一种软件在线检测方法、装置和服务器的制造方法
【技术领域】
[0001]本发明涉及信息安全领域,具体涉及一种软件在线检测方法、装置和服务器。
【背景技术】
[0002]在互联网领域,应用服务器是终端应用发布和传播的主要媒介。为防止恶意应用的传播和扩散,比较有效的方式在于对终端应用采取上线前的恶意性检测,它主要包括基于特征值匹配技术和基于行为的启发式检测技术两种,而启发式扫描技术包括静态启发式扫描和动态启发式扫描。
[0003]现有技术的不足之处在于,很多恶意程序和病毒并没有包含在终端应用的安装文件中,而是在应用安装后,以在线更新的方式下载来的。因此,软件上线前的恶意性检测并不能检查出这种场景的安全威胁;而且,即使找出了有问题的软件,但由于有时同一款软件会有不同的厂商进行研发并改进,这种软件都会叫一个名称,但是会有多个版本,所以当这种软件的某个版本出现恶意行为时,是不易分辨的;再者,软件上线前的恶意性检测需要2至3个小时的时间,而每天在应用服务器上需要上线的软件是成千上万的,所以,为了使软件及时上线,应用服务器并不能及时对所有软件进行上线前的恶意性检测;实际上,对于恶意代码或病毒而言,它们隐藏在终端应用中并在终端上运行,都带有恶意行为。恶意代码或病毒具有的恶意行为包括:不经用户允许上传用户通讯录、短信等隐私,泄露用户的隐私;或在用户不知情的情况下订购某项业务,无故增加用户的手机使用费用;因此恶意代码或病毒的出现为用户对终端的使用带来诸多不便。虽然上线前的安全检测尽管极其必要,但是现有的方式很显然不能完全杜绝用户收到恶意代码或病毒危害的可能性。
【发明内容】
[0004]为克服上述缺陷,本发明提供一种软件在线检测方法、装置和服务器。
[0005]第一方面,本发明实施例提供一种软件在线检测方法,用于服务器,所述方法包括如下步骤:
[0006]对上线前的软件进行恶意行为扫描;
[0007]若软件通过扫描,获得软件的用于表示软件身份的第一识别标识;
[0008]在所述服务器上存储所述软件和所述软件对应的所述第一识别标识;
[0009]当软件出现恶意行为时,所述服务器根据所述第一识别标识识别存在恶意行为的软件。
[0010]优选地,所述若软件通过扫描,则获得软件的用于表示软件身份第一识别标识具体包括:
[0011]为上线的软件分配服务器标识、开发商标识和软件标识;
[0012]对软件进行MD5加密,得到MD5值;
[0013]对所述服务器标识、所述开发商标识、所述软件标识和所述MD5值进行哈希运算,得到软件的所述第一识别标识。
[0014]优选地,所述方法还包括:
[0015]获取所述客户端的软件信息和对应的第二识别标识;
[0016]获取客户端所安装软件的软件行为,判定软件行为是否存在恶意行为,得到一判定结果;
[0017]当所述判定结果指示客户端所安装的软件存在恶意行为时,将所述第二识别标识与预先存储的所述第一识别标识进行比对,找出与所述第二识别标识相同的所述第一识别标识对应的软件;
[0018]将所有标识对应的软件进行恶意行为检测,找出具备在线更新恶意代码功能的软件;
[0019]从所述服务器下线所述具备在线更新恶意代码功能的软件,并向所述客户端发送检测结果。
[0020]优选地,所述方法还包括:
[0021]对所述客户端中所安装的软件进行监控;
[0022]将客户端所安装软件的软件信息发送至服务器,交由服务器判定客户端所安装软件是否存在恶意行为;
[0023]将客户端所安装软件的软件信息和对应的第二识别标识发送至服务器;
[0024]接收所述服务器发送的检测结果。
[0025]优选地,所述将所述客户端中所安装软件的第二识别标识和对应的软件信息发送到服务器包括:
[0026]计算所述客户端所安装软件的第二识别标识;
[0027]获取所述客户端的软件信息;
[0028]将所安装软件的第二识别标识和对应的软件信息发送到服务器。
[0029]第二方面,本发明实施例提供一种软件在线检测装置,用于服务器,所述装置包括:
