恶意应用程序的过滤方法、设备及可读存储介质与流程
本发明涉及应用程序检测领域,尤其涉及一种恶意应用程序的过滤方法、设备及计算机可读存储介质。
背景技术:
android系统作为一种应用广泛的开源的智能手机操作系统,吸引了大量应用程序开发者基于android系统进行应用程序的开发。
由于智能手机中通常存在大量的用户隐私信息,导致大量的恶意应用程序争相涌入。android系统中的恶意应用程序通常会在未明确提示用户或未经用户许可的情况下,获取用户手机上的隐私信息,侵犯用户合法权益,该类应用程序在移动终端桌面中没有对应的启动图标,只是在移动终端的后台运行,相应的恶意应用程序的主要恶意行为包括:恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、修改用户的设置及查看隐私信息,非授权下载或者频繁的在后台推送广告等。
目前,针对恶意应用程序的分析方式主要包括:动态分析与静态分析两种,上述现有的恶意程序分析方法均需要对每个应用程序进行复杂的分析操作,因此,相应的分析方法在面对海量的android应用程序的情况下,无法达到快速高效过滤掉明显没有恶意行为的应用程序的目的,从而减少后期分析可能存在恶意行为应用程序的代价。
技术实现要素:
本发明的主要目的在于提出一种恶意应用程序的过滤方法、设备及计算机可读存储介质,旨在解决现有的恶意程序分析方法效率低下的技术问题。
为实现上述目的,本发明提供一种恶意应用程序的过滤方法,所述方法包括:
获取应用程序的权限信息;
将所述权限信息与预设的恶意应用程序权限库中保存的特征权限信息进行匹配;
当匹配成功时,将匹配成功的应用程序的耗电波形图与预存的标准耗电波形图进行对比;
当所述匹配成功的应用程序的耗电波形图与预存的标准耗电波形图不一致时,则确定耗电波形图与预存的标准耗电波形图不一致对应的应用程序为恶意应用程序,并向用户输出提示信息。
可选地,所述获取应用程序的权限信息的步骤包括:
获取移动终端中安装的应用程序;
将获取到的应用程序与移动终端桌面的图标进行匹配;
将没有匹配到对应图标的应用程序的权限信息进行获取。
可选地,所述将没有匹配到对应图标的应用程序的权限信息进行获取的步骤包括:
解压android安卓系统中在移动终端桌面中不存在图标的应用程序文件;
获取全局变量描述androidmanifest.xml反编译文件,并进行解密,获取非加密的原始androimanifest.xml文件;
扫描androidmanifest.xml中的权限描述部分,获取应用程序所申请的权限列表,获得所述在移动终端桌面中不存在图标的应用程序的权限信息。
可选地,所述当匹配成功时,将匹配成功的应用程序的耗电波形图与预存的标准耗电波形图进行匹配的步骤包括:
当匹配成功时,监测匹配成功的应用程序的耗电波形图;
提取应用程序标准耗电波形图,并将匹配成功的应用程序的耗电波形图与提取到的应用程序标准耗电波形图进行匹配。
可选地,所述向用户输出提示信息包括:提示所述耗电波形图与预存的标准耗电波形图不一致对应的应用程序为恶意应用程序,提示用户进行卸载及加入黑名单。
此外,为实现上述目的,本发明还提供一种恶意应用程序的过滤设备,所述恶意应用程序的过滤设备包括处理器及存储器,所述存储器中存储有恶意应用程序的过滤程序;所述处理器用于执行所述恶意应用程序的过滤程序,以实现以下步骤:
获取应用程序的权限信息;
将所述权限信息与预设的恶意应用程序权限库中保存的特征权限信息进行匹配;
当匹配成功时,将匹配成功的应用程序的耗电波形图与预存的标准耗电波形图进行对比;
当所述匹配成功的应用程序的耗电波形图与预存的标准耗电波形图不一致时,则确定耗电波形图与预存的标准耗电波形图不一致对应的应用程序为恶意应用程序,并向用户输出提示信息。
可选地,所述获取应用程序的权限信息的步骤包括:
获取移动终端中安装的应用程序;
将获取到的应用程序与移动终端桌面的图标进行匹配;
将没有匹配到对应图标的应用程序的权限信息进行获取。
可选地,所述将没有匹配到对应图标的应用程序的权限信息进行获取的步骤包括:
解压android安卓系统中在移动终端桌面中不存在图标的应用程序文件;
获取全局变量描述androidmanifest.xml反编译文件,并进行解密,获取非加密的原始androimanifest.xml文件;
扫描androidmanifest.xml中的权限描述部分,获取应用程序所申请的权限列表,获得所述在移动终端桌面中不存在图标的应用程序的权限信息。
