类型,所属用户的年龄段。
17.根据权利要求14-16中任一项所述的方法,其特征在于,所述第一行为数据包括:应用的动态特征类数据和静态特征类数据;
所述静态特征类数据包括以下任一项或多项:应用的声明文件、应用安装包的来源、应用开发者所在区域、安装应用的电子设备所在区域;
所述动态特征类数据包括以下任一项或多项:应用自启动、应用关联启动、应用后台保活、应用在锁屏/桌面弹出广告、通知、应用创建快捷方式、应用隐藏桌面中的应用图标、应用隐藏最近运行记录。
18.一种流氓应用检测方法,其特征在于,所述方法应用于第二设备,所述方法包括:
所述第二设备接收服务器下发的第一检测规则,所述第一检测规则为,所述服务器基于一个或多个第一设备发送的第一行为数据更新初始检测规则得到的,所述第一行为数据为所述第一设备中应用的行为数据;
所述第二设备采集第一应用的行为数据;
所述第二设备基于所述第一应用的行为数据,使用第一检测规则识别所述第一应用是否为流氓应用;
在所述第一应用为流氓应用的情况下,所述第二设备输出提示信息,和/或,对所述第一应用实施管控措施,所述提示信息用于提示所述第一应用为流氓应用。
19.根据权利要求18所述的方法,其特征在于,所述第一检测规则包括以下任意一项或多项:流氓行为规则库、白名单或黑名单;
其中,所述流氓行为规则库包含一个或多个流氓行为,所述白名单包含一个或多个应用,所述黑名单包括一个或多个应用;
在所述第一应用的行为数据对应的行为包含在所述流氓行为中的情况下,所述第一应用为流氓应用;
或者,在所述第一应用的行为数据对应的行为包含在所述流氓行为中,并且,所述白名单不包括所述第一应用的情况下,所述第一应用为流氓应用;
或者,在所述黑名单包括所述第一应用的情况下,所述第一应用为流氓应用。
20.根据权利要求18或19所述的方法,其特征在于,所述管控措施包括以下任一项或多项:卸载所述第一应用,卸载所述第一应用后并且禁止再安装所述第一应用,限制所述第一应用的权限;或者,将所述第一应用上报至所述风险管控中心。
21.根据权利要求18-20中任一项所述的方法,其特征在于,所述第二设备对所述第一应用实施管控措施具体包括:
所述第二设备根据所述第一应用的风险等级,对所述第一应用实施对应的所述管控措施。
22.根据权利要求21所述的方法,其特征在于,针对不同风险等级的流氓应用的所述管控措施是所述第二设备中存储的初始管控措施,或者,是所述服务器更新所述初始管控得到的新管控措施后下发至所述第二设备中的。
23.根据权利要求18-22中任一项所述的方法,其特征在于,所述方法还包括:
在所述第一应用为流氓应用的情况下,所述第二设备根据以下任意一项或多项确定所述第一应用的风险等级:
所述黑名单中记载的所述第一应用对应的所述风险等级;
第一行为在第一时间段内发生的第一次数,所述第一次数越多所述风险等级越高;
或者,发生第一行为之前的第二时间段内发生系统事件的第二次数相关,所述第二次数越多所述风险等级越高;
其中,所述第一行为所述第一应用的流氓行为。
24.一种通信系统,其特征在于,所述通信系统包括:一个或多个第一设备、第二设备和服务器;所述第一设备用于执行如权利要求10-13中任一项所述的方法,所述服务器用于执行如权利要求14-17,所述服务器用于执行如权利要求18-23中任一项所述的方法。
25.一种通信装置,其特征在于,所述通信装置包括一个或多个处理器,一个或多个存储器,和一个或多个显示屏;其中,所述一个或多个存储器与所述一个或多个处理器耦合,所述一个或多个存储器用于存储计算机程序代码,所述计算机程序代码包括计算机指令,当所述一个或多个处理器执行所述计算机指令时,使得所述通信装置执行如权利要求10-13中任一项所述的方法,或者执行如权利要求14-17,或者执行如权利要求18-23中任一项所述的方法。
26.一种芯片,所述芯片应用于通信装置,其特征在于,所述芯片包括一个或多个处理器,所述处理器用于调用计算机指令以使得所述通信装置执行如权利要求10-13中任一项所述的方法,或者执行如权利要求14-17,或者执行如权利要求18-23中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210970228.8A CN116049820A (zh) | 2022-08-12 | 2022-08-12 | 流氓应用检测方法、电子设备及通信系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210970228.8A CN116049820A (zh) | 2022-08-12 | 2022-08-12 | 流氓应用检测方法、电子设备及通信系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116049820A true CN116049820A (zh) | 2023-05-02 |
Family
ID=86130256
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210970228.8A Pending CN116049820A (zh) | 2022-08-12 | 2022-08-12 | 流氓应用检测方法、电子设备及通信系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116049820A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116886755A (zh) * | 2023-09-08 | 2023-10-13 | 安擎计算机信息股份有限公司 | 一种被测服务器的保活方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111832021A (zh) * | 2020-06-23 | 2020-10-27 | 华中科技大学 | 一种安卓应用流氓行为的识别方法及系统 |
