WO2016180211A1

WO2016180211A1 - 一种伪装应用的处理方法和装置

Info

Publication number: WO2016180211A1
Application number: PCT/CN2016/079927
Authority: WO
Inventors: 张冬明
Original assignee: 中兴通讯股份有限公司
Priority date: 2015-11-20
Filing date: 2016-04-21
Publication date: 2016-11-17
Also published as: CN106778261A

Abstract

一种伪装应用的处理方法和装置，所述装置包括初级特征信息匹配模块、筛选模块、深度特征信息匹配模块和处理模块，通过检测伪装应用的安装包获取其初级特征信息和深度特征信息与预定的特征库中的特征信息进行匹配，根据匹配的结果处理所述伪装软件。

Description

一种伪装应用的处理方法和装置

技术领域

本文涉及但不限于移动通信技术，尤指一种伪装应用的处理方法和装置。

背景技术

目前，随着智能手机的普及，智能手机可以通过各种渠道获取海量的第三方应用，然后第三方应用本身的质量参差不齐，尤其有大量的钓鱼类假应用伪装成金融、理财、即时通信等用户常用的热门应用，这些应用软件的外观、文字提示等与正版软件应用非常类似，从而使得用户按照正版软件应用来输入信息导致个人隐私信息泄露，甚至使得用户损失资金财产。

相关技术中，对于这些钓鱼类假应用的伪装都是通过杀毒引擎进行识别的，如果发现有这类应用则提示用户进行卸载。

但是，现在的杀毒引擎查杀钓鱼类伪装应用还是会产生漏网之鱼，而且无法及时的发现钓鱼类伪装应用，从而导致对用户的信息和财产安全构成了隐患。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本发明实施例提供一种伪装应用的处理方法和装置，可以及时地发现钓鱼类伪装应用，保护用户的信息和财产安全。

本发明采用如下技术方案：

一种伪装应用的处理方法，包括：

获取应用安装包的初级特征信息，将所述初级特征信息与预定的第一特征库中的特征信息进行匹配，所述初级特征信息包括所述应用安装包的基本参数；

根据所述初级特征信息的匹配结果筛选出匹配成功的应用安装包；

提取筛选出的应用安装包的深度特征信息，将所述深度特征信息与预定的第二特征库中的特征信息进行匹配，所述深度特征信息包括所述应用安装包数据中的特征信息；

根据所述深度特征信息的匹配结果处理所述应用。

可选地，所述获取所述应用安装包的初级特征信息包括：

获取一个或多个所述应用安装包能够进行匹配的基本参数，根据所获取的基本参数建立初级特征信息向量集。

可选地，所述将初级特征信息与所述预定的第一特征库中的特征信息进行匹配之后还包括：

若所述初级特征信息向量集中的特征信息向量与所述预定的第一特征库中的特征信息均匹配不成功，则安装所述应用。

可选地，所述提取筛选出的应用安装包的深度特征信息包括：

按照预定的算法类型及相关参数信息对所述应用安装包中的数据进行抽样，生成表征所述应用安装包的深度特征信息的摘要文件。

可选地，所述将深度特征信息与所述预定的第二特征库中的特征信息进行匹配包括：

将所述摘要文件与预定的第二特征库中的摘要文件进行相似度的计算。

可选地，所述根据匹配的结果处理所述应用包括：

若所述深度特征信息的摘要文件与预定特征库中的摘要文件的相似度低于预定阀值，则提示风险信息。

可选地，所述根据匹配的结果处理所述应用包括：

若所述深度特征信息的摘要文件与预定的第二特征库中的摘要文件的相似度高于预定阀值或者接收到安装的指示，则安装所述应用。

可选地，在安装所述应用之后，还包括：

将所安装的应用的深度特征信息添加进所述预定的第二特征库。

一种伪装应用的处理装置，包括：

初级特征信息匹配模块，设置成获取应用安装包的初级特征信息，将所述初级特征信息与预定的第一特征库中的特征信息进行匹配，所述初级特征信息包括所述应用安装包的基本参数；