[0030]扫描模块,用于对上线前的软件进行恶意行为扫描;
[0031]第一处理模块,用于若软件通过扫描,获得软件的用于表示软件身份的第一识别标识;
[0032]存储模块,用于在所述服务器上存储所述软件和所述软件对应的所述第一识别标识;
[0033]识别模块,用于当软件出现恶意行为时,所述服务器根据所述第一识别标识识别存在恶意行为的软件。
[0034]优选地,所述第一处理模块具体用于:
[0035]为上线的软件分配服务器标识、开发商标识和软件标识;
[0036]对软件进行MD5加密,得到MD5值;
[0037]对所述服务器标识、所述开发商标识、所述软件标识和所述MD5值进行哈希运算,得到软件的所述第一识别标识。
[0038]优选地,所述装置还包括:
[0039]第一获取模块,用于获取所述客户端的软件下载指令,向所述客户端传输所述下载指令中指定的软件;
[0040]接收模块,用于接收客户端所安装软件的软件信息和对应的第二识别标识;
[0041]第二获取模块,用于获取客户端所安装软件的软件行为,判定软件行为是否存在恶意行为,得到一判定结果;
[0042]比对模块,用于当所述判定结果指示客户端所安装的软件存在恶意行为时,将所述第二识别标识与预先存储的所述第一识别标识进行比对,找出与所述第二识别标识相同的所述第一识别标识对应的软件;
[0043]第一检测模块,用于将所有标识对应的软件进行恶意行为检测,找出具备在线更新恶意代码功能的软件;
[0044]第二处理模块,用于从所述服务器下线所述具备在线更新恶意代码功能的软件,并向所述客户端发送检测结果。
[0045]优选地,所述装置还包括:
[0046]第二检测模块,用于对所述客户端中所安装的软件进行监控;
[0047]第一发送模块,用于将客户端所安装软件的软件行为发送至服务器,交由服务器判定客户端所安装软件是否存在恶意行为;
[0048]第二发送模块,用于将客户端所安装软件的软件信息和对应的第二识别标识发送至服务器;
[0049]第二接收模块,用于接收所述服务器发送的检测结果。
[0050]优选地,所述第二发送模块具体包括:
[0051]计算所述客户端所安装软件的第二识别标识;
[0052]获取所述客户端中所安装软件的软件信息;
[0053]将所安装软件的第二识别标识和对应的软件信息发送到服务器。
[0054]第三方面本发明实施例提供一种服务器,包括:所述的软件在线检测装置。
[0055]本发明实施例提供的软件在线检测方法、装置和服务器,通过为所存储的软件设置唯一的识别标识,可以在软件出问题时,可以及时的找出有问题的软件,很好的解决了同一软件不同版本不好分辩的问题;在软件出现恶意行为时,获取客户端中安装的软件的识别标识,然后比对客户端中安装的软件和服务器中存储软件的第一识别标识,可以对在安装后以在线更新的方式产生恶意行为的软件进行检测,并能够及时检测出服务器中存在恶意行为的软件,为服务器不能及时对所有软件进行上线前的恶意性检测在第一时间进行补救;再者,服务器在第一时间将存在恶意行为的软件下线,同时通知客户端说明软件存在恶意行为,使客户端可以卸载该软件,以将存在恶意行为的软件给客户端带来的损失减到最小,方便用户对客户端的使用,避免了客户端因存在恶意行为的软件而在使用中存在不必要的麻烦的缺陷。
【附图说明】
[0056]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0057]图1表示软件在线检测方法的实施例流程图。
[0058]图2表示软件在线检测方法又一实施例的流程图。
[0059]图3表示软件在线检测装置实施例的示意图。
[0060]图4表示软件在线检测装置又一实施例的示意图。
【具体实施方式】
[0061]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0062]软件在线检测方法的流程图如图1所示,所述方法用于服务器,所述方法包