安全防护方法、装置及终端设备与流程

本申请涉及通信技术领域，尤其涉及一种安全防护方法、装置及终端设备。

背景技术：

随着终端的迅速普及，伴随而来的安全性问题日益突出，尤其是可在移动终端上运行的各种各样的应用所带来的安全性问题。当前，针对未知移动应用的安全性检测技术主要使用传统的静态检测技术，例如，特征码匹配技术。

特征码匹配技术主要在事先积累的大量样本的基础上，通过提取特征串的方式建立丰富的特征码库，然后在此基础上通过安全策略设定和打分机制对未知移动应用进行解析和特征匹配，以判断该未知移动应用是否为恶意应用。

但是目前的恶意应用查杀方式，在恶意应用有更新的情况下，很难及时更新特征码库，从而使得无法对新出现的恶意应用进行实时和有效的防护，增加了用户终端设备被破坏的风险。

技术实现要素：

本申请旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本申请的第一个目的在于提出一种安全防护方法，该方法通过根据应用访问的目的服务器地址，对恶意应用进行查杀，实现了对不断更新的恶意应用的实时和有效防护，减少了恶意应用查杀的时间，提高了终端设备的安全级别。

本申请的第二个目的在于提出一种安全防护装置。

本申请的第三个目的在于提出一种终端设备。

为达上述目的，本申请第一方面实施例提出了一种安全防护方法，包括：获取终端设备中各应用访问网络的数据包；判断所述数据包中包含的目的服务器地址是否在预设的地址库中，其中预设的地址库中包括恶意服务器的地址；若是，则确定发送所述数据包的应用中携带恶意程序。

在第一方面的一种可能的实现形式中，所述获取终端设备中各应用访问网络的数据包，包括：

通过监测所述终端设备中的虚拟网卡的网络接口，获取终端设备中各应用访问网络的数据包。

在第一方面的另一种可能的实现形式中，所述确定发送所述数据包的应用中携带恶意程序之后，还包括：

通过提示窗口，询问用户是否对发送所述数据包的应用进行卸载。

在第一方面的又一种可能的实现形式中，所述确定发送所述数据包的应用中携带恶意程序之后，还包括：

将与发送所述数据包的应用，对应的所有数据包进行拦截或丢包处理。

在第一方面的又一种可能的实现形式中，所述判断所述数据包中包含的目的服务器地址是否在预设的地址库中之后，还包括：

若否，则判断所述数据包对应的信息摘要，是否与预设的特征码库中的特征码匹配；

若是，则确定发送所述数据包的应用中携带恶意程序。

在第一方面的再一种可能的实现形式中，所述确定发送所述数据包的应用中携带恶意程序之后，还包括：

将所述数据包中包括的目的服务器地址，添加至所述预设的地址库中。

本申请实施例提供的安全防护方法，首先获取终端设备中各应用访问网络的数据包，然后判断数据包中包含的目的服务器地址是否在预设的地址库中，若在，则确定发送该数据包的应用中携带恶意程序。由此，通过根据应用访问的目的服务器地址，对恶意应用进行查杀，实现了对不断更新的恶意应用的实时和有效防护，减少了恶意应用查杀的时间，提高了终端设备的安全级别。

为达上述目的，本申请第二方面实施例提出了一种安全防护装置，包括：获取模块，用于获取终端设备中各应用访问网络的数据包；第一判断模块，用于判断所述数据包中包含的目的服务器地址是否在预设的地址库中，其中预设的地址库中包括恶意服务器的地址；确定模块，用于若所述目的地址在预设的地址库中，则确定发送所述数据包的应用中携带恶意程序。

在第二方面的一种可能的实现形式中，所述获取模块，具体用于：

通过监测所述终端设备中的虚拟网卡的网络接口，获取终端设备中各应用访问网络的数据包。

在第二方面的另一种可能的实现形式中，该安全防护装置，还包括：提示模块，用于通过提示窗口，询问用户是否对发送所述数据包的应用进行卸载。

在第二方面的又一种可能的实现形式中，该安全防护装置，还包括：拦截模块，用于将与发送所述数据包的应用，对应的所有数据包进行拦截或丢包处理。

在第二方面的又一种可能的实现形式中，该安全防护装置，还包括：第二判断模块，用于若所述数据包包含的目的地址不在预设的地址库中，则判断所述数据包对应的信息摘要，是否与预设的特征码库中的特征码匹配；所述确定模块，还用于若所述数据包对应的信息摘要与预设的特征吗库中的特征码匹配，则确定发送所述数据包的应用中携带恶意程序。