筛选模块，设置成根据所述初级特征信息的匹配结果筛选出匹配成功的应用安装包；

深度特征信息匹配模块，设置成提取筛选出的应用安装包的深度特征信息，将所述深度特征信息与预定的第二特征库中的特征信息进行匹配，所述深度特征信息包括所述应用安装包数据中的特征信息；

处理模块，设置成根据所述深度特征信息的匹配结果处理所述应用。

可选地，所述初级特征信息匹配模块获取应用安装包的初级特征信息包括：

所述初级特征信息匹配模块获取一个或多个所述应用安装包能够进行匹配的基本参数，根据所获取的基本参数建立初级特征信息向量集。

可选地，所述的装置还包括：

安装模块，设置成在所述初级特征信息匹配模块在将所述初级特征信息与所述预定的第一特征库中的特征信息进行匹配之后，当所述初级特征信息向量集中的特征信息向量与所述预定的第一特征库中的特征信息均匹配不成功时，安装所述应用。

可选地，所述深度特征信息匹配模块提取筛选出的应用安装包的深度特征信息包括：

所述深度特征信息匹配模块按照预定的算法类型及相关参数信息对所述应用安装包中的数据进行抽样，生成表征所述应用安装包的深度特征信息的摘要文件。

可选地，所述深度特征信息匹配模块将所述深度特征信息与所述预定的第二特征库中的特征信息进行匹配包括：

所述深度特征信息匹配模块将所述摘要文件与所述预定的第二特征库中的摘要文件进行相似度的计算。

可选地，所述处理模块根据匹配的结果处理所述应用包括：

所述处理模块当所述深度特征信息的摘要文件与所述预定的第二特征库中的摘要文件的相似度低于预定阀值时，提示风险信息。

可选地，所述的装置还包括：安装模块；

所述处理模块根据匹配的结果处理所述应用包括：

所述处理模块当所述深度特征信息的摘要文件与预定的第二特征库中的摘要文件的相似度高于预定阀值时或者接收到安装的指示时，指示所述安装模块安装所述应用。

可选地，所述的装置还包括：

添加模块，设置成在安装模块安装所述应用之后，将所安装应用的深度特征信息添加进预定的第二特征库。

一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行上述方法。

本发明实施例提供一种伪装应用的处理方法和装置，装置包括初级特征信息匹配模块、筛选模块、深度特征信息匹配模块和处理模块，通过检测伪装应用的安装包获取其初级特征信息和深度特征信息与预定的特征库中的特征信息进行匹配，根据匹配的结果处理所述伪装软件，从而可以及时地发现钓鱼类伪装应用，保护用户的信息和财产安全。在阅读并理解了附图和详细描述后，可以明白其它方面。

附图概述

图1为本发明实施例提供的伪装应用的处理方法之一的流程示意图；

图2为本发明实施例提供的伪装应用的处理方法之二的流程示意图；

图3为本发明实施例提供的伪装应用的处理装置之一的结构示意图；

图4为本发明实施例提供的伪装应用的处理装置之二的结构示意图。

本发明的实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本发明实施例涉及的方法可以应用于可以需要安装应用程序的终端或者平台，例如可以是智能手机、平板电脑、手持机、计算机、服务器等，但并不以此为限。

本发明实施例涉及的方法，旨在解决相关技术中杀毒引擎查杀钓鱼类伪装应用还是会产生漏网之鱼，而且无法及时的发现钓鱼类伪装应用，从而导致对用户的信息和财产安全构成了隐患的问题。

下面以实施例对技术方案进行详细说明。下面这几个实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。

图1为本发明实施例提供的一种伪装应用的处理方法实施例一的流程示意图，本实施例涉及的是实现识别伪装应用以及处理的过程。如图1所示，该方法包括步骤S101～S104：

S101、获取应用安装包的初级特征信息，将所述初级特征信息与预定的第一特征库中的特征信息进行匹配，所述初级特征信息包括所述应用安装包的基本参数。

通常，用户使用智能终端的应用来提供某些服务，会需要先安装这些应用，应用的安装包在智能终端平台上进行运行时，可以获取这些应用安装包的初级特征信息，该初级特征信息用于快速检索、识别安装包，包含这些应用安装包的基本参数，并将该初级特征信息与所述预定的第一特征库中的特征信息进行匹配；该预定的第一特征库中可以预先设定有一个或多个根据相关技术知悉的常用的参考应用数据包，该参考应用数据包可以包含安装包的初级特征信息。