可选地,所述当匹配成功时,将匹配成功的应用程序的耗电波形图与预存的标准耗电波形图进行匹配的步骤包括:
当匹配成功时,监测匹配成功的应用程序的耗电波形图;
提取应用程序标准耗电波形图,并将匹配成功的应用程序的耗电波形图与提取到的应用程序标准耗电波形图进行匹配。
可选地,所述向用户输出提示信息包括:提示所述耗电波形图与预存的标准耗电波形图不一致对应的应用程序为恶意应用程序,提示用户进行卸载及加入黑名单。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有恶意应用程序的过滤程序,所述恶意应用程序的过滤程序被处理器执行时实现如上所述的恶意应用程序的过滤方法的步骤。
本发明提出的恶意应用程序的过滤方法、设备及计算机可读存储介质,通过获取应用程序的权限信息;然后将所述权限信息与预设的恶意应用程序权限库中保存的特征权限信息进行匹配;当匹配成功时,将匹配成功的应用程序的耗电波形图与预存的标准耗电波形图进行对比;当所述匹配成功的应用程序的耗电波形图与预存的标准耗电波形图不一致时,则确定耗电波形图与预存的标准耗电波形图不一致对应的应用程序为恶意应用程序,并向用户输出提示信息,不需要通过复杂的分析操作即可将恶意应用程序挑选出来,从而提高恶意程序分析、挑选的效率。
附图说明
图1为本发明恶意应用程序的过滤方法第一实施例的流程示意图;
图2为本发明恶意应用程序的过滤方法第二实施例中获取应用程序的权限信息的步骤的细化流程示意图;
图3为本发明恶意应用程序的过滤方法第三实施例中将没有匹配到对应图标的应用程序的权限信息进行获取的步骤的细化流程示意图;
图4为本发明恶意应用程序的过滤方法第四实施例中当匹配成功时,将匹配成功的应用程序的耗电波形图与预存的标准耗电波形图进行匹配的步骤的细化流程示意图;
图5是本发明实施例方案涉及的硬件运行环境的设备结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:通过获取应用程序的权限信息;然后将所述权限信息与预设的恶意应用程序权限库中保存的特征权限信息进行匹配;当匹配成功时,将匹配成功的应用程序的耗电波形图与预存的标准耗电波形图进行对比;当所述匹配成功的应用程序的耗电波形图与预存的标准耗电波形图不一致时,则确定耗电波形图与预存的标准耗电波形图不一致对应的应用程序为恶意应用程序,并向用户输出提示信息,不需要通过复杂的分析操作即可将恶意应用程序挑选出来,从而提高恶意程序分析、挑选的效率。
本发明实施例考虑到,现有技术中,针对恶意应用程序的分析方式主要包括:动态分析与静态分析两种,上述现有的恶意程序分析方法均需要对每个应用程序进行复杂的分析操作,因此,相应的分析方法在面对海量的android应用程序的情况下,无法达到快速高效过滤掉明显没有恶意行为的应用程序的目的,从而减少后期分析可能存在恶意行为应用程序的代价。
为此,本发明实施例提出一种恶意应用程序的过滤方法,通过获取应用程序的权限信息;然后将所述权限信息与预设的恶意应用程序权限库中保存的特征权限信息进行匹配;当匹配成功时,将匹配成功的应用程序的耗电波形图与预存的标准耗电波形图进行对比;当所述匹配成功的应用程序的耗电波形图与预存的标准耗电波形图不一致时,则确定耗电波形图与预存的标准耗电波形图不一致对应的应用程序为恶意应用程序,并向用户输出提示信息,不需要通过复杂的分析操作即可将恶意应用程序挑选出来,从而提高恶意程序分析、挑选的效率。
参照图1,图1为本发明恶意应用程序的过滤方法第一实施例的流程示意图。
在本实施例中,该方法包括:
步骤s100,获取应用程序的权限信息;
在本实施例中,为检测移动终端是否未经用户同意安装了恶意应用程序,可以对移动终端中安装的所有应用程序的权限信息进行获取。具体实施过程中,恶意应用程序在移动终端的桌面一般不存在图标,只是在移动终端后台运行,因此也可以对移动终端中不存在对应图标的应用程序进行获取权限信息。为了提高检测恶意应用程序的效率,本发明各个实施例采用对移动终端中不存在对应图标的应用程序进行获取权限信息的方式。
步骤s200,将所述权限信息与预设的恶意应用程序权限库中保存的特征权限信息进行匹配;