在第二方面的再一种可能的实现形式中，该安全防护装置，还包括：添加模块，用于将所述数据包中包括的目的服务器地址，添加至所述预设的地址库中。

本申请实施例提供的安全防护装置，首先获取终端设备中各应用访问网络的数据包，然后判断数据包中包含的目的服务器地址是否在预设的地址库中，若在，则确定发送该数据包的应用中携带恶意程序。由此，通过根据应用访问的目的服务器地址，对恶意应用进行查杀，实现了对不断更新的恶意应用的实时和有效防护，减少了恶意应用查杀的时间，提高了终端设备的安全级别。

为达上述目的，本申请第三方面实施例提出了一种终端设备，包括：处理器；和用于存储所述处理器的执行程序的存储器；其中，所述处理器，被配置为执行以下方法：获取终端设备中各应用访问网络的数据包；判断所述数据包中包含的目的服务器地址是否在预设的地址库中，其中预设的地址库中包括恶意服务器的地址；若是，则确定发送所述数据包的应用中携带恶意程序。

本申请实施例提供的终端设备，首先获取终端设备中各应用访问网络的数据包，然后判断数据包中包含的目的服务器地址是否在预设的地址库中，若在，则确定发送该数据包的应用中携带恶意程序。由此，通过根据应用访问的目的服务器地址，对恶意应用进行查杀，实现了对不断更新的恶意应用的实时和有效防护，减少了恶意应用查杀的时间，提高了终端设备的安全级别。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1是本申请一个实施例的安全防护方法的流程图；

图2是本申请另一个实施例的安全防护方法的流程图；

图3是本申请一个实施例的安全防护装置的结构图；

图4是本申请另一个实施例的安全防护装置的结构图；

图5是本申请一个实施例的终端设备的结构图。

具体实施方式

下面详细描述本申请的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本申请，而不能理解为对本申请的限制。

本申请各主要针对现有技术中，采用特征码匹配的方式进行恶意应用查杀的方式，由于特征码库无法与恶意应用的更新同步更新，而使得恶意会在用户的终端设备中保持一段时间，而对用户的终端设备进行破坏的问题，提出一种根据恶意服务器地址，来对恶意应用进行查杀的方法，由于一个恶意服务器会对应有多个恶意应用，即恶意应用的数量远小于恶意服务器的数量，从而使得根据一个恶意服务器地址就可以及时监测到多个恶意应用，进而对恶意应用进行查杀。

下面参考附图描述本申请实施例的安全防护方法。

图1是本申请一个实施例的安全防护方法的流程图。

如图1所示，该安全方法包括：

S101，获取终端设备中各应用访问网络的数据包。

具体的，本申请实施例提供的安全防护方法的执行主体为本申请实施例提供的安全防护装置，该装置可以被配置在任何具有操作系统，且可安装应用的终端设备中实现。

其中，终端设备的类型可以根据需要确定，比如可以为手机、电脑、智能穿戴设备等。

具体实现时，安全防护装置，可以通过监控终端设备的网络接口，来获取终端设备访问网络的数据包，或者也可以通过在终端设备上安装网络用于监控网络交互数据的应用，比如Fiddler等，来抓取终端设备访问网络的数据包。

在本实施例一种可能的实现形式中，对于操作系统为安卓(Android)系统的终端设备而言，由于该系统支持配置VPN service功能，而VPN service的一个重要功能就是“应用代理服务器”。终端设备中，一旦建立了VPN连接，终端设备上所有发送出去的数据包，都会被转发到虚拟网卡的网络接口上去，因此，本申请实施例中，还可以通过读取这个接口上的数据，来获得终端设备所有应用发送出去的网络数据包。即本申请一种可能的实现形式中，上述S101，包括：

通过监测所述终端设备中的虚拟网卡的网络接口，获取终端中各应用访问网络的数据包。

S102，判断所述数据包中包含的目的服务器地址是否在预设的地址库中，其中预设的地址库中包括恶意服务器的地址。

S103，若是，则确定发送所述数据包的应用中携带恶意程序。

其中，安全防护装置中可以提前预置，包括已知的各个恶意服务器地址的地址库。该地址库可以是用户预置的，也可以是安全防护装置，通过对大量的恶意应用进行分析后生成的，本实施例对此不作限定。