S102、根据所述初级特征信息的匹配结果筛选出匹配成功的应用安装包。

可选地，通过将这些应用安装包的初级特征信息与所述预定的第一特征库中的特征信息进行匹配，如果检索到有部分初级特征信息相同的应用安装包，则筛选出需要进一步深度识别的疑似应用的安装包，以防止漏检。

S103、提取筛选出的应用安装包的深度特征信息，将所述深度特征信息与预定的第二特征库中的特征信息进行匹配，所述深度特征信息包括所述应用安装包数据中的特征信息。

可选地，从筛选出的应用安装包中提取深度特征信息，该深度特征信息包括所述应用安装包数据中的特征信息，可以是在计算复杂度运行前提下能深度刻画这些应用安装包的详细特征，深度特征提取算法可灵活选择，根据实际情况而定，将所述深度特征信息与所述预定的第二特征库中的特征信息进行匹配，该预定的第二特征库中可以预先设定有一个或多个根据现有技术知悉的常用的参考应用数据包，该数据应用数据包可以包含有能深度匹配的深度匹配特征信息。

S104、根据所述深度特征信息的匹配结果处理所述应用。

本实施例中，通过初级特征信息和深度特征信息的匹配，能够更加精准的匹配出这些应用是不是伪装应用，如果是伪装应用，可以提示用户对这些应用进行处理，如果不是伪装应用，可以使得该应用继续正常运行或正常安装。

本发明实施例提供的一种伪装应用的处理方法，该方法通过检测应用安装包获取其初级特征信息和深度特征信息与预定的特征库中的特征信息进行匹配，根据匹配的结果处理所述应用安装包，从而可以及时地发现钓鱼类伪装应用，保护用户的信息和财产安全。

图2为本发明实施例提供的一种伪装应用的处理方法实施例二的流程示意图，如图2所示，开始安装后先根据第一特征库进行初级特征信息匹配，如果初级特征信息匹配成功则根据第二特征库进行深度特征信息匹配，如果深度特征信息匹配不成功(比如摘要文件的相似度低于预定阈值)则提示风险信息，如果匹配成功或者提示风险后用户允许安装则安装应用；如果初级特征信息匹配不成功也安装应用；安装应用后判断是否添加进特征库，如果不添加则退出安装，如果添加则将深度特征信息添加到第二特征库；当提示风险信息后，如果用户不允许安装则退出安装。

在上述实施例的基础上，所述获取所述应用安装包的初级特征信息可以包括：

获取至少一个所述应用安装包可以进行匹配的基本参数，根据所获取的基本参数建立初级特征信息向量集。

可选地，每个应用安装包的初级特征信息包括所述应用安装包的基本参数，如应用名称、文件名、数据包名、类型、版本号、文件大小等，但并不限于此，其中，典型实施方式是获取至少一个该应用安装包可以进行匹配的基本参数，根据所获取的基本参数建立初级特征信息向量集，例如，该初级特征信息向量集可以仅是应用名称和类型，还可以是版本号和文件大小等，可以根据实际情况来定，只要能实现这些应用安装包的匹配即可，从而可以快速完成的初检，便于后续的初级特征信息匹配。

可选地，在上述实施例的基础上，所述将初级特征信息与所述预定的第一特征库中的特征信息进行匹配之后还包括：

可选地，若所述初级特征信息向量集中的特征信息向量与所述预定的第一特征库中的特征信息均匹配不成功，即应用名称、文件名、数据包名、类型、版本号、文件大小等均没有匹配到相似或者相同的内容，为了提供系统的运行效率，则不再继续检测，直接安装该应用，便于用户使用。