在获取移动终端中不存在对应图标的应用程序进行获取权限信息之后,将获取到的权限信息与预设的恶意应用程序权限库中保存的特征权限信息进行匹配。具体地,相应的预设的恶意应用程序权限库中保存的特征权限信息为可能存在恶意风险的特征权限信息,如获取用户隐私信息的权限、与其他手机通信的权限及与其他网络通信的权限等等,具体可以根据目前可能存在恶意风险的操作权限确定所述恶意应用程序权限库,且所述恶意应用程序权限库可以根据需要进行更新,以满足针对不断变化的恶意应用的过滤需求。
步骤s300,当匹配成功时,将匹配成功的应用程序的耗电波形图与预存的标准耗电波形图进行对比;
当在恶意应用程序权限库中匹配到对应的特征权限信息时,表明所述应用程序可能存在恶意风险,此时需要进一步进行判断。若没有在恶意应用程序权限库中匹配到对应的特征权限信息,则表明所述应用程序不存在恶意风险,不需要进一步进行判断。本发明具体采用将匹配成功的应用程序的耗电波形图与预存的标准耗电波形图进行对比的方式进一步进行判断。具体地,当在恶意应用程序权限库中匹配到对应的征权限信息之后,可以进一步对匹配到对应的权限信息的应用程序的耗电波形图进行监测,然后将监测到的耗电波形图与预存的标准耗电波形图进行对比。其中,所述标准耗电波形图可以通过对不存在恶意风险的应用程序的耗电波形图进行监测获得。也可以直接从不存在恶意风险的应用程序的开发平台进行获取。
步骤s400,当所述匹配成功的应用程序的耗电波形图与预存的标准耗电波形图不一致时,则确定耗电波形图与预存的标准耗电波形图不一致对应的应用程序为恶意应用程序,并向用户输出提示信息。
由于恶意程序会自启动,一般情况一直在移动终端的后台运行,并且恶意获取用户信息,因此一般恶意应用程序耗费移动终端的电量较多,因此在相同时间内,恶意程序的耗电量比非恶意程序多,即恶意程序的波形图的位移比非恶意程序的位移大。因此通过对比,若所述匹配成功的应用程序的耗电波形图与预存的标准耗电波形图不一致时,或者所述匹配成功的应用程序的耗电波形图与预存的标准耗电波形图的差异度超过预设值,则可以确定所述应用程序为恶意应用程序,然后向用户输出提示信息。若所述匹配成功的应用程序的耗电波形图与预存的标准耗电波形图一致,或所述匹配成功的应用程序的耗电波形图与预存的标准耗电波形图的差异度小于或等于预设值,则说明所述应用程序不是恶意程序,不需要向用户进行提示。
进一步地,所述向用户输出提示信息包括:提示所述耗电波形图与预存的标准耗电波形图不一致对应的应用程序为恶意应用程序,提示用户进行卸载及加入黑名单。
在本实施例中,所述用户输出提示信息可以包括:提示所述耗电波形图与预存的标准耗电波形图不一致对应的应用程序为恶意应用程序,提示用户进行卸载及加入黑名单。具体实施过程中,还可以进一步包括所述应用程序已查看或修改的用户信息,或其他损害侵犯用户的行为,以便用户及时将对应的信息进行更改,防止信息泄露等行为的发生。
本实施例提出的恶意应用程序的过滤方法,通过获取应用程序的权限信息;然后将所述权限信息与预设的恶意应用程序权限库中保存的特征权限信息进行匹配;当匹配成功时,将匹配成功的应用程序的耗电波形图与预存的标准耗电波形图进行对比;当所述匹配成功的应用程序的耗电波形图与预存的标准耗电波形图不一致时,则确定耗电波形图与预存的标准耗电波形图不一致对应的应用程序为恶意应用程序,并向用户输出提示信息,不需要通过复杂的分析操作即可将恶意应用程序挑选出来,从而提高恶意程序分析、挑选的效率。
进一步地,参照图2,基于本发明恶意应用程序的过滤方法第一实施例提出本发明恶意应用程序的过滤方法第二实施例。
在本实施例中,所述步骤s100包括:
步骤s110,获取移动终端中安装的应用程序;
步骤s120,将获取到的应用程序与移动终端桌面的图标进行匹配;
步骤s130,将没有匹配到对应图标的应用程序的权限信息进行获取。
在本实施例中,获取应用程序的权限信息的具体过程可以为:首先获取移动终端中已经安装的所有应用程序,然后将获取到的应用程序与移动终端桌面的图标进行匹配,由于恶意应用程序在移动终端的桌面一般不存在图标,因此若应用程序在移动终端桌面没有匹配到对应的图标,则认为所述应用程序存在恶意风险,此时则对所述应用程序的权限信息进行获取。
本实施例提出的恶意应用程序的过滤方法,通过获取移动终端中安装的应用程序;然后将获取到的应用程序与移动终端桌面的图标进行匹配;将没有匹配到对应图标的应用程序的权限信息进行获取,不需要对移动终端中所有的应用程序的权限信息进行获取,从而提高监测恶意应用程序的效率。
进一步地,参照图3,基于本发明恶意应用程序的过滤方法第二实施例提出本发明恶意应用程序的过滤方法第三实施例。