具体的，应用访问网络的数据包中，包括该应用要访问的目的服务器地址、访问请求数据等。安全防护装置在获取到应用访问网络的数据包后，即可从数据包中，读取目的服务器地址，进而再判断该数据包中包含的目的服务器地址，是否在预设的地址库中，若在，则可以确定该应用中携带恶意程序，比如有恶意插件等，进而即可对该应用进行处理，比如将与发送该所述数据包的应用，对应的所有数据包进行拦截或丢包处理，从而防止恶意服务器通过该应用破坏终端设备。

可以理解的是，由于恶意服务器地址的数量远少于恶意应用的数量，且恶意服务器地址的更新速度也远小于恶意应用的更新速度，将目的服务器地址与地址库中恶意服务器地址进行匹配的速度，远远大于将数据包中的特征码与大量特征码匹配的速度，因此采用本实施例提供的方法，可以及时、有效的对恶意应用进行查杀和防护，减少了恶意应用查杀的时间，提高了终端设备的安全等级。

本申请实施例提供的安全防护方法，首先获取终端设备中各应用访问网络的数据包，然后判断数据包中包含的目的服务器地址是否在预设的地址库中，若在，则确定发送该数据包的应用中携带恶意程序。由此，通过根据应用访问的目的服务器地址，对恶意应用进行查杀，实现了对不断更新的恶意应用的实时和有效防护，减少了恶意应用查杀的时间，提高了终端设备的安全级别。

通过上述分析可知，可以通过根据恶意服务器地址，对应用访问网络的数据包进行有效的监控和过滤，来对不断更新的恶意应用进行实时和有效的查杀。但是，在一种可能的实现形式中，若出现了新的恶意服务器地址，且安全防护装置未能及时更新地址库中的恶意服务器地址，此时，也可能会出现恶意应用在终端设备中存活一定时间的情况。下面结合图2对上述情况下，本申请提供的安全防护方法进行进一步说明。

图2是本申请另一个实施例的安全防护方法的流程图。

如图2所示，该安全防护方法，包括：

S201，通过监测所述终端设备中的虚拟网卡的网络接口，获取终端设备中各应用访问网络的数据包。

S202，判断所述数据包中包含的目的服务器地址是否在预设的地址库中，若是，则执行S203，否则，执行S204。

S203，确定发送所述数据包的应用中携带恶意程序。

其中，上述S201-S203可参照上述实施例中的S101-S103的详细说明，此处不再赘述。

S204，判断所述数据包对应的信息摘要，是否与预设的特征码库中的特征码匹配，若是，则执行S203，否则，执行S205。

S205，将所述数据包发送至所述目的服务器。

具体的，本申请实施例中，在根据数据包中的目的服务器地址，无法判断发送该数据包的应用是否为恶意应用时，则可以利用传统的特征码匹配的方式，对该数据包进行分析。

其中，数据包对应的信息摘要可以通过多种消息摘要算法确定，比如采用消息摘要算法第五版(Message-Digest Algorithm 5，简称MD5)、MD4、MD3等。即将整个数据包当作一个大文本信息，通过其不可逆的字符串变换算法，产生了这个数据包唯一的md5信息摘要。

具体实现时，安全防护装置中，可以提前预置包括所有恶意数据包对应的md5信息摘要的特征码库，其中，特征码库中的每一个特征码都对应一种恶意数据包的信息摘要。从而安全防护装置，在确定当前获取的数据包对应的信息摘要后，即可与预设的特征码库中的特征码依次匹配，来确定发送该数据包的应用中是否携带恶意程序，若携带，则可以确定发送该数据包的应用中携带恶意程序，否则即可将该数据包发送至目的服务器。

通常情况下，由于不同的恶意应用开发者，开发的恶意应用的目的或者对终端设备进行破坏的方式相同，因此本实施例中，在根据恶意服务器地址，无法确定数据包是否为恶意应用的数据包时，可以再根据数据包对应的信息摘要，对数据包进行二次判断，从而最终确定数据包是否为恶意应用发送的数据包。

进一步地，根据数据包对应的信息摘要，确定发送数据包的应用中携带恶意程序后，还可以将数据包中的目的服务器地址，添加至预设的地址库中，即在上述S204，确定数据包对应的信息摘要，与预设的特征码库中的特征码匹配后，还包括：

S206，将所述数据包中包括的目的服务器地址，添加至所述预设的地址库中。

另外，需要说明的是，安全防护装置，在确定发送数据包的应用中携带恶意程序后，还可以将该应用发送或接收的所有数据包进行拦截和解析，以根据该应用发送或接收的其它数据包，对特征码库或恶意服务器库进行更新和完善。

进一步地，在确定发送数据包的应用中携带恶意程序后，即可对该应用进行处理，比如，拦截该应用接收或者发送的数据包，或者将该应用进行卸载等。

即在上述S203之后，还可以包括：

S207，通过提示窗口，询问用户是否对发送所述数据包的应用进行卸载。

可以理解的是，安全防护装置，可以在确定发送数据包的应用中携带恶意程序后，直接将该应用进行卸载。也可以先通过弹窗等方式，提示用户该应用在访问恶意服务器，并通过提示窗口，询问用户是否要卸载该应用，若用户确定要卸载该应用，则再将应用进行卸载。

本实施例提供的安全防护方法，首先通过监听终端设备中的虚拟网卡的网络接口，获取终端设备中各应用访问网络的数据包，然后判断数据包中包含的目的服务器地址是否在预设的地址库中，若不在，则再判断数据包对应的信息摘要，是否与预设的特征码库中的特征码匹配，若匹配，则确定发送该数据包的应用中携带恶意程序，并根据该数据中包含的目的服务器地址更新预设的地址库。由此，通过根据数据包中包括的目的服务器地址和该数据包的信息摘要，对数据包进行两次校验，不仅实现了对不断更新的恶意应用的实时和有效防护，减少了恶意应用查杀的时间，提高了终端设备的安全级别。而且，通过两次校验，提高了对恶意程序查杀的可靠性。

为实现上述实施例提供的安全防护方法，本申请实施例再提供一种安全防护装置。

图3是本申请一个实施例的安全防护装置的结构示意图。

如图3所示，该安全防护装置30，包括：

获取模块31，用于获取终端设备中各应用访问网络的数据包；

第一判断模块32，用于判断所述数据包中包含的目的服务器地址是否在预设的地址库中，其中预设的地址库中包括恶意服务器的地址；

确定模块33，用于若所述目的地址在预设的地址库中，则确定发送所述数据包的应用中携带恶意程序。

其中，本实施例提供的安全防护装置30，可以被配置在任何具体操作系统、且可安装应用的终端设备中，用于执行如图1所示的安全防护方法。

具体的，获取模块31可以采用多种方式，获取终端设备中各应用访问网络的数据包。比如可以通过监控终端设备的网络接口，或者通过具有数据包拦截功能的软件等。

在本申请一种可能的实现形式中，上述获取模块31，具体用于：

通过监测所述终端设备中的虚拟网卡的网络接口，获取终端设备中各应用访问网络的数据包。

需要说明的是，上述对图1所示的安全防护方法实施例的说明，也适用于本实施例提供的安全防护装置，此处不再赘述。

本申请实施例提供的安全防护装置，首先获取终端设备中各应用访问网络的数据包，然后判断数据包中包含的目的服务器地址是否在预设的地址库中，若在，则确定发送该数据包的应用中携带恶意程序。由此，通过根据应用访问的目的服务器地址，对恶意应用进行查杀，实现了对不断更新的恶意应用的实时和有效防护，减少了恶意应用查杀的时间，提高了终端设备的安全级别。

图4是本申请另一个实施例的安全防护装置的结构示意图。

如图4所示，在图3所示的基础上，该安全防护装置30，还包括：

提示模块41，用于通过提示窗口，询问用户是否对发送所述数据包的应用进行卸载。

具体的，安全防护装置30在确定发送数据包的应用中携带恶意程序后，即可提示并引导用户对该应用进行卸载。并且在将该应用卸载前，为了防止恶意程序破坏终端，或者窃取终端中的用户信息，可以先对该应用发送或者接收的数据包进行拦截，即该安全防护装置30，还包括：

拦截模块42，用于将与发送所述数据包的应用，对应的所有数据包进行拦截或丢包处理。

在本实施例一种可能的实现形式中，若数据包包含的目的地址，不在预设的地址库中，则还可以根据数据包的信息摘要，判断发送数据包的应用是否携带恶意程序，即该装置30，还包括：

第二判断模块43，用于若所述数据包包含的目的地址不在预设的地址库中，则判断所述数据包对应的信息摘要，是否与预设的特征码库中的特征码匹配；

相应的，所述确定模块33，还用于若所述数据包对应的信息摘要与预设的特征吗库中的特征码匹配，则确定发送所述数据包的应用中携带恶意程序。

进一步地，在根据数据包的信息摘要，确定发送数据包的应用携带恶意程序后，还可以对预设的地址库进行更新，即该装置30，还包括：

添加模块44，用于将所述数据包中包括的目的服务器地址，添加至所述预设的地址库中。

需要说明的是，上述对图2所示的安全防护方法实施例的说明，也适用于本实施例提供的安全防护装置，此处不再赘述。

本实施例提供的安全防护装置，首先通过监听终端设备中的虚拟网卡的网络接口，获取终端设备中各应用访问网络的数据包，然后判断数据包中包含的目的服务器地址是否在预设的地址库中，若不在，则再判断数据包对应的信息摘要，是否与预设的特征码库中的特征码匹配，若匹配，则确定发送该数据包的应用中携带恶意程序，并根据该数据中包含的目的服务器地址更新预设的地址库。由此，通过根据数据包中包括的目的服务器地址和该数据包的信息摘要，对数据包进行两次校验，不仅实现了对不断更新的恶意应用的实时和有效防护，减少了恶意应用查杀的时间，提高了终端设备的安全级别。而且，通过两次校验，提高了对恶意程序查杀的可靠性。

图5为本申请一个实施例提供的终端设备结构示意图。

如图5所示，该终端设备5，包括：

处理器51；

和用于存储所述处理器51的执行程序的存储器52；

其中，所述处理器51，被配置为执行以下方法：

获取终端设备中各应用访问网络的数据包；

判断所述数据包中包含的目的服务器地址是否在预设的地址库中，其中预设的地址库中包括恶意服务器的地址；

若是，则确定发送所述数据包的应用中携带恶意程序。

具体的，处理器51通常可以包括一个或多个模块，便于处理组件51和其他组件之间的交互。例如，处理组件51可以包括通讯模块，以方便与存储器52进行交互，从存储器52中获取程序。

存储器52被配置为存储各种类型的数据以支持在终端设备5中的操作。这些数据的示例包括被配置为在终端设备5上操作的任何应用程序或方法的指令。存储器52可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

可以理解的是，该终端设备5中，还包括电源组件53，其用于为终端设备5的各种组件提供电力。电源组件53可以包括电源管理系统，一个或多个电源，及其他与为终端设备5生成、管理和分配电力相关联的组件。

另外，该终端设备5还可以包括多媒体组件54，比如在终端设备5和用户之间的提供一个输出接口的触控显示屏。在一些实施例中，触控显示屏可以包括液晶显示器(LCD)和触摸面板(TP)。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。

进一步地，该终端设备5，还可以包括：输入/输出(I/O)接口55，用于为处理器51和外围接口模块之间提供接口，上述外围接口模块可以是键盘，按钮等。

还包括：通信组件56，被配置为便于终端设备5和其他设备之间有线或无线方式的通信。终端设备5可以接入基于通信标准的无线网络，如WiFi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件56经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。

在示例性实施例中，终端设备5可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，被配置为执行上述消息处理方法。

需要说明的是，前述对安全防护方法实施例的解释说明也适用于该实施例的终端设备，其实现原理类似，此处不再赘述。

本申请实施例提供的终端设备，首先获取终端设备中各应用访问网络的数据包，然后判断数据包中包含的目的服务器地址是否在预设的地址库中，若在，则确定发送该数据包的应用中携带恶意程序。由此，通过根据应用访问的目的服务器地址，对恶意应用进行查杀，实现了对不断更新的恶意应用的实时和有效防护，减少了恶意应用查杀的时间，提高了终端设备的安全级别。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本申请的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本申请的实施例所属技术领域的技术人员所理解。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本申请的限制，本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。