针对灰色应用软件的检测方法、装置与流程

1.本发明涉及网络信息监管技术领域，尤其涉及一种针对灰色应用软件的检测方法、装置。


背景技术：

2.移动通信设备的发展速度越来越快，与之相对应的，应用软件的数量和种类也在急剧上涨。
3.在移动通信设备的发展初期，应用软件在上架和更新之前，需要经过人工审核，但是现在由于应用软件的数量和种类繁多，难以通过人工的方式逐一进行审核，效率很低，会影响应用软件上架和更新的时间，因此，为了提升效率，开始设计计算机软件程序对应用软件进行审核。
4.现有技术中采用的审核方案，主要是针对应用软件在运行过程中是否会对运行环境发起攻击，不正当的获取和利用信息。但是，许多违规的灰色软件并非目的在于对运行环境进行攻击，而是在内容上涉及诸多违反法律法规，并且该类应用软件会进行一定的伪装，在运行界面上不会展示违规内容，而是在进入一定的运行界面中进行展示，或者将违规链接植入应用软件之中，使用现有的审核方案，将会遗漏该类灰色软件，进而对网络环境造成不良影响。


技术实现要素：

5.发明目的：本发明提供一种针对灰色应用软件的检测方法、装置，旨在通过对应用软件的模拟运行和访问权限的获取，对应用软件中的内容和涉及的外部链接进行识别，判断应用软件在内容上是否属于灰色应用软件，通过引入并分析应用软件的用户群体在使用应用软件的行为和信息痕迹，提升检测结果的准确度和检测效率。
6.技术方案：本发明提供一种针对灰色应用软件的检测方法，包括：将应用软件输入静态分析引擎和动态沙盒之中；在动态沙盒中模拟应用软件的运行环境和用户的使用过程，同步通过静态分析引擎反编译所述应用程序，识别应用软件的访问窗口，并获取相应的访问权限，授权应用软件申请获取的运行环境权限，通过输入访问权限进入应用软件的每个运行阶段，并且记录在运行过程中出现的内部内容和外部链接；识别内部内容，输出存在风险的概率；运行外部链接，对访问目标的地址和内容进行识别，输出存在风险的概率；获取应用软件的用户群体在使用软件的特定时间区间内访问的目标链接，对目标链接的地址和内容进行识别，输出存在风险的概率；对应用软件对于访问权限数据的转送地址进行识别，输出存在风险的概率；对应用软件通过运行环境权限获取的运行环境数据的转送地址进行识别，输出存在风险的概率；根据存在风险的概率，判断应用软件是否属于灰色应用软件。
7.具体的，所述动态沙盒模拟应用软件的运行时间和运行地址；运行时间和运行地址，根据应用软件的用户群体的使用时间和使用地址分布进行确定。
8.具体的，根据访问窗口的登录方式，模拟相应的第三方应用程序或通信号码。
9.具体的，访问目标和目标链接的内容识别，包括：使用相应的识别模型，对文档格式、图片格式和声音格式的数据进行内容识别。
10.具体的，获取应用软件的用户群体在使用软件的特定时间区间内访问的目标链接，包括：排除在运行过程中出现的外部链接；所述特定时间区间，根据用户使用应用软件的平均时间确定。
11.具体的，访问权限数据的转送地址进行识别，包括：识别转送地址与访问权限数据的发行方之间是否存在关联。
12.具体的，访问权限数据的转送地址进行识别，包括：识别转送地址与所述应用软件的发行方之间是否存在关联。
13.具体的，运行环境数据的转送地址进行识别，包括：识别转送地址与应用软件的发行方之间是否存在关联。
14.具体的，若不能获取访问窗口相应的访问权限，则识别应用软件的用户群体在特定时间区间的信息痕迹，提取其中的访问权限数据，用于访问窗口。