| CN112910895A (zh) * | 2021-02-02 | 2021-06-04 | 杭州安恒信息技术股份有限公司 | 网络攻击行为检测方法、装置、计算机设备和系统 |
| CN113987519A (zh) * | 2021-11-05 | 2022-01-28 | 湖北天融信网络安全技术有限公司 | 漏洞规则库生成方法、装置、电子设备、存储介质及系统 |
| US20220086645A1 (en) * | 2020-09-15 | 2022-03-17 | Sophos Limited | System and method for rogue device detection |
| CN114282212A (zh) * | 2021-12-08 | 2022-04-05 | 珠海豹好玩科技有限公司 | 流氓软件识别方法、装置、电子设备及存储介质 |
| CN114329489A (zh) * | 2021-12-28 | 2022-04-12 | 安天科技集团股份有限公司 | Web应用程序漏洞攻击检测方法、服务器、电子设备及存储介质 |
-
2022
- 2022-08-12 CN CN202210970228.8A patent/CN116049820A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111832021A (zh) * | 2020-06-23 | 2020-10-27 | 华中科技大学 | 一种安卓应用流氓行为的识别方法及系统 |
| US20220086645A1 (en) * | 2020-09-15 | 2022-03-17 | Sophos Limited | System and method for rogue device detection |
| CN112910895A (zh) * | 2021-02-02 | 2021-06-04 | 杭州安恒信息技术股份有限公司 | 网络攻击行为检测方法、装置、计算机设备和系统 |
| CN113987519A (zh) * | 2021-11-05 | 2022-01-28 | 湖北天融信网络安全技术有限公司 | 漏洞规则库生成方法、装置、电子设备、存储介质及系统 |
| CN114282212A (zh) * | 2021-12-08 | 2022-04-05 | 珠海豹好玩科技有限公司 | 流氓软件识别方法、装置、电子设备及存储介质 |
| CN114329489A (zh) * | 2021-12-28 | 2022-04-12 | 安天科技集团股份有限公司 | Web应用程序漏洞攻击检测方法、服务器、电子设备及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116886755A (zh) * | 2023-09-08 | 2023-10-13 | 安擎计算机信息股份有限公司 | 一种被测服务器的保活方法及装置 |
| CN116886755B (zh) * | 2023-09-08 | 2023-11-17 | 安擎计算机信息股份有限公司 | 一种被测服务器的保活方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11947974B2 (en) | Application start method and electronic device | |
| CN114553814B (zh) | 处理推送消息的方法和装置 | |
| CN113568634B (zh) | 应用优化的处理方法及处理装置 | |
| CN112860445B (zh) | 一种快应用与原生应用间数据共享的方法及终端 | |
| WO2022253158A1 (zh) | 一种用户隐私保护方法及装置 | |
| CN116049820A (zh) | 流氓应用检测方法、电子设备及通信系统 | |
| CN115017498B (zh) | 小应用程序的操作方法和电子设备 | |
| CN114884685B (zh) | 电子设备的安全管理方法、电子设备及其可读介质 | |
| CN116527266A (zh) | 数据归集方法及相关设备 | |
| CN116048544B (zh) | 一种弹窗广告的处理方法、电子设备及可读存储介质 | |
| CN117009023B (zh) | 显示通知信息的方法及相关装置 | |
| CN116048545B (zh) | 一种弹窗广告的处理方法、电子设备及可读存储介质 | |
| CN115828227B (zh) | 识别广告弹窗的方法、电子设备及存储介质 | |
| CN116049867B (zh) | 反诈方法、图形界面和相关装置 | |
| CN116048685B (zh) | 杂志锁屏的显示方法、图形界面及电子设备 | |
| CN118134617A (zh) | 反诈信息推送方法、图形界面及相关装置 | |
| CN116033341B (zh) | 触发围栏事件的方法和装置 | |
| CN116027933B (zh) | 处理服务信息的方法和装置 | |
| CN113867999B (zh) | 应用异常处理方法、终端及计算机可读存储介质 | |
| CN116048829B (zh) | 接口调用方法、设备及存储介质 | |
| CN117499928A (zh) | 一种设备安全处理方法及电子设备 | |
| CN117633773A (zh) | 拦截补丁的方法和电子设备 | |
| CN117687708A (zh) | 开机方法及电子设备 | |
| CN117784990A (zh) | 在任务栏显示应用程序的图标的方法及相关装置 | |
| CN118260121A (zh) | 应用修复的方法、装置和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |