一种保护智能终端安全的方法和装置制造方法

一种保护智能终端安全的方法和装置制造方法
【专利摘要】本发明公开了一种保护智能终端安全的方法和装置。所述方法包括：在智能终端安装应用之前，对该应用的APK进行安全扫描；以及对智能终端上已安装的应用进行主动防御。本发明的技术方案，能够及时发现恶意的应用，保护智能终端的安全，进而保护用户的隐私安全和财产安全。
【专利说明】一种保护智能终端安全的方法和装置

【技术领域】
[0001]本发明涉及网络安全【技术领域】，具体涉及一种保护智能终端安全的方法和装置。

【背景技术】
[0002]随着移动互联网技术的迅猛发展，智能手机、PAD等智能终端已经成为人们生活和工作中的必不可少的配备。人们可以在智能终端上下载各种应用(APP)来满足各种需求，如工具类应用、游戏类应用，网购类应用、通讯类应用、支付类应用等等。
[0003]Android平台是基于Linux的开源手机操作系统平台，由操作系统、用户界面和应用程序组成，对第三方应用程序完全开放。由于Android平台的开放性，使得应用程序开发者在开发应用程序时拥有更大的自由度，因而，吸引了很多应用程序开发者，应用程序开发者也开发并提供了大量基于Android平台的安卓的应用程序，这种应用程序的安装包是以一种被称为APK(Android Package)的形式进行发布，通过安装安卓安装包实现应用程序的运行，使得越来越多的应用程序可以承载在Android平台上。Android平台作为世界上最流行的移动操作系统平台，已经覆盖了数以十亿计的智能终端以及众多的应用程序。
[0004]但是由于下载应用的渠道五花八门，因此也为恶意应用的滋生提供了土壤，尤其是Android操作系统的开放性更使得各种恶意应用，以及被篡改后的应用对用户的隐私安全和财产安全造成了巨大的威胁。
[0005]因此，如何保证智能终端上使用各类应用时的安全的问题成为了急需决绝的问题。


【发明内容】

[0006]鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种保护智能终端安全的方法和装置。
[0007]依据本发明的一个方面，提供了一种保护智能终端安全的方法，其中，该方法包括:
[0008]在智能终端安装应用之前，对该应用的APK进行安全扫描；
[0009]以及对智能终端上已安装的应用进行主动防御。
[0010]可选地，所述在智能终端安装应用之前，对该应用的APK进行安全扫描包括如下中的一项或多项处理:
[0011]读取APK的基本信息，根据APK的基本信息判断该APK是否存在风险；其中，APK的基本信息包括如下中一项或多项:应用名称、包名、子包分析、证书名称、证书MD5、版本编号、版本号、文件大小、文件MD5、应用所用权限和证书使用期限；
[0012]根据预设判断规则判断APK是否存在风险；所述预设规则包括如下中的一项或多项:判断APK是否有特定公司的有效签名；判断APK加载的特定文件的内部名称、产品名称或公司名称中的一个或多个是否为指定名称；判断APK是否有预设可疑的行为；
[0013]依据恶意特征库对APK进行恶意特征扫描，根据扫描结果判断APK是否存在风险。
[0014]可选地，所述判断APK是否有预设可疑的行为包括:
[0015]根据APK的基本信息判断该APK是否有执行指定操作的权限，如果判断出没有执行指定操作的权限，但该APK却具有执行所述指定操作的行为，则认为该APK存在风险；
[0016]和/ 或，
[0017]预设高危行为库，如果APK具有属于所述高危行为库的行为，则认为该APK存在风险；其中，所述高危行为库包括如下中的一项或多项行为:屏蔽短信、发短信、读短信、发短信代码、对短信有操作、获取短信内容代码、分割短信、静默安装APK、监控接收短信、监控信号变化、监控网络变化、读取联系人信息、发多条短信代码。
[0018]可选地，所述恶意特征库中包括如下特征中的一项或多项:
[0019]自动添加标签、强制开机自启动、安装恶意插件、容易引起死机、卸载不干净、影响安全软件使用、扣费提示不明显、使用公用证书、使用有风险权限、使用与软件本身属性不符的风险权限、有Push广告行为、有积分墙广告、普通广告、木马软件、发送恶意扣费短信、诱导扣费操作、连接恶意扣费网站、盗取用户信息、强制联网、私自发短信、恶意群发短信、卸载时有恶意行为、默认开机自启动、默认联网无提示是否收费、修改快捷方式和主页。
[0020]可选地，所述依据恶意特征库对APK进行恶意特征扫描包括:
[0021]采用多个扫描引擎同时进行扫描，其中不同的扫描引擎使用不同的恶意特征库；
[0022]根据所述多个扫描引擎的扫描结果进行综合判断。
[0023]可选地，所述对智能终端上已安装的应用进行主动防御包括:
[0024]当智能终端上已安装的一个应用在执行属于高危行为库中的行为，且该应用不在白名单中，则对该应用执行相应的防御操作。
[0025]可选地，所述对该应用执行相应的防御操作包括:
[0026]将该应用的相关信息发送到服务器端进行查询，根据服务器端返回的查询结果，对该应用进行拦截、删除或者放行处理。
[0027]可选地，该方法进一步包括:查找所述智能终端上的应用安装位置，在该位置处查找到应用安装后的释放文件；对查找的释放文件进行广告插件扫描处理；
[0028]和/ 或，
[0029]所述对该应用的APK进行安全扫描还包括:对应用的APK进行广告插件扫描处理。
[0030]可选地，所述进行广告插件扫描处理包括:
[0031]根据预设的常量池识别所扫描文件中的插件的广告特征；
[0032]和/ 或，
[0033]根据所扫描文件的包名和类别信息来识别是否为特定的广告插件；
[0034]和/ 或，
[0035]根据所扫描文件中的声明信息来识别是否包含广告插件；
[0036]和/ 或，
[0037]根据所扫描文件的类继承关系序列、函数调用序列或通过特定特征识别是否有广告插件。
[0038]可选地，所述进行广告插件扫描处理包括:
[0039]将所扫描的文件发送到服务器端，根据服务器端的云查杀数据对应用户量较多的应用进行特征语义分析，进而识别是否包含广告插件。
[0040]可选地，所述进行广告插件扫描处理包括:
[0041]依据预设的各广告特征向量对应用的待扫描文件进行扫描；
[0042]对各广告特征向量的扫描结果进行分析，为各特征向量配置不同的广告特征识别权重，对各广告特征向量进行加权计算得到广告特征相似度值，若广告特征相似度值高于预设阈值，则判定为包含广告插件的应用。
[0043]可选地，该方法进一步包括:当进行广告插件扫描处理后，确定应用包含广告插件时，
[0044]通过广告拦截进程获取该应用发出网络请求以及网络请求中的URL，将该URL与预设的广告黑名单库中记录的URL进行匹配，如果匹配成功，则通过广告拦截进程阻止该网络请求所产生的流量。
[0045]依据本发明的另一个方面，提供了一种保护智能终端安全的装置，其中，该装置包括:
[0046]安全扫描单元，适于在智能终端安装应用之前，对该应用的APK进行安全扫描；
[0047]主动防御单元，适于对智能终端上已安装的应用进行主动防御。
[0048]可选地，所述安全扫描单元包括如下模块中的一种或多种:
[0049]基本信息读取模块，适于读取APK的基本信息，根据APK的基本信息判断该APK是否存在风险；其中，APK的基本信息包括如下中一项或多项:应用名称、包名、子包分析、证书名称、证书MD5、版本编号、版本号、文件大小、文件MD5、应用所用权限和证书使用期限；
[0050]判断规则匹配模块，适于根据预设判断规则判断APK是否存在风险；所述预设规则包括如下中的一项或多项:判断APK是否有特定公司的有效签名；判断APK加载的特定文件的内部名称、产品名称或公司名称中的一个或多个是否为指定名称；判断APK是否有预设可疑的行为；
[0051]恶意特征匹配模块，适于依据恶意特征库对APK进行恶意特征扫描，根据扫描结果判断APK是否存在风险。
[0052]可选地，所述判断规则匹配模块，适于根据如下方式判断APK是否有预设可疑的行为:
[0053]根据APK的基本信息判断该APK是否有执行指定操作的权限，如果判断出没有执行指定操作的权限，但该APK却具有执行所述指定操作的行为，则认为该APK存在风险；
[0054]和/ 或，
[0055]预设高危行为库，如果APK具有属于所述高危行为库的行为，则认为该APK存在风险；其中，所述高危行为库包括如下中的一项或多项行为:屏蔽短信、发短信、读短信、发短信代码、对短信有操作、获取短信内容代码、分割短信、静默安装APK、监控接收短信、监控信号变化、监控网络变化、读取联系人信息、发多条短信代码。
[0056]可选地，所述恶意特征匹配模块采用的恶意特征库中包括如下特征中的一项或多项:
[0057]自动添加标签、强制开机自启动、安装恶意插件、容易引起死机、卸载不干净、影响安全软件使用、扣费提示不明显、使用公用证书、使用有风险权限、使用与软件本身属性不符的风险权限、有Push广告行为、有积分墙广告、普通广告、木马软件、发送恶意扣费短信、诱导扣费操作、连接恶意扣费网站、盗取用户信息、强制联网、私自发短信、恶意群发短信、卸载时有恶意行为、默认开机自启动、默认联网无提示是否收费、修改快捷方式和主页。
[0058]可选地，所述恶意特征匹配模块，适于调用多个扫描引擎同时进行扫描，根据所述多个扫描引擎的扫描结果进行综合判断；其中不同的扫描引擎使用不同的恶意特征库。
[0059]可选地，所述主动防御单元，适于当智能终端上已安装的一个应用在执行属于高危行为库中的行为，且该应用不在白名单中时，对该应用执行相应的防御操作。
[0060]可选地，所述主动防御单元，适于当智能终端上已安装的一个应用在执行属于高危行为库中的行为，且该应用不在白名单中时，将该应用的相关信息发送到服务器端进行查询，根据服务器端返回的查询结果，对该应用进行拦截、删除或者放行处理。
[0061]可选地，该装置进一步包括:
[0062]广告插件扫描单元，适于查找所述智能终端上的应用安装位置，在该位置处查找到应用安装后的释放文件；对查找的释放文件进行广告插件扫描处理；和/或，适于在智能终端安装应用之前，对应用的APK进行广告插件扫描处理。
[0063]可选地，所述广告插件扫描单元适于，
[0064]根据预设的常量池识别所扫描文件中的插件的广告特征；
[0065]和/ 或，
[0066]根据所扫描文件的包名和类别信息来识别是否为特定的广告插件；
[0067]和/ 或，
[0068]根据所扫描文件中的声明信息来识别是否包含广告插件；
[0069]和/ 或，
[0070]根据所扫描文件的类继承关系序列、函数调用序列或通过特定特征识别是否有广告插件。
[0071]可选地，所述广告插件扫描单元，适于将所扫描的文件发送到服务器端，根据服务器端的云查杀数据对应用户量较多的应用进行特征语义分析，进而识别是否包含广告插件。
[0072]可选地，所述广告插件扫描单元，适于依据预设的各广告特征向量对应用的待扫描文件进行扫描；对各广告特征向量的扫描结果进行分析，为各特征向量配置不同的广告特征识别权重，对各广告特征向量进行加权计算得到广告特征相似度值，若广告特征相似度值高于预设阈值，则判定为包含广告插件的应用。
[0073]可选地，所述广告插件扫描单元，进一步适于在确定应用包含广告插件时，通过广告拦截进程获取该应用发出网络请求以及网络请求中的URL，将该URL与预设的广告黑名单库中记录的URL进行匹配，如果匹配成功，则通过广告拦截进程阻止该网络请求所产生的流量。
[0074]根据本发明这种在智能终端安装应用之前，对该应用的APK进行安全扫描，以及对智能终端上已安装的应用进行主动防御的技术方案，能够及时发现恶意的应用，保护智能终端的安全，进而保护用户的隐私安全和财产安全。
[0075]上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的【具体实施方式】。

【专利附图】

【附图说明】
[0076]通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中:
[0077]图1示出了根据本发明一个实施例的一种保护智能终端安全的方法的流程图；
[0078]图2示出了根据本发明一个实施例的进行云查杀的网络结构示意图；
[0079]图3示出了根据本发明一个实施例的一种保护智能终端安全的装置的结构图；
[0080]图4示出了根据本发明又一个实施例的一种保护智能终端安全的装置的结构图。

【具体实施方式】
[0081]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
[0082]图1示出了根据本发明一个实施例的一种保护智能终端安全的方法的流程图。如图1所示，该方法包括:
[0083]步骤S110，在智能终端安装应用之前，对该应用的APK进行安全扫描。
[0084]步骤S120，以及对智能终端上已安装的应用进行主动防御。
[0085]需要说明的是，步骤SllO和步骤S120的执行可不分先后，当条件满足时即执行。例如，当智能终端需要安装一个应用时即执行步骤S110，当智能终端上的已安装应用执行威胁用户的隐私安全或财产安全的操作时即执行步骤S120。
[0086]图1所示的方法，能够及时发现恶意的应用，保护智能终端的安全，进而保护用户的隐私安全和财产安全。
[0087]在本发明的一个实施例中，图1所示方法的步骤SllO中所述在智能终端安装应用之前，对该应用的APK进行安全扫描包括如下a、b、c中的一项或多项处理:
[0088]a、读取APK的基本信息，根据APK的基本信息判断该APK是否存在风险；其中，APK的基本信息包括如下中一项或多项:应用名称、包名、子包分析、证书名称、证书MD5、版本编号、版本号、文件大小、文件MD5、应用所用权限和证书使用期限。
[0089]其中，进行子包分析时，记录子包与大包的关系，然后将子包作为新的Android包进行处理。
[0090]b、根据预设判断规则判断APK是否存在风险；所述预设规则包括如下中的一项或多项:
[0091](bl)、判断APK是否有特定公司的有效签名；如果有则是安全的APK。
[0092](b2)、判断APK加载的特定文件的内部名称、产品名称或公司名称中的一个或多个是否为指定名称；如果是则是安全的APK。
[0093](b3)、判断APK是否有预设可疑的行为。如果有预设的可疑行为，则认为存在风险。
[0094]C、依据恶意特征库对APK进行恶意特征扫描，根据扫描结果判断APK是否存在风险。
[0095]在本发明的一个实施例中，上述(b3)中所述判断APK是否有预设可疑的行为包括如下(b31)和/或(b32):
[0096](b31)、根据APK的基本信息判断该APK是否有执行指定操作的权限，如果判断出没有执行指定操作的权限，但该APK却具有执行所述指定操作的行为，则认为该APK存在风险。
[0097]具体地，根据包名和证书MD5等信息判断某个应用是否有相应的权限，如果没有的话，但存在可疑行为，就认为是存在风险。例如，判断APP(即应用)是否是与提供验证信息的网络设备对应的应用程序，如果是，则确定APP具有读取验证信息的权限。其中，网络设备是指位于网络侧的与验证信息对应的功能实体，可有多种形式，比如，该网络设备可以是指APP服务器，也可以是指短信网关或者是短信网关的代理服务器。现在一般采用短信的方式发送验证信息，短信业务是由运营商控制的，那么，如果APP服务器要给终端发送APP业务的验证短信，一般都是借助运营商的短信业务线路进行发送，因此，一般情况下，需要借助短信网关或者短信网关代理服务器进行短信发送，当然也不排除APP服务器发送验证信息的可能性。一个具体例子是，支付宝服务器要给用户手机发送验证短信，一种较为优选的实现方式是，支付宝服务器将短信通过短信网关或者短信网关代理服务器发送给手机，显示在短信上。此步骤中，判断APP权限也就是判断APP是否是该验证信息对应的APP，比如，只有支付宝APP能读支付宝服务器发来的验证短信，只有微信APP能读微信服务器发来的验证短信等等。具体地，可通过判断APP标签是否与验证信息携带的网络设备标识对应，从而确定APP是否与提供验证信息的网络设备对应。比如，通过发送短信的号码进行判断。一个具体例子是，短信来自于号码“95559”，据此，是交通银行服务器发来的短信，那么，就仅允许交通银行APP (通过APP标签确定是否是交通银行APP)读取该短信。
[0098](b32)预设高危行为库，如果APK具有属于所述高危行为库的行为，则认为该APK存在风险。
[0099]其中，所述高危行为库包括如下中的一项或多项行为:屏蔽短信、发短信、读短信、发短信代码、对短信有操作、获取短信内容代码、分割短信、静默安装APK、监控接收短信、监控信号变化、监控网络变化、读取联系人信息、发多条短信代码。需要说明的是本发明的其他实施例中的高危行为库不限于上述罗列的各项，实际中可以根据实际的情况对高危行为库进行修改和扩充。
[0100]如果认为一个APP不应该具有高危行为库中的一个或多个具体行为，则认为该APP存在风险。
[0101]在本发明的一个实施例中，上述c项中所述的恶意特征库中包括如下特征中的一项或多项:
[0102]自动添加标签、强制开机自启动、安装恶意插件、容易引起死机、卸载不干净、影响安全软件使用、扣费提示不明显、使用公用证书、使用有风险权限、使用与软件本身属性不符的风险权限、有Push广告行为、有积分墙广告、普通广告、木马软件、发送恶意扣费短信、诱导扣费操作、连接恶意扣费网站、盗取用户信息、强制联网、私自发短信、恶意群发短信、卸载时有恶意行为、默认开机自启动、默认联网无提示是否收费、修改快捷方式和主页。
[0103]根据恶意特征库对应用进行恶意特征匹配，对匹配中的应用进行病毒名称的填写、恶意行为的记录以及恶意应用描述的填写，以备后续使用。但需要说明的是，本发明的其他实施例中的恶意特征库不限于上述罗列的各项，实际中可以根据实际的情况对恶意特征库进行修改和扩充。
[0104]在本发明的一个实施例中，上述c项中所述依据恶意特征库对APK进行恶意特征扫描包括:采用多个扫描引擎同时进行扫描，其中不同的扫描引擎使用不同的恶意特征库；根据所述多个扫描引擎的扫描结果进行综合判断，最终确认应用是否为恶意应用。其中，也可以采用第三方的扫描引擎，扫描引擎具有可扩展性，根据需要添加不同的扫描引擎。
[0105]在本发明的一个实施例中了，除了上述a、b、c中的扫描方法外，还可以进一步:自动下载应用样本，即根据提供的url自动下载应用样本进行检测分析，例如可以将样本推送到大流程第三方接口进行检测。此外还对样本进行备份，即上传至服务器进行备份。这种样本分析和备份，可以为后续的云查杀策略提供依据。
[0106]在本发明的一个实施例中，图1所示方法的步骤S120中所述对智能终端上已安装的应用进行主动防御包括:当智能终端上已安装的一个应用在执行属于高危行为库中的行为，且该应用不在白名单中，则对该应用执行相应的防御操作。具体的防御操作包括:将该应用的相关信息发送到服务器端进行查询，根据服务器端返回的查询结果，对该应用进行拦截、删除或者放行处理。这里的拦截是指对该应用的为限行为进行拦截，如阻止其发送短息、读取短信、读取联系人信息等等。这里的删除是指从智能终端删除该应用，即卸载。这里的放行是指根据一定的策略不对该应用进行阻止，让该应用正常执行，这里考虑到有些应用无法确定为风险应用，绝大部分的用户对发出的提示选择忽略，因为认为用户是许可该应用的。
[0107]在本发明的一个实施例中，除了根据图1所示的方法进行木马病毒的扫描和主动防御外，还进一步对应用中包含的广告插件进行扫描，具体包括如下A和/或B:
[0108]A、查找所述智能终端上的应用安装位置，在该位置处查找到应用安装后的释放文件；对查找的释放文件进行广告插件扫描处理；
[0109]B、在智能终端安装应用之前，对应用的APK进行广告插件扫描处理。
[0110]在本发明的一个实施例中，所述进行广告插件扫描处理(对查找的释放文件进行广告插件扫描处理，以及对应用的APK进行广告插件扫描处理)包括:
[0111]Al、根据预设的常量池识别所扫描文件中的插件的广告特征；通过字符串常量池识别插件特定的广告特征，比如说很多插件版本号的字符串、广告插件联网域名字符串都会保存在常量池。
[0112]和/ 或，
[0113]B1、根据所扫描文件的包名和类别信息来识别是否为特定的广告插件；告插件都会包含特定包名和类名，通过该信息可以判定是否含有特定的广告插件。然而很多广告插件会随着广告应用宿主的混淆而混淆，所以包名与类型特征值的选取应该是不会混淆的类名，比如说插件中包含的服务等组件的类名，还有广告View的类名。
[0114]和/ 或，
[0115]Cl、根据所扫描文件中的声明信息来识别是否包含广告插件；有些广告插件会在该文件中声明需要的信息，根据该特征可以提高识别率。
[0116]和/ 或，
[0117]D1、根据所扫描文件的类继承关系序列、函数调用序列或通过特定特征识别是否有广告插件。
[0118]在本发明的一个实施例中，所述进行广告插件扫描处理(对查找的释放文件进行广告插件扫描处理，以及对应用的APK进行广告插件扫描处理)包括:将所扫描的文件发送到服务器端，根据服务器端的云查杀数据对应用户量较多的应用进行特征语义分析，进而识别是否包含广告插件。
[0119]在本发明的一个实施例中，所述进行广告插件扫描处理(对查找的释放文件进行广告插件扫描处理，以及对应用的APK进行广告插件扫描处理)包括:依据预设的各广告特征向量对应用的待扫描文件进行扫描；对各广告特征向量的扫描结果进行分析，根据具体情况为各特征向量配置不同的广告特征识别权重，对各广告特征向量进行加权计算得到广告特征相似度值，若广告特征相似度值高于预设阈值，则判定为包含广告插件的应用。
[0120]在本发明的一个实施例中，本发明中的方法进一步包括:当进行广告插件扫描处理后，确定应用包含广告插件时，通过广告拦截进程获取该应用发出网络请求以及网络请求中的URL，将该URL与预设的广告黑名单库中记录的URL进行匹配，如果匹配成功，则通过广告拦截进程阻止该网络请求所产生的流量。例如，也可以结合拦截隐藏窗口的后台进程未经用户同意而发送广告、游戏、购物、钓鱼网站等网络请求，通过广告拦截进程获取网络请求及网络请求中的URLJf URL与设置在本地的广告黑名单库中记录的URL进行匹配。如果匹配成功，则通过本地广告拦截进程阻止由网络请求所产生的流量。
[0121]在本发明的一个实施例中，对于应用安装前的APK和已安装应用的病毒、木马等的风险识别以及广告插件的识别，都发送给服务器端进行云查杀。图2示出了根据本发明一个实施例的进行云查杀的网络结构示意图。参见图2，由控制端侧不断向云端的病毒库添加识别特征，然后有云端的识别引擎根据积累的病毒库向用户端提供识别服务。
[0122]图3示出了根据本发明一个实施例的一种保护智能终端安全的装置的结构图。如图3所示，其中，该保护智能终端安全的装置300包括:
[0123]安全扫描单元310，适于在智能终端安装应用之前，对该应用的APK进行安全扫描;
[0124]主动防御单元320，适于对智能终端上已安装的应用进行主动防御。
[0125]图3所示的装置，能够及时发现恶意的应用，保护智能终端的安全，进而保护用户的隐私安全和财产安全。
[0126]图4示出了根据本发明又一个实施例的一种保护智能终端安全的装置的结构图。如图4所示，其中，该保护智能终端安全的装置400包括:
[0127]安全扫描单元410，适于在智能终端安装应用之前，对该应用的APK进行安全扫描;
[0128]主动防御单元420，适于对智能终端上已安装的应用进行主动防御。
[0129]在本发明的一个实施例中，所述安全扫描单元410包括如下模块中的一个或多个:
[0130]基本信息读取模块411，适于读取APK的基本信息，根据APK的基本信息判断该APK是否存在风险；其中，APK的基本信息包括如下中一项或多项:应用名称、包名、子包分析、证书名称、证书MD5、版本编号、版本号、文件大小、文件MD5、应用所用权限和证书使用期限。其中，进行子包分析时，记录子包与大包的关系，然后将子包作为新的Android包进行处理。
[0131]判断规则匹配模块412，适于根据预设判断规则判断APK是否存在风险；所述预设规则包括如下中的一项或多项:判断APK是否有特定公司的有效签名；判断APK加载的特定文件的内部名称、产品名称或公司名称中的一个或多个是否为指定名称；判断APK是否有预设可疑的行为。
[0132]恶意特征匹配模块413，适于依据恶意特征库对APK进行恶意特征扫描，根据扫描结果判断APK是否存在风险。
[0133]图4中画出了全部的上述三个模块。
[0134]在本发明的一个实施例中，所述判断规则匹配模块412，适于根据如下方式判断APK是否有预设可疑的行为:
[0135]根据APK的基本信息判断该APK是否有执行指定操作的权限，如果判断出没有执行指定操作的权限，但该APK却具有执行所述指定操作的行为，则认为该APK存在风险；
[0136]和/ 或，
[0137]预设高危行为库，如果APK具有属于所述高危行为库的行为，则认为该APK存在风险；其中，所述高危行为库包括如下中的一项或多项行为:屏蔽短信、发短信、读短信、发短信代码、对短信有操作、获取短信内容代码、分割短信、静默安装APK、监控接收短信、监控信号变化、监控网络变化、读取联系人信息、发多条短信代码。
[0138]其中根据APK的基本信息判断该APK是否有执行指定操作的权限，如果判断出没有执行指定操作的权限，但该APK却具有执行所述指定操作的行为，则认为该APK存在风险具体来说:根据包名和证书MD5等信息判断某个应用是否有相应的权限，如果没有的话，但存在可疑行为，就认为是存在风险。例如，判断APP(即应用)是否是与提供验证信息的网络设备对应的应用程序，如果是，则确定APP具有读取验证信息的权限。其中，网络设备是指位于网络侧的与验证信息对应的功能实体，可有多种形式，比如，该网络设备可以是指APP服务器，也可以是指短信网关或者是短信网关的代理服务器。现在一般采用短信的方式发送验证信息，短信业务是由运营商控制的，那么，如果APP服务器要给终端发送APP业务的验证短信，一般都是借助运营商的短信业务线路进行发送，因此，一般情况下，需要借助短信网关或者短信网关代理服务器进行短信发送，当然也不排除APP服务器发送验证信息的可能性。一个具体例子是，支付宝服务器要给用户手机发送验证短信，一种较为优选的实现方式是，支付宝服务器将短信通过短信网关或者短信网关代理服务器发送给手机，显示在短信上。此步骤中，判断APP权限也就是判断APP是否是该验证信息对应的APP，比如，只有支付宝APP能读支付宝服务器发来的验证短信，只有微信APP能读微信服务器发来的验证短信等等。具体地，可通过判断APP标签是否与验证信息携带的网络设备标识对应，从而确定APP是否与提供验证信息的网络设备对应。比如，通过发送短信的号码进行判断。一个具体例子是，短信来自于号码“95559”，据此，是交通银行服务器发来的短信，那么，就仅允许交通银行APP (通过APP标签确定是否是交通银行APP)读取该短信。
[0139]在本发明的一个实施例中，所述恶意特征匹配模块413采用的恶意特征库中包括如下特征中的一项或多项:
[0140]自动添加标签、强制开机自启动、安装恶意插件、容易引起死机、卸载不干净、影响安全软件使用、扣费提示不明显、使用公用证书、使用有风险权限、使用与软件本身属性不符的风险权限、有Push广告行为、有积分墙广告、普通广告、木马软件、发送恶意扣费短信、诱导扣费操作、连接恶意扣费网站、盗取用户信息、强制联网、私自发短信、恶意群发短信、卸载时有恶意行为、默认开机自启动、默认联网无提示是否收费、修改快捷方式和主页。
[0141]恶意特征匹配模块413根据恶意特征库对应用进行恶意特征匹配，对匹配中的应用进行病毒名称的填写、恶意行为的记录以及恶意应用描述的填写，以备后续使用。但需要说明的是，本发明的其他实施例中的恶意特征库不限于上述罗列的各项，实际中可以根据实际的情况对恶意特征库进行修改和扩充。
[0142]在本发明的一个实施例中，所述恶意特征匹配模块413，适于调用多个扫描引擎同时进行扫描，根据所述多个扫描引擎的扫描结果进行综合判断；其中不同的扫描引擎使用不同的恶意特征库。其中，也可以采用第三方的扫描引擎，扫描引擎具有可扩展性，根据需要添加不同的扫描引擎。
[0143]在本发明的一个实施例中了，安全扫描单元410还可以进一步:自动下载应用样本，即根据提供的url自动下载应用样本进行检测分析，例如可以将样本推送到大流程第三方接口进行检测。此外还对样本进行备份，即上传至服务器进行备份。这种样本分析和备份，可以为后续的云查杀策略提供依据。
[0144]在本发明的一个实施例中，所述主动防御单元420，适于当智能终端上已安装的一个应用在执行属于高危行为库中的行为，且该应用不在白名单中时，对该应用执行相应的防御操作。
[0145]在本发明的一个实施例中，所述主动防御单元420，适于当智能终端上已安装的一个应用在执行属于高危行为库中的行为，且该应用不在白名单中时，将该应用的相关信息发送到服务器端进行查询，根据服务器端返回的查询结果，对该应用进行拦截、删除或者放行处理。这里的拦截是指对该应用的为限行为进行拦截，如阻止其发送短息、读取短信、读取联系人信息等等。这里的删除是指从智能终端删除该应用，即卸载。这里的放行是指根据一定的策略不对该应用进行阻止，让该应用正常执行，这里考虑到有些应用无法确定为风险应用，绝大部分的用户对发出的提示选择忽略，因为认为用户是许可该应用的。
[0146]在本发明的一个实施例中，该该保护智能终端安全的装置400进一步包括:广告插件扫描单元430，适于查找所述智能终端上的应用安装位置，在该位置处查找到应用安装后的释放文件；对查找的释放文件进行广告插件扫描处理；和/或，适于在智能终端安装应用之前，对应用的APK进行广告插件扫描处理。
[0147]在本发明的一个实施例中，所述广告插件扫描单元430适于，
[0148]根据预设的常量池识别所扫描文件中的插件的广告特征；通过字符串常量池识别插件特定的广告特征，比如说很多插件版本号的字符串、广告插件联网域名字符串都会保存在常量池。
[0149]和/ 或，
[0150]根据所扫描文件的包名和类别信息来识别是否为特定的广告插件；告插件都会包含特定包名和类名，通过该信息可以判定是否含有特定的广告插件。然而很多广告插件会随着广告应用宿主的混淆而混淆，所以包名与类型特征值的选取应该是不会混淆的类名，比如说插件中包含的服务等组件的类名，还有广告View的类名。
[0151]和/ 或，
[0152]根据所扫描文件中的声明信息来识别是否包含广告插件；有些广告插件会在该文件中声明需要的信息，根据该特征可以提高识别率。
[0153]和/ 或，
[0154]根据所扫描文件的类继承关系序列、函数调用序列或通过特定特征识别是否有广告插件。
[0155]在本发明的一个实施例中，所述广告插件扫描单元430，适于将所扫描的文件发送到服务器端，根据服务器端的云查杀数据对应用户量较多的应用进行特征语义分析，进而识别是否包含广告插件。
[0156]在本发明的一个实施例中，所述广告插件扫描单元430，适于依据预设的各广告特征向量对应用的待扫描文件进行扫描；对各广告特征向量的扫描结果进行分析，为各特征向量配置不同的广告特征识别权重，对各广告特征向量进行加权计算得到广告特征相似度值，若广告特征相似度值高于预设阈值，则判定为包含广告插件的应用。
[0157]在本发明的一个实施例中，所述广告插件扫描单元430，进一步适于在确定应用包含广告插件时，通过广告拦截进程获取该应用发出网络请求以及网络请求中的URL，将该URL与预设的广告黑名单库中记录的URL进行匹配，如果匹配成功，则通过广告拦截进程阻止该网络请求所产生的流量。例如，也可以结合拦截隐藏窗口的后台进程未经用户同意而发送广告、游戏、购物、钓鱼网站等网络请求，通过广告拦截进程获取网络请求及网络请求中的URL，将URL与设置在本地的广告黑名单库中记录的URL进行匹配。如果匹配成功，则通过本地广告拦截进程阻止由网络请求所产生的流量。
[0158]在本发明的一个实施例中，图4所示的装置400首先可以根据智能终端本地缓存中保存的已扫描文件的扫描结果进行病毒木马和广告插件的扫描，如果查询到未知，则集训进行云端查杀。
[0159]综上所述，本发明的技术方法对该应用程序文件包进行深度安全扫描，深度安全扫描包括但不限于木马病毒扫描、还包括广告插件扫描等。例如，对于木马病毒扫描，可以通过将应用程序文件包与预存储的恶意特征库内的特征进行匹配，当应用程序文件包与恶意程序库内的特征相匹配，或者触发了敏感权限行为时，则提示用户进行病毒查杀，并对广告特征进行扫描，对用户进行提示，并根据用户的指示执行相应的操作。因此本发明的技术方案能够及时发现恶意的应用，保护智能终端的安全，进而保护用户的隐私安全和财产安全。
[0160]需要说明的是:
[0161]在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述，构造这类装置所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
[0162]在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
[0163]类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循【具体实施方式】的权利要求书由此明确地并入该【具体实施方式】，其中每个权利要求本身都作为本发明的单独实施例。
[0164]本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0165]此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0166]本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的保护智能终端安全的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。
[0167]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
[0168]本发明公开了 E1、一种保护智能终端安全的方法，其中，该方法包括:
[0169]在智能终端安装应用之前，对该应用的APK进行安全扫描；
[0170]以及对智能终端上已安装的应用进行主动防御。
[0171]E2、如El所述的方法，其中，所述在智能终端安装应用之前，对该应用的APK进行安全扫描包括如下中的一项或多项处理:
[0172]读取APK的基本信息，根据APK的基本信息判断该APK是否存在风险；其中，APK的基本信息包括如下中一项或多项:应用名称、包名、子包分析、证书名称、证书MD5、版本编号、版本号、文件大小、文件MD5、应用所用权限和证书使用期限；
[0173]根据预设判断规则判断APK是否存在风险；所述预设规则包括如下中的一项或多项:判断APK是否有特定公司的有效签名；判断APK加载的特定文件的内部名称、产品名称或公司名称中的一个或多个是否为指定名称；判断APK是否有预设可疑的行为；
[0174]依据恶意特征库对APK进行恶意特征扫描，根据扫描结果判断APK是否存在风险。
[0175]E3、如E2所述的方法，其中，所述判断APK是否有预设可疑的行为包括:
[0176]根据APK的基本信息判断该APK是否有执行指定操作的权限，如果判断出没有执行指定操作的权限，但该APK却具有执行所述指定操作的行为，则认为该APK存在风险；
[0177]和/ 或，
[0178]预设高危行为库，如果APK具有属于所述高危行为库的行为，则认为该APK存在风险；其中，所述高危行为库包括如下中的一项或多项行为:屏蔽短信、发短信、读短信、发短信代码、对短信有操作、获取短信内容代码、分割短信、静默安装APK、监控接收短信、监控信号变化、监控网络变化、读取联系人信息、发多条短信代码。
[0179]E4、如E2所述的方法，其中，所述恶意特征库中包括如下特征中的一项或多项:
[0180]自动添加标签、强制开机自启动、安装恶意插件、容易引起死机、卸载不干净、影响安全软件使用、扣费提示不明显、使用公用证书、使用有风险权限、使用与软件本身属性不符的风险权限、有Push广告行为、有积分墙广告、普通广告、木马软件、发送恶意扣费短信、诱导扣费操作、连接恶意扣费网站、盗取用户信息、强制联网、私自发短信、恶意群发短信、卸载时有恶意行为、默认开机自启动、默认联网无提示是否收费、修改快捷方式和主页。
[0181]E5、如E2所述的方法，其中，所述依据恶意特征库对APK进行恶意特征扫描包括:
[0182]采用多个扫描引擎同时进行扫描，其中不同的扫描引擎使用不同的恶意特征库；
[0183]根据所述多个扫描引擎的扫描结果进行综合判断。
[0184]E6、如El所述的方法，其中，所述对智能终端上已安装的应用进行主动防御包括:
[0185]当智能终端上已安装的一个应用在执行属于高危行为库中的行为，且该应用不在白名单中，则对该应用执行相应的防御操作。
[0186]E7、如E6所述的方法，其中，所述对该应用执行相应的防御操作包括:
[0187]将该应用的相关信息发送到服务器端进行查询，根据服务器端返回的查询结果，对该应用进行拦截、删除或者放行处理。
[0188]E8、如El所述的方法，其中，
[0189]该方法进一步包括:查找所述智能终端上的应用安装位置，在该位置处查找到应用安装后的释放文件；对查找的释放文件进行广告插件扫描处理；
[0190]和/ 或，
[0191]所述对该应用的APK进行安全扫描还包括:对应用的APK进行广告插件扫描处理。
[0192]E9、如E8所述的方法，其中，所述进行广告插件扫描处理包括:
[0193]根据预设的常量池识别所扫描文件中的插件的广告特征；
[0194]和/ 或，
[0195]根据所扫描文件的包名和类别信息来识别是否为特定的广告插件；
[0196]和/ 或，
[0197]根据所扫描文件中的声明信息来识别是否包含广告插件；
[0198]和/ 或，
[0199]根据所扫描文件的类继承关系序列、函数调用序列或通过特定特征识别是否有广告插件。
[0200]ElOJn E8或E9所述的方法，其中，所述进行广告插件扫描处理包括:
[0201]将所扫描的文件发送到服务器端，根据服务器端的云查杀数据对应用户量较多的应用进行特征语义分析，进而识别是否包含广告插件。
[0202]EllJn E8或E9所述的方法，其中，所述进行广告插件扫描处理包括:
[0203]依据预设的各广告特征向量对应用的待扫描文件进行扫描；
[0204]对各广告特征向量的扫描结果进行分析，为各特征向量配置不同的广告特征识别权重，对各广告特征向量进行加权计算得到广告特征相似度值，若广告特征相似度值高于预设阈值，则判定为包含广告插件的应用。
[0205]E12、如ES所述的方法，其中，该方法进一步包括:当进行广告插件扫描处理后，确定应用包含广告插件时，
[0206]通过广告拦截进程获取该应用发出网络请求以及网络请求中的URL，将该URL与预设的广告黑名单库中记录的URL进行匹配，如果匹配成功，则通过广告拦截进程阻止该网络请求所产生的流量。
[0207]本发明还公开了 F13、一种保护智能终端安全的装置，其中，该装置包括:
[0208]安全扫描单元，适于在智能终端安装应用之前，对该应用的APK进行安全扫描；
[0209]主动防御单元，适于对智能终端上已安装的应用进行主动防御。
[0210]F14、如F13所述的装置，其中，所述安全扫描单元包括如下模块中的一种或多种:
[0211]基本信息读取模块，适于读取APK的基本信息，根据APK的基本信息判断该APK是否存在风险；其中，APK的基本信息包括如下中一项或多项:应用名称、包名、子包分析、证书名称、证书MD5、版本编号、版本号、文件大小、文件MD5、应用所用权限和证书使用期限；
[0212]判断规则匹配模块，适于根据预设判断规则判断APK是否存在风险；所述预设规则包括如下中的一项或多项:判断APK是否有特定公司的有效签名；判断APK加载的特定文件的内部名称、产品名称或公司名称中的一个或多个是否为指定名称；判断APK是否有预设可疑的行为；
[0213]恶意特征匹配模块，适于依据恶意特征库对APK进行恶意特征扫描，根据扫描结果判断APK是否存在风险。
[0214]F15、如F14所述的装置，其中，所述判断规则匹配模块，适于根据如下方式判断APK是否有预设可疑的行为:
[0215]根据APK的基本信息判断该APK是否有执行指定操作的权限，如果判断出没有执行指定操作的权限，但该APK却具有执行所述指定操作的行为，则认为该APK存在风险；
[0216]和/ 或，
[0217]预设高危行为库，如果APK具有属于所述高危行为库的行为，则认为该APK存在风险；其中，所述高危行为库包括如下中的一项或多项行为:屏蔽短信、发短信、读短信、发短信代码、对短信有操作、获取短信内容代码、分割短信、静默安装APK、监控接收短信、监控信号变化、监控网络变化、读取联系人信息、发多条短信代码。
[0218]F16、如F14所述的装置，其中，所述恶意特征匹配模块采用的恶意特征库中包括如下特征中的一项或多项:
[0219]自动添加标签、强制开机自启动、安装恶意插件、容易引起死机、卸载不干净、影响安全软件使用、扣费提示不明显、使用公用证书、使用有风险权限、使用与软件本身属性不符的风险权限、有Push广告行为、有积分墙广告、普通广告、木马软件、发送恶意扣费短信、诱导扣费操作、连接恶意扣费网站、盗取用户信息、强制联网、私自发短信、恶意群发短信、卸载时有恶意行为、默认开机自启动、默认联网无提示是否收费、修改快捷方式和主页。
[0220]F17、如F14所述的装置，其中，
[0221]所述恶意特征匹配模块，适于调用多个扫描引擎同时进行扫描，根据所述多个扫描引擎的扫描结果进行综合判断；其中不同的扫描引擎使用不同的恶意特征库。
[0222]F18、如F13所述的装置，其中，
[0223]所述主动防御单元，适于当智能终端上已安装的一个应用在执行属于高危行为库中的行为，且该应用不在白名单中时，对该应用执行相应的防御操作。
[0224]F19、如F18所述的装置，其中，
[0225]所述主动防御单元，适于当智能终端上已安装的一个应用在执行属于高危行为库中的行为，且该应用不在白名单中时，将该应用的相关信息发送到服务器端进行查询，根据服务器端返回的查询结果，对该应用进行拦截、删除或者放行处理。
[0226]F20、如F13所述的装置，其中，该装置进一步包括:
[0227]广告插件扫描单元，适于查找所述智能终端上的应用安装位置，在该位置处查找到应用安装后的释放文件；对查找的释放文件进行广告插件扫描处理；和/或，适于在智能终端安装应用之前，对应用的APK进行广告插件扫描处理。
[0228]F21、如F20所述的装置，其中，所述广告插件扫描单元适于，
[0229]根据预设的常量池识别所扫描文件中的插件的广告特征；
[0230]和/ 或，
[0231]根据所扫描文件的包名和类别信息来识别是否为特定的广告插件；
[0232]和/ 或，
[0233]根据所扫描文件中的声明信息来识别是否包含广告插件；
[0234]和/ 或，
[0235]根据所扫描文件的类继承关系序列、函数调用序列或通过特定特征识别是否有广告插件。
[0236]F22、如F20或F21所述的装置，其中，
[0237]所述广告插件扫描单元，适于将所扫描的文件发送到服务器端，根据服务器端的云查杀数据对应用户量较多的应用进行特征语义分析，进而识别是否包含广告插件。
[0238]F23、如F20或F21所述的装置，其中，
[0239]所述广告插件扫描单元，适于依据预设的各广告特征向量对应用的待扫描文件进行扫描；对各广告特征向量的扫描结果进行分析，为各特征向量配置不同的广告特征识别权重，对各广告特征向量进行加权计算得到广告特征相似度值，若广告特征相似度值高于预设阈值，则判定为包含广告插件的应用。
[0240]F24、如F20所述的装置，其中，
[0241]所述广告插件扫描单元，进一步适于在确定应用包含广告插件时，通过广告拦截进程获取该应用发出网络请求以及网络请求中的URL，将该URL与预设的广告黑名单库中记录的URL进行匹配，如果匹配成功，则通过广告拦截进程阻止该网络请求所产生的流量。
【权利要求】
1.一种保护智能终端安全的方法，其中，该方法包括: 在智能终端安装应用之前，对该应用的APK进行安全扫描； 以及对智能终端上已安装的应用进行主动防御。
2.如权利要求1所述的方法，其中，所述在智能终端安装应用之前，对该应用的APK进行安全扫描包括如下中的一项或多项处理: 读取APK的基本信息，根据APK的基本信息判断该APK是否存在风险；其中，APK的基本信息包括如下中一项或多项:应用名称、包名、子包分析、证书名称、证书MD5、版本编号、版本号、文件大小、文件MD5、应用所用权限和证书使用期限； 根据预设判断规则判断APK是否存在风险；所述预设规则包括如下中的一项或多项:判断APK是否有特定公司的有效签名；判断APK加载的特定文件的内部名称、产品名称或公司名称中的一个或多个是否为指定名称；判断APK是否有预设可疑的行为； 依据恶意特征库对APK进行恶意特征扫描，根据扫描结果判断APK是否存在风险。
3.如权利要求2所述的方法，其中，所述判断APK是否有预设可疑的行为包括: 根据APK的基本信息判断该APK是否有执行指定操作的权限，如果判断出没有执行指定操作的权限，但该APK却具有执行所述指定操作的行为，则认为该APK存在风险； 和/或， 预设高危行为库，如果APK具有属于所述高危行为库的行为，则认为该APK存在风险；其中，所述高危行为库包括如下中的一项或多项行为:屏蔽短信、发短信、读短信、发短信代码、对短信有操作、获取短信内容代码、分割短信、静默安装APK、监控接收短信、监控信号变化、监控网络变化、读取联系人信息、发多条短信代码。
4.如权利要求2所述的方法，其中，所述恶意特征库中包括如下特征中的一项或多项: 自动添加标签、强制开机自启动、安装恶意插件、容易引起死机、卸载不干净、影响安全软件使用、扣费提示不明显、使用公用证书、使用有风险权限、使用与软件本身属性不符的风险权限、有Push广告行为、有积分墙广告、普通广告、木马软件、发送恶意扣费短信、诱导扣费操作、连接恶意扣费网站、盗取用户信息、强制联网、私自发短信、恶意群发短信、卸载时有恶意行为、默认开机自启动、默认联网无提示是否收费、修改快捷方式和主页。
5.如权利要求2所述的方法，其中，所述依据恶意特征库对APK进行恶意特征扫描包括: 采用多个扫描引擎同时进行扫描，其中不同的扫描引擎使用不同的恶意特征库； 根据所述多个扫描引擎的扫描结果进行综合判断。
6.一种保护智能终端安全的装置，其中，该装置包括: 安全扫描单元，适于在智能终端安装应用之前，对该应用的APK进行安全扫描； 主动防御单元，适于对智能终端上已安装的应用进行主动防御。
7.如权利要求6所述的装置，其中，所述安全扫描单元包括如下模块中的一种或多种: 基本信息读取模块，适于读取APK的基本信息，根据APK的基本信息判断该APK是否存在风险；其中，APK的基本信息包括如下中一项或多项:应用名称、包名、子包分析、证书名称、证书MD5、版本编号、版本号、文件大小、文件MD5、应用所用权限和证书使用期限； 判断规则匹配模块，适于根据预设判断规则判断APK是否存在风险；所述预设规则包括如下中的一项或多项:判断APK是否有特定公司的有效签名；判断APK加载的特定文件的内部名称、产品名称或公司名称中的一个或多个是否为指定名称；判断APK是否有预设可疑的行为； 恶意特征匹配模块，适于依据恶意特征库对APK进行恶意特征扫描，根据扫描结果判断APK是否存在风险。
8.如权利要求7所述的装置，其中，所述判断规则匹配模块，适于根据如下方式判断APK是否有预设可疑的行为: 根据APK的基本信息判断该APK是否有执行指定操作的权限，如果判断出没有执行指定操作的权限，但该APK却具有执行所述指定操作的行为，则认为该APK存在风险； 和/或， 预设高危行为库，如果APK具有属于所述高危行为库的行为，则认为该APK存在风险；其中，所述高危行为库包括如下中的一项或多项行为:屏蔽短信、发短信、读短信、发短信代码、对短信有操作、获取短信内容代码、分割短信、静默安装APK、监控接收短信、监控信号变化、监控网络变化、读取联系人信息、发多条短信代码。
9.如权利要求7所述的装置，其中，所述恶意特征匹配模块采用的恶意特征库中包括如下特征中的一项或多项: 自动添加标签、强制开机自启动、安装恶意插件、容易引起死机、卸载不干净、影响安全软件使用、扣费提示不明显、使用公用证书、使用有风险权限、使用与软件本身属性不符的风险权限、有Push广告行为、有积分墙广告、普通广告、木马软件、发送恶意扣费短信、诱导扣费操作、连接恶意扣费网站、盗取用户信息、强制联网、私自发短信、恶意群发短信、卸载时有恶意行为、默认开机自启动、默认联网无提示是否收费、修改快捷方式和主页。
10.如权利要求7所述的装置，其中， 所述恶意特征匹配模块，适于调用多个扫描引擎同时进行扫描，根据所述多个扫描引擎的扫描结果进行综合判断；其中不同的扫描引擎使用不同的恶意特征库。
【文档编号】G06F21/51GK104484598SQ201410851595
【公开日】2015年4月1日 申请日期:2014年12月31日 优先权日:2014年12月31日
【发明者】万仁国, 姚彤, 刘昕 申请人:北京奇虎科技有限公司, 奇智软件（北京）有限公司