15.本发明还提供一种针对灰色应用软件的检测装置，包括：输入单元、模拟单元、识别单元和判断单元，其中：所述输入单元，用于将应用软件输入静态分析引擎和动态沙盒之中；所述模拟单元，用于在动态沙盒中模拟应用软件的运行环境和用户的使用过程，同步通过静态分析引擎反编译所述应用程序，识别应用软件的访问窗口，并获取相应的访问权限，授权应用软件申请获取的运行环境权限，通过输入访问权限进入应用软件的每个运行阶段，并且记录在运行过程中出现的内部内容和外部链接；所述识别单元，用于识别内部内容，输出存在风险的概率；运行外部链接，对访问目标的地址和内容进行识别，输出存在风险的概率；获取应用软件的用户群体在使用软件的特定时间区间内访问的目标链接，对目标链接的地址和内容进行识别，输出存在风险的概率；对应用软件对于访问权限数据的转送地址进行识别，输出存在风险的概率；对应用软件通过运行环境权限获取的运行环境数据的转送地址进行识别，输出存在风险的概率；所述判断单元，用于根据存在风险的概率，判断应用软件是否属于灰色应用软件。
16.有益效果：与现有技术相比，本发明具有如下显著优点：在内容上判断应用软件是否属于灰色应用软件，提升检测结果的准确度和检测效率。
附图说明
17.图1为本发明提供的针对灰色应用软件的检测方法的流程示意图。
具体实施方式
18.下面结合附图对本发明的技术方案作进一步说明。
19.参阅图1，其为本发明提供的针对灰色应用软件的检测方法的流程示意图。
20.步骤1，将应用软件输入静态分析引擎和动态沙盒之中。
21.在具体实施中，动态沙盒是一种计算机安全领域中的安全机制，为运行中的程序提供的隔离环境，通过动态沙盒模拟应用软件的运行环境，由此运行应用软件。由于某些应
用软件将违规外部链接植入应用软件中，应用软件在运行过程中主动通过外部链接载入违规内容，或者用户根据外部链接自行访问，在以上的情况下，仅通过应用软件的代码是无法有效识别的，需要对应用软件进行模拟运行才可以发现，另外，在一些情况下，应用软件对程序代码设置了防护措施，难以有效识别其中的关键信息，因此需要对应用软件进行模拟运行。
22.在具体实施中，在需要的情况下，动态沙盒也可以接入网络。
23.在具体实施中，静态分析引擎是用于对应用软件的程序进行反编译，对程序的代码进行解析，对访问窗口进行识别，获取对应的访问权限。访问窗口，具体是指需要输入特定权限信息或者账号信息，应用软件才能允许进入后续运行阶段的窗口（登录窗口）；访问权限，具体指特定权限信息或者账号信息。
24.在具体实施中，某些应用软件为了隐藏其中的违规信息，会将入口进行隐藏，或者设置多个入口，每个入口对应的运行界面不一致，仅仅通过运行界面的外观可能无法识别，因此需要通过静态分析引擎进行识别，并且在可能的情况下获取相应的访问权限，通过访问权限进入下一运行界面。
25.步骤2，在动态沙盒中模拟应用软件的运行环境和用户的使用过程，同步通过静态分析引擎反编译所述应用程序，识别应用软件的访问窗口，并获取相应的访问权限，授权应用软件申请获取的运行环境权限，通过输入访问权限进入应用软件的每个运行阶段，并且记录在运行过程中出现的内部内容和外部链接。
26.本发明实施例中，所述动态沙盒模拟应用软件的运行时间和运行地址；运行时间和运行地址，根据应用软件的用户群体的使用时间和使用地址分布进行确定。
27.在具体实施中，在动态沙盒模拟运行环境对应用软件进行运行的情况下，静态分析引擎同步对访问窗口进行识别，避免错过其中关键的访问窗口。
28.在具体实施中，由于某些应用软件为了规避检测，对于运行时间和运行地址做出了特别的要求，仅在一些特定的运行时间或者运行地址，应用软件会展示特定的内容或者展示特定的访问窗口，或者在一些特定的运行时间或者运行地址，应用软件会屏蔽特定的内容或者屏蔽特定的访问窗口，以上所述内容或者访问窗口，极有可能存在违规内容，因此需要对该类内容或者访问窗口严格审核，为了可以更加有效、准确的确定什么运行时间或者运行地址是符合应用软件的要求，可以获取所述应用软件的用户群体的使用时间和使用地址分布，根据时间分布和地址分布，可以依次模拟其中出现频率最高的时间和地址（在获得用户群体的授权的情况下获取相应的信息）；运行地址，具体指运行应用软件的ip地址。
