1.一种恶意应用程序的检测方法,其特征在于,所述方法包括:
获取待检测应用程序的证书序列号和程序特征信息,所述程序特征信息为所述待检测应用程序设定的待运行的信息,所述程序特征信息包括调用接口、系统命令和申请权限中的至少两种特征信息;
根据预设的证书序列号黑名单,对所述证书序列号进行检测,所述证书序列号黑名单包括已知恶意应用程序的证书序列号;
若所述预设的证书序列号黑名单中存在所述证书序列号,则确定所述待检测应用程序为恶意应用程序;
若所述预设的证书序列号黑名单中不存在所述证书序列号,则根据所述程序特征信息,确定所述待检测应用程序是否为恶意应用程序。
2.如权利要求1所述的方法,其特征在于,根据所述程序特征信息,确定所述待检测应用程序是否为恶意应用程序,包括:
若所述程序特征信息满足预设恶意应用程序检测条件,则确定所述待检测应用程序为恶意应用程序;
当所述程序特征信息包括所述调用接口和所述申请权限时,所述预设恶意应用程序检测条件包括:预设的调用接口黑名单中不存在所述调用接口,且所述申请权限对应的权限似然比大于预设概率阈值;其中,所述权限似然比用于描述所述待检测应用程序具有所述申请权限的条件下,使所述待检测应用程序成为恶意应用程序的概率,所述调用接口黑名单包括已知的恶意应用程序频繁使用的涉及安全风险的调用接口;
当所述程序特征信息包括所述调用接口和所述系统命令时,所述预设恶意应用程序检测条件包括:预设的系统命令黑名单中不存在所述系统命令,且预设的调用接口黑名单中不存在所述调用接口,其中,所述系统命令黑名单包括已知的恶意应用程序使用的存在恶意行为的系统命令;
当所述程序特征信息包括所述申请权限和所述系统命令时,所述预设恶意应用程序检测条件包括:所述申请权限对应的权限似然比大于预设概率阈值,且预设的系统命令黑名单中不存在所述系统命令。
3.如权利要求2所述的方法,其特征在于,所述程序特征信息还包括意图信息;
当所述程序特征信息包括所述调用接口、所述申请权限和所述意图信息时,所述预设恶意应用程序检测条件包括:预设的调用接口黑名单中不存在所述调用接口、所述申请权限对应的权限似然比大于预设概率阈值和所述意图信息中不存在隐藏短消息的意图信息;
当所述程序特征信息包括所述调用接口、所述系统命令和所述意图信息时,所述预设恶意应用程序检测条件包括:预设的系统命令黑名单中不存在所述系统命令、预设的调用接口黑名单中不存在所述调用接口和所述意图信息中不存在隐藏短消息的意图信息;
当所述程序特征信息包括所述待申请的权限、所述系统命令和所述意图信息时,所述预设恶意应用程序检测条件包括:所述申请权限对应的权限似然比大于预设概率阈值、预设的系统命令黑名单中不存在所述系统命令和所述意图信息中不存在隐藏短消息的意图信息。
4.如权利要求2或3所述的方法,其特征在于,确定所述待检测应用程序是恶意应用程序之后,所述方法还包括:
根据所述恶意应用程序的程序特征信息与已知恶意类别的恶意应用程序的程序特征信息的相似性,确定所述恶意应用程序的恶意类别。
5.如权利要求4所述的方法,其特征在于,
根据所述恶意应用程序的程序特征信息与已知恶意类别的目标恶意应用程序的程序特征信息的相似性,确定所述恶意应用程序的恶意类别,包括:
采用needleman-wunsch算法,对所述恶意应用程序的字符串与所述目标恶意应用程序的每个字符串进行相似性运算,得到最大的相似性;
采用jaccard系数算法,对所述恶意应用程序的系统命令字符串与所述目标恶意应用程序的每个系统命令字符串进行相似性运算,得到最大的系统命令相似性;
采用levenshtein距离算法,对所述恶意应用程序的申请权限字符串与所述目标恶意应用程序的每个申请权限字符串进行相似性运算,得到最大的申请权限相似性;
采用预设累加算法,对所述最大的相似性、所述最大的系统命令相似性和所述最大的申请权限相似性进行累加,得到相似性分数;
若所述相似性分数大于预设分数阈值,则确定所述恶意应用程序的恶意类别与所述目标恶意应用程序的恶意类别相同。
6.如权利要求5所述的方法,其特征在于,所述相似性分数的公式表示为:
其中,wi是相关相似性的权重,
7.如权利要求2或3所述的方法,其特征在于,确定所述待检测应用程序是恶意应用程序之后,所述方法还包括:
生成告警信息,所述告警信息用于向用户展示所述待检测应用程序是恶意应用程序的信息。
8.一种恶意应用程序的检测装置,其特征在于,所述装置包括:获取单元、检测单元和确定单元;
所述获取单元,用于获取待检测应用程序的证书序列号和程序特征信息,所述程序特征信息为所述待检测应用程序设定的待运行的信息,所述程序特征信息包括调用接口、系统命令和申请权限中的至少两种特征信息;
所述检测单元,用于根据预设的证书序列号黑名单,对所述证书序列号进行检测,所述证书序列号黑名单包括已知恶意应用程序的证书序列号;
所述确定单元,用于若所述预设的证书序列号黑名单中存在所述证书序列号,则确定所述待检测应用程序为恶意应用程序;
若所述预设的证书序列号黑名单中不存在所述证书序列号,则根据所述程序特征信息,确定所述待检测应用程序是否为恶意应用程序。
9.如权利要求8所述的装置,其特征在于,
所述确定单元,具体用于若所述程序特征信息满足预设恶意应用程序检测条件,则确定所述待检测应用程序为恶意应用程序;
当所述程序特征信息包括所述调用接口和所述申请权限时,所述预设恶意应用程序检测条件包括:预设的调用接口黑名单中不存在所述调用接口,且所述申请权限对应的权限似然比大于预设概率阈值;其中,所述权限似然比用于描述所述待检测应用程序具有所述申请权限的条件下,使所述待检测应用程序成为恶意应用程序的概率,所述调用接口黑名单包括已知的恶意应用程序频繁使用的涉及安全风险的调用接口;
当所述程序特征信息包括所述调用接口和所述系统命令时,所述预设恶意应用程序检测条件包括:预设的系统命令黑名单中不存在所述系统命令,且预设的调用接口黑名单中不存在所述调用接口,其中,所述系统命令黑名单包括已知的恶意应用程序使用的存在恶意行为的系统命令;
当所述程序特征信息包括所述申请权限和所述系统命令时,所述预设恶意应用程序检测条件包括:所述申请权限对应的权限似然比大于预设概率阈值,且预设的系统命令黑名单中不存在所述系统命令。
10.如权利要求9所述的装置,其特征在于,所述程序特征信息还包括意图信息;
所述确定单元,还具体用于当所述程序特征信息包括所述调用接口、所述申请权限和所述意图信息时,所述预设恶意应用程序检测条件包括:预设的调用接口黑名单中不存在所述调用接口、所述申请权限对应的权限似然比大于预设概率阈值和所述意图信息中不存在隐藏短消息的意图信息;
当所述程序特征信息包括所述调用接口、所述系统命令和所述意图信息时,所述预设恶意应用程序检测条件包括:预设的系统命令黑名单中不存在所述系统命令、预设的调用接口黑名单中不存在所述调用接口和所述意图信息中不存在隐藏短消息的意图信息;
当所述程序特征信息包括所述待申请的权限、所述系统命令和所述意图信息时,所述预设恶意应用程序检测条件包括:所述申请权限对应的权限似然比大于预设概率阈值、预设的系统命令黑名单中不存在所述系统命令和所述意图信息中不存在隐藏短消息的意图信息。
11.如权利要求9或10所述的装置,其特征在于,
所述确定单元,还用于根据所述恶意应用程序的程序特征信息与已知恶意类别的恶意应用程序的程序特征信息的相似性,确定所述恶意应用程序的恶意类别。
12.如权利要求11所述的装置,其特征在于,
所述确定单元,还具体用于采用needleman-wunsch算法,对所述恶意应用程序的字符串与所述目标恶意应用程序的每个字符串进行相似性运算,得到最大的相似性;
采用jaccard系数算法,对所述恶意应用程序的系统命令字符串与所述目标恶意应用程序的每个系统命令字符串进行相似性运算,得到最大的系统命令相似性;
采用levenshtein距离算法,对所述恶意应用程序的申请权限字符串与所述目标恶意应用程序的每个申请权限字符串进行相似性运算,得到最大的申请权限相似性;
采用预设累加算法,对所述最大的相似性、所述最大的系统命令相似性和所述最大的申请权限相似性进行累加,得到相似性分数;
若所述相似性分数大于预设分数阈值,则确定所述恶意应用程序的恶意类别与所述目标恶意应用程序的恶意类别相同。
13.如权利要求12所述的装置,其特征在于,所述相似性分数的公式表示为:
其中,wi是相关相似性的权重,
14.如权利要求9或10所述的装置,其特征在于,所述装置还包括生成单元;
所述生成单元,用于生成告警信息,所述告警信息用于向用户展示所述待检测应用程序是恶意应用程序的信息。
15.一种电子设备,其特征在于,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现权利要求1-7任一所述的方法步骤。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-7任一所述的方法步骤。