可选地，在上述实施例的基础上，所述提取筛选出的应用安装包的深度特征信息包括：

可选地，对于深度特征信息提取，典型实施方式是对这些应用安装包文件的字节码按照预定的算法进行抽样，形成可以表征所述应用安装包的深度特征信息的摘要文件。这个摘要文件可用于后续的深度特征匹配。例如，基于按照预定的参数，对字节码文件进行伪随机抽样，按照类似随机的顺序和间隔遍历安装包字节码文件，抽取的字节码形成远小于应用安装文件大小的摘要文件。除了伪随机抽样，也可采用诸如均匀抽样，自定义抽样函数等抽样方法。在最终生成的深度特征信息摘要文件中，文件头可以包括抽样算法类型及相关参数，以及真正提取到的抽样数据，从而可以提高匹配的效率。

可选地，在上述实施例的基础上，所述将深度特征信息与所述预定的第二特征库中的特征信息进行匹配包括：

可选地，在上述实施例的基础上，可以提取到能够表征这些应用安装包的深度特征信息的摘要文件，其中，提取应用安装包的算法类型与相关参数应与特征库中能够匹配的深度特征信息提取的参数相同。然后将应用安装包中的摘要文件与特征库中的摘要文件进行相关计算，进而计算出相似度，例如，可计算摘要文件之间的方差、相关系数、PSNR、品质因数等参数，可以根据实际情况而定，但并不以此为限。

可选地，在上述实施例的基础上，上述步骤104包括：

若所述深度特征信息的摘要文件与预定特征库中的摘要文件的相似度低于预定阀值，提示风险信息。

可选地，计算所述深度特征信息的摘要文件与预定的第二特征库中的摘要文件的相似度后，若相似度低于预定阈值(其中，该预定阀值可以根据实际情况而定)，则判断匹配失败，提示用户这些应用有安装风险，让用户知悉风险后可以根据自己的意愿决定是否安装。

可选地，在上述实施例的基础上，上述步骤104包括：

若所述深度特征信息的摘要文件与预定的第二特征库中的摘要文件的相似度高于预定阀值或者接收到安装的指示，安装所述应用。

可选地，计算所述深度特征信息的摘要文件与预定的第二特征库中的摘要文件的相似度后，若相似度高于预定的阈值，即判断匹配成功，可以直接安装所述应用，或者若相似度低于预定的阈值的情况下，用户仍想安装该应用，即接收到用户给出安装的指示，则仍然继续安装该应用。

所述深度特征信息的摘要文件与预定的第二特征库中的摘要文件的相似度等于预定阀值时，可以自行设置当成匹配成功还是匹配失败。

可选地，在上述实施例的基础上，在安装所述应用之后，还包括：

将所安装应用的深度特征信息添加进预定的第二特征库。

可选地，如果用户认为安装的应用可以信任，可以点击相关的选项，指示将本次提取的应用安装包的深度特征信息存入预定的第二特征库中，从而丰富第二特征库，此外，预定的第一特征库和第二特征库可以是同一个也可以不同，还可以借助海量用户交互的数据，通过云端升级的方式来不段更新和完善，但并不限于此。

此外，在实施过程中，为提高方法的鲁棒性，防止恶意软件应用对本发明实施例的方法解析后进行规避，可以将初级特征信息、深度特征信息以及相关数据进行全局加密存储，或者对部分核心参数和数据进行局部加密，只在运行阶段才将参数解密，从而动态的根据解密出的参数来进行特征信息提取和特征信息匹配计算。

本发明实施例提供了初级特征信息匹配和深度特征信息匹配的分级匹配方案，实施时可只采用其中一级匹配，便于简化流程，但这样可能提高漏检率或错检率，也可能牺牲一定的计算效率。

图3为本发明实施例提供的伪装应用的处理装置实施例一的结构示意图，如图3所示，该装置包括：初级特征信息匹配模块10、筛选模块20、深度特征信息匹配模块30和处理模块40；

所述初级特征信息匹配模块10，设置成获取应用安装包的初级特征信息，将所述初级特征信息与所述预定的第一特征库中的特征信息进行匹配，所述初级特征信息包括所述应用安装包的基本参数；