29.本发明实施例中，根据访问窗口的登录方式，模拟相应的第三方应用程序或通信号码。
30.在具体实施中，应用软件的访问权限可能是需要第三方软件的授权信息，或者手机号码（通信号码）的验证，在以上情况下，可以通过模拟的方式通过访问窗口，当然，这里涉及的模拟并非指仿造，而是可以实用真实的信息，模拟登录的情景。
31.在具体实施中，在软件运行的过程中，对于出现的内部内容和外部链接都予以记录。外部链接，具体指应用软件中展示的可以用于访问其他目标或者下载其他应用软件的链接，由于某些应用软件仅仅起到指导的作用，也即提供如何进一步访问违规内容的方式，其本身不涉及违规内容，由此规避监管，因此对于外观链接同样予以检测。
32.在具体实施中，可以使用训练完成的链接识别模型对外部链接进行识别，以判断信息是否属于外部链接，或者输出属于外部链接的概率，在高于设定的标准概率的情况下，认定其属于外部链接。
33.步骤3，识别内部内容，输出存在风险的概率；运行外部链接，对访问目标的地址和内容进行识别，输出存在风险的概率；获取应用软件的用户群体在使用软件的特定时间区间内访问的目标链接，对目标链接的地址和内容进行识别（对目标链接同样需要运行），输出存在风险的概率；对应用软件对于访问权限数据的转送地址进行识别，输出存在风险的概率；对应用软件通过运行环境权限获取的运行环境数据的转送地址进行识别，输出存在风险的概率。
34.在具体实施中，使用相应的识别模型，对文档格式、图片格式和声音格式的数据进行内容识别。
35.在具体实施中，在识别内部内容，以及在对目标链接的内容进行识别时，由于某些灰色应用软件为了应对检测，会将相应的违规内容或者违规链接通过图片格式（图标格式包括pdf格式）或者声音格式的方式进行展示，因此，对于该种规避，需要使用相应的识别模型进行识别，例如文字识别模型、图片文字提取模型和声音识别模型。
36.在具体实施中，在内容识别过程中同样可以使用链接识别模型，如果发现了外部链接，那么将运行该外部链接，按照外部链接的识别方法进行检测，也即运行外部链接，对访问目标的地址和内容进行识别，输出存在风险的概率。
37.在具体实施中，在对各种格式的内容进行识别后，由于某些应用软件为了规避监管，将外部链接或者特定含义的内容进行划分，将划分后的外部链接或者内容分别以多个不同的格式（文档、图片或声音）进行展示，因此，孤立的对一种格式的信息进行识别是无法识别该种规避方案的，因此，可以在识别得到各种格式的信息之后，使用语义识别模型对信息进行组合和内容提取，如果组合得到的信息根据相应的链接识别模型判断，属于外部链接，则可以运行该外部链接，在一些情况下，由于语义识别模型的限制，或者内容识别模型的限制，外部链接在识别和获取过程中缺少了一些信息或者额外增加了一些信息，因此无法直接运行，可以使用网络搜索引擎对该外部链接信息进行网络检索，进而获得相关的检索信息，由此校正外部链接，或者识别检索信息以判断是否存在违规内容，输出存在风险的概率。
38.本发明实施例中，获取应用软件的用户群体在使用软件的特定时间区间内访问的目标链接，排除在运行过程中出现的外部链接。
39.本发明实施例中，所述特定时间区间，根据用户使用应用软件的平均时间确定。
40.在具体实施中，由于仅使用识别模型是难以准确识别应用软件中出现的所有内容，特别是应用软件中涉及的外部链接，因此，可以获取应用软件的用户群体在使用软件的特定时间区间内访问的目标链接（在获得用户群体的授权的情况下获取相应的信息），用户群体在时间区间访问的目标链接，存在一定的可能是应用软件提供的违规链接，由此可以更加有效和精准的发现应用软件是否存在违规。
41.本发明实施例中，访问权限数据的转送地址进行识别，识别转送地址与访问权限数据的发行方之间是否存在关联，识别转送地址与所述应用软件的发行方之间是否存在关联。
42.本发明实施例中，运行环境数据的转送地址进行识别，识别转送地址与应用软件的发行方之间是否存在关联。
43.在具体实施中，在使用访问权限数据通过访问窗口时，特别是使用第三方应用软件的授权信息或者手机号码等方式时，可以检测应用软件的操作，如果其不是将向访问权限数据的发行方进行验证，表明其存在违规利用的可能，如果也不是将访问权限数据和运行环境数据（应用软件获取的运行环境中的相关数据）转送至与应用软件的发行方相关的地址，也表明应用软件存在规避监管的可能，避免发现发行方与实际转送地址之间的关联，该类灰色软件也属于内容上存在违规行为。
44.在具体实施中，在发现以上不存在关联的情况下，可以对实际转送地址进行检索和识别，可以利用相关的数据库和检索引擎，检索该转送地址是否被标记为危险或者违规，作为是否存在风险的考量因素。
45.本发明实施例中，若不能获取访问窗口相应的访问权限，则识别应用软件的用户群体在特定时间区间的信息痕迹，提取其中的访问权限数据，用于访问窗口。
46.在具体实施中，某些特定的访问窗口的访问权限是难以获得的，但是这些窗口对应的内容存在违规的可能性较高，该类访问权限可能是通过其他途径提供给用户群体的，因此，可以通过获取用户群体在特定时间区间的信息痕迹（在获得用户群体的授权的情况下获取相应的信息），使用语义识别模型判断其中哪些信息涉及访问权限（账号和密码）等相关信息，提取该类信息用于通过访问窗口。
47.在具体实施中，对于内容、外部链接的地址和转送地址的识别和风险概率的判断，可以使用训练完成的相应的风险识别模型。
48.步骤4，根据存在风险的概率，判断应用软件是否属于灰色应用软件。
49.在具体实施中，可以设定标准风险概率，在步骤3中的四种风险概率中，一旦有一种风险的概率高于标准风险概率，即可以判断所述应用软件属于灰色应用软件。
50.本发明还提供一种针对灰色应用软件的检测装置，包括：输入单元、模拟单元、识别单元和判断单元，其中：所述输入单元，用于将应用软件输入静态分析引擎和动态沙盒之中；所述模拟单元，用于在动态沙盒中模拟应用软件的运行环境和用户的使用过程，同步通过静态分析引擎反编译所述应用程序，识别应用软件的访问窗口，并获取相应的访问权限，授权应用软件申请获取的运行环境权限，通过输入访问权限进入应用软件的每个运行阶段，并且记录在运行过程中出现的内部内容和外部链接；所述识别单元，用于识别内部内容，输出存在风险的概率；运行外部链接，对访问目标的地址和内容进行识别，输出存在风险的概率；获取应用软件的用户群体在使用软件的特定时间区间内访问的目标链接，对目标链接的地址和内容进行识别，输出存在风险的概率；对应用软件对于访问权限数据的转送地址进行识别，输出存在风险的概率；对应用软件通过运行环境权限获取的运行环境数据的转送地址进行识别，输出存在风险的概率；所述判断单元，用于根据存在风险的概率，判断应用软件是否属于灰色应用软件。
51.本发明实施例中，所述模拟单元，用于所述动态沙盒模拟应用软件的运行时间和运行地址；运行时间和运行地址，根据应用软件的用户群体的使用时间和使用地址分布进行确定。
52.本发明实施例中，所述模拟单元，用于根据访问窗口的登录方式，模拟相应的第三方应用程序或通信号码。
53.本发明实施例中，所述识别单元，用于使用相应的识别模型，对文档格式、图片格式和声音格式的数据进行内容识别。
54.本发明实施例中，所述识别单元，用于排除在运行过程中出现的外部链接；所述特定时间区间，根据用户使用应用软件的平均时间确定。
55.本发明实施例中，所述识别单元，用于识别转送地址与访问权限数据的发行方之间是否存在关联；识别转送地址与所述应用软件的发行方之间是否存在关联；识别转送地址与应用软件的发行方之间是否存在关联。
56.本发明实施例中，所述模拟单元，用于若不能获取访问窗口相应的访问权限，则识别应用软件的用户群体在特定时间区间的信息痕迹，提取其中的访问权限数据，用于访问窗口。