在本实施例中,所述步骤s130包括:
步骤s131,解压android安卓系统中在移动终端桌面中不存在图标的应用程序文件;
步骤s132,获取全局变量描述androidmanifest.xml反编译文件,并进行解密,获取非加密的原始androimanifest.xml文件;
步骤s133,扫描androidmanifest.xml中的权限描述部分,获取应用程序所申请的权限列表,获得所述在移动终端桌面中不存在图标的应用程序的权限信息。
在本实施例中,具体地,以本发明实施例应用于android系统中为例,即以相应的应用程序为基于android系统创建的android应用程序为例,主要可以通过从全局变量描述androidmanifest.xml文件中读取恶意应用程序权限库,并结合与相应权限相关的系统函数,对应用程序的权限信息进行获取。首先,解压android安卓系统中在移动终端桌面中不存在图标的应用程序文件,所述文件具体可以为apk文件,从中获取androidmanifest.xml文件,再对androidmanifest.xml文件进行解密,便可以获取非加密的原始androimanifest.xml文件;其中,apk文件主要的来源可以是应用程序开发者上传到应用商店的应用程序包文件,也可以是应用程序使用者,对安装的应用程序安全性存在质疑,将需要进行安全性确认的应用程序包文件:或者,也可以是其他渠道获得的应用程序包文件;然后扫描androidmanifest.xml中的权限描述部分,获取应用程序所申请的权限列表,即可获得所述在移动终端桌面中不存在图标的应用程序的权限信息。
本实施例提出的恶意应用程序的过滤方法,通过解压android安卓系统中在移动终端桌面中不存在图标的应用程序文件;获取全局变量描述androidmanifest.xml反编译文件,并进行解密,获取非加密的原始androimanifest.xml文件;然后扫描androidmanifest.xml中的权限描述部分,获取应用程序所申请的权限列表,即可获得所述在移动终端桌面中不存在图标的应用程序的权限信息,通过apk文件获取应用程序的权限信息,使得获取到的权限信息的准确性较高。
进一步地,参照图4,基于本发明恶意应用程序的过滤方法第一实施例提出本发明恶意应用程序的过滤方法第四实施例。
在本实施例中,所述步骤s300包括:
步骤s310,当匹配成功时,监测匹配成功的应用程序的耗电波形图;
步骤s320,提取应用程序标准耗电波形图,并将匹配成功的应用程序的耗电波形图与提取到的应用程序标准耗电波形图进行匹配。
在本实施例中,当在恶意应用程序权限库中匹配到对应的特征权限信息时,表明所述应用程序可能存在恶意风险,此时需要进一步进行判断。本发明具体采用将匹配成功的应用程序的耗电波形图与预存的标准耗电波形图进行匹配的方式进一步进行判断。具体地,当在恶意应用程序权限库中匹配到对应的征权限信息之后,可以进一步对匹配到对应的权限信息的应用程序的耗电波形图进行监测,然后将监测到的耗电波形图与预存的标准耗电波形图进行匹配。其中,所述标准耗电波形图可以通过对不存在恶意风险的应用程序的耗电波形图进行监测获得。也可以直接从不存在恶意风险的应用程序的开发平台进行获取。
本发明进一步提供一种恶意应用程序的过滤设备。
如图5所示,恶意应用程序的过滤设备可以包括:处理器1001,例如cpu,以及存储器1002。这些组件之间的连接通信可以通过通信总线实现。存储器1002可以是高速ram存储器,也可以是稳定的存储器(non-volatilememory),例如磁盘存储器。存储器1002可选的还可以是独立于前述处理器1001的存储装置。
可选地,恶意应用程序的过滤设备还可以包括用户接口、网络接口、摄像头、rf(radiofrequency,射频)电路,传感器、音频电路、wifi模块等等。用户接口可以包括显示屏(display)、输入单元比如键盘(keyboard),可选用户接口还可以包括标准的有线接口、无线接口。网络接口可选的可以包括标准的有线接口、无线接口(如wi-fi接口)。
本领域技术人员可以理解,图5中示出的恶意应用程序的过滤设备结构并不构成对恶意应用程序的过滤设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图5所示,作为一种计算机存储介质的存储器1002中可以包括操作系统以及恶意应用程序的过滤程序。其中,操作系统是管理和恶意应用程序的过滤设备的硬件与软件资源的程序,支持恶意应用程序的过滤程序及其他软件或程序的运行。
在图5所示的恶意应用程序的过滤设备中,处理器1001可以用于执行存储器1002中存储的恶意应用程序的过滤程序,以实现以下步骤:
获取应用程序的权限信息;
将所述权限信息与预设的恶意应用程序权限库中保存的特征权限信息进行匹配;
当匹配成功时,将匹配成功的应用程序的耗电波形图与预存的标准耗电波形图进行对比;
当所述匹配成功的应用程序的耗电波形图与预存的标准耗电波形图不一致时,则确定耗电波形图与预存的标准耗电波形图不一致对应的应用程序为恶意应用程序,并向用户输出提示信息。
进一步地,处理器1001还可以执行存储器1002中存储的恶意应用程序的过滤程序,以实现以下步骤:
获取移动终端中安装的应用程序;
将获取到的应用程序与移动终端桌面的图标进行匹配;
将没有匹配到对应图标的应用程序的权限信息进行获取。
进一步地,处理器1001还可以执行存储器1002中存储的恶意应用程序的过滤程序,以实现以下步骤:
解压android安卓系统中在移动终端桌面中不存在图标的应用程序文件;
获取全局变量描述androidmanifest.xml反编译文件,并进行解密,获取非加密的原始androimanifest.xml文件;
扫描androidmanifest.xml中的权限描述部分,获取应用程序所申请的权限列表,获得所述在移动终端桌面中不存在图标的应用程序的权限信息。
进一步地,处理器1001还可以执行存储器1002中存储的恶意应用程序的过滤程序,以实现以下步骤:
当匹配成功时,监测匹配成功的应用程序的耗电波形图;
提取应用程序标准耗电波形图,并将匹配成功的应用程序的耗电波形图与提取到的应用程序标准耗电波形图进行匹配。
进一步地,处理器1001还可以执行存储器1002中存储的恶意应用程序的过滤程序,以实现以下步骤:
所述向用户输出提示信息包括:提示所述耗电波形图与预存的标准耗电波形图不一致对应的应用程序为恶意应用程序,提示用户进行卸载及加入黑名单。
本发明恶意应用程序的过滤设备的具体实施例与上述恶意应用程序的过滤方法各实施例基本相同,在此不作赘述。
本发明提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现以下步骤:
获取应用程序的权限信息;
将所述权限信息与预设的恶意应用程序权限库中保存的特征权限信息进行匹配;
当匹配成功时,将匹配成功的应用程序的耗电波形图与预存的标准耗电波形图进行对比;
当所述匹配成功的应用程序的耗电波形图与预存的标准耗电波形图不一致时,则确定耗电波形图与预存的标准耗电波形图不一致对应的应用程序为恶意应用程序,并向用户输出提示信息。
进一步地,所述一个或者多个程序可被所述一个或者多个处理器执行,还实现以下步骤:
获取移动终端中安装的应用程序;
将获取到的应用程序与移动终端桌面的图标进行匹配;
将没有匹配到对应图标的应用程序的权限信息进行获取。
进一步地,所述一个或者多个程序可被所述一个或者多个处理器执行,还实现以下步骤:
解压android安卓系统中在移动终端桌面中不存在图标的应用程序文件;
获取全局变量描述androidmanifest.xml反编译文件,并进行解密,获取非加密的原始androimanifest.xml文件;
扫描androidmanifest.xml中的权限描述部分,获取应用程序所申请的权限列表,获得所述在移动终端桌面中不存在图标的应用程序的权限信息。
进一步地,所述一个或者多个程序可被所述一个或者多个处理器执行,还实现以下步骤:
当匹配成功时,监测匹配成功的应用程序的耗电波形图;
提取应用程序标准耗电波形图,并将匹配成功的应用程序的耗电波形图与提取到的应用程序标准耗电波形图进行匹配。
进一步地,所述一个或者多个程序可被所述一个或者多个处理器执行,还实现以下步骤:
所述向用户输出提示信息包括:提示所述耗电波形图与预存的标准耗电波形图不一致对应的应用程序为恶意应用程序,提示用户进行卸载及加入黑名单。
本发明计算机可读存储介质的具体实施例与上述恶意应用程序的过滤方法和恶意应用程序的过滤设备各实施例基本相同,在此不作赘述。
还需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
- 还没有人留言评论。精彩留言会获得点赞!