所述筛选模块20，设置成根据所述初级特征信息的匹配结果筛选出匹配成功的应用安装包；

所述深度特征信息匹配模块30，设置成提取筛选出的应用安装包的深度特征信息，将所述深度特征信息与预定的第二特征库中的特征信息进行匹配，所述深度特征信息包括所述应用安装包数据中的特征信息；

所述处理模块40，设置成根据所述深度特征信息的匹配结果处理所述应用。

本发明实施例提供的一种伪装应用的处理装置，包括初级特征信息匹配模块10、筛选模块20、深度特征信息匹配模块30和处理模块40，通过检测应用安装包获取其初级特征信息和深度特征信息与预定的特征库中的特征信息进行匹配，根据匹配的结果处理所述应用安装包，从而可以及时地发现钓鱼类伪装应用，保护用户的信息和财产安全。

可选地，在上述实施例的基础上，所述初级特征信息匹配模块10获取应用安装包的初级特征信息包括：

所述初级特征信息匹配模块10获取至少一个该应用安装包可以进行匹配的基本参数，根据所获取的基本参数建立初级特征信息向量集。

本发明实施例提供的装置，可以执行上述方法实施例，其实现原理和技术效果类似，在此不再赘述。

可选地，图4为本发明实施例提供的伪装应用的处理装置实施例二的结构示意图，在上述实施例的基础上，如图4所示，所述装置还包括：安装模块50；

所述安装模块50，设置成在所述初级特征信息匹配模块在将所述初级特征信息与所述预定的第一特征库中的特征信息进行匹配之后，当所述初级特征信息向量集中的特征信息向量与所述预定的第一特征库中的特征信息均匹配不成功时，安装所述应用。

可选地，在上述实施例的基础上，所述深度特征信息匹配模块30提取筛选出的应用安装包的深度特征信息包括：

所述深度特征信息匹配模块30按照预定的算法类型及相关参数信息对所述应用安装包中的数据进行抽样，生成表征所述应用安装包的深度特征信息的摘要文件。

可选地，在上述实施例的基础上，所述深度特征信息匹配模块30将所述深度特征信息与所述预定的第二特征库中的特征信息进行匹配包括：

所述深度特征信息匹配模块30将所述摘要文件与预定的第二特征库中的摘要文件进行相似度的计算。

可选地，如图4所示，在上述实施例的基础上，所述处理模块40根据匹配的结果处理所述应用包括：

所述处理模块40当所述深度特征信息的摘要文件与预定的第二特征库中的摘要文件的相似度低于预定阀值时，提示风险信息。

可选地，如图4所示，在上述实施例的基础上，所述装置还包括安装模块50；

所述处理模块40根据匹配的结果处理所述应用包括：

所述处理模块40当所述深度特征信息的摘要文件与预定的第二特征库中的摘要文件的相似度高于预定阀值或者接收到安装的指示时，指示所述安装模块50安装所述应用。

可选地，在上述实施例的基础上，如图4所示，所述装置还包括：添加模块60。

所述添加模块60，设置成在安装模块50安装所述应用之后，将所安装应用的深度特征信息添加进预定的第二特征库。

本发明实施例还提供了一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行上述方法。

工业实用性

本发明实施例提供一种伪装应用的处理方法和装置，装置包括初级特征信息匹配模块、筛选模块、深度特征信息匹配模块和处理模块，通过检测伪装应用的安装包获取其初级特征信息和深度特征信息与预定的特征库中的特征信息进行匹配，根据匹配的结果处理所述伪装软件，从而可以及时地发现钓鱼类伪装应用，保护用户的信息和财产安全。

Claims

一种伪装应用的处理方法，包括：

获取应用安装包的初级特征信息，将所述初级特征信息与预定的第一特征库中的特征信息进行匹配，所述初级特征信息包括所述应用安装包的基本参数；

根据所述初级特征信息的匹配结果筛选出匹配成功的应用安装包；

提取筛选出的应用安装包的深度特征信息，将所述深度特征信息与预定的第二特征库中的特征信息进行匹配，所述深度特征信息包括所述应用安装包数据中的特征信息；

根据所述深度特征信息的匹配结果处理所述应用。
根据权利要求1所述的方法，其中，所述获取所述应用安装包的初级特征信息包括：

获取一个或多个所述应用安装包能够进行匹配的基本参数，根据所获取的基本参数建立初级特征信息向量集。
根据权利要求2所述的方法，其中，所述将初级特征信息与所述预定的第一特征库中的特征信息进行匹配之后还包括：

若所述初级特征信息向量集中的特征信息向量与所述预定的第一特征库中的特征信息均匹配不成功，则安装所述应用。
根据权利要求1所述的方法，其中，所述提取筛选出的应用安装包的深度特征信息包括：

按照预定的算法类型及相关参数信息对所述应用安装包中的数据进行抽样，生成表征所述应用安装包的深度特征信息的摘要文件。
根据权利要求4所述的方法，其中，所述将深度特征信息与所述预定的第二特征库中的特征信息进行匹配包括：

将所述摘要文件与预定的第二特征库中的摘要文件进行相似度的计算。
根据权利要求5所述的方法，其中，所述根据匹配的结果处理所述应用包括：

若所述深度特征信息的摘要文件与预定特征库中的摘要文件的相似度低于预定阀值，则提示风险信息。
根据权利要求5所述的方法，其中，所述根据匹配的结果处理所述应用包括：

若所述深度特征信息的摘要文件与预定的第二特征库中的摘要文件的相似度高于预定阀值或者接收到安装的指示，则安装所述应用。
根据权利要求7所述的方法，其中，在安装所述应用之后，还包括：

将所安装的应用的深度特征信息添加进所述预定的第二特征库。
一种伪装应用的处理装置，包括：

初级特征信息匹配模块，设置成获取应用安装包的初级特征信息，将所述初级特征信息与预定的第一特征库中的特征信息进行匹配，所述初级特征信息包括所述应用安装包的基本参数；

筛选模块，设置成根据所述初级特征信息的匹配结果筛选出匹配成功的应用安装包；

深度特征信息匹配模块，设置成提取筛选出的应用安装包的深度特征信息，将所述深度特征信息与预定的第二特征库中的特征信息进行匹配，所述深度特征信息包括所述应用安装包数据中的特征信息；

处理模块，设置成根据所述深度特征信息的匹配结果处理所述应用。
根据权利要求9所述的装置，其中，所述初级特征信息匹配模块获取应用安装包的初级特征信息包括：

所述初级特征信息匹配模块获取一个或多个所述应用安装包能够进行匹配的基本参数，根据所获取的基本参数建立初级特征信息向量集。
根据权利要求10所述的装置，还包括：

安装模块，设置成在所述初级特征信息匹配模块在将所述初级特征信息与所述预定的第一特征库中的特征信息进行匹配之后，当所述初级特征信息向量集中的特征信息向量与所述预定的第一特征库中的特征信息均匹配不成功时，安装所述应用。
根据权利要求9所述的装置，其中，所述深度特征信息匹配模块提取筛选出的应用安装包的深度特征信息包括：

所述深度特征信息匹配模块按照预定的算法类型及相关参数信息对所述应用安装包中的数据进行抽样，生成表征所述应用安装包的深度特征信息的摘要文件。
根据权利要求12所述的装置，其中，所述深度特征信息匹配模块将所述深度特征信息与所述预定的第二特征库中的特征信息进行匹配包括：

所述深度特征信息匹配模块将所述摘要文件与所述预定的第二特征库中的摘要文件进行相似度的计算。
根据权利要求13所述的装置，其中，所述处理模块根据匹配的结果处理所述应用包括：

所述处理模块当所述深度特征信息的摘要文件与所述预定的第二特征库中的摘要文件的相似度低于预定阀值时，提示风险信息。
根据权利要求13所述的装置，还包括：安装模块；

所述处理模块根据匹配的结果处理所述应用包括：

所述处理模块当所述深度特征信息的摘要文件与预定的第二特征库中的摘要文件的相似度高于预定阀值时或者接收到安装的指示时，指示所述安装模块安装所述应用。
根据权利要求15所述的装置，还包括：

添加模块，设置成在安装模块安装所述应用之后，将所安装应用的深度特征信息添加进预定的第二特征库。