恶意广告程序的识别方法、装置及客户端的制作方法
【技术领域】
[0001] 本发明涉及终端安全领域,尤其涉及一种恶意广告程序的识别方法、装置及客户 端。
【背景技术】
[0002] 随着安卓Android等操作系统在移动终端的普及,针对Android等操作系统的恶 意程序呈大幅增长趋势。同时,恶意程序还可对自身代码进行加密,或随机生成包名特征, 使得恶意程序的变种异常活跃,让人防不胜防。因此,必须对恶意程序及其变种进行有效的 识别和判断,以保障移动终端用户的数据安全。目前,移动终端中主要通过静态分析方法对 恶意程序进行分析,即对移动终端中的程序进行静态扫描,提取程序的静态字符串、恶意程 序的包名特征等方式来识别恶意程序。
[0003] 在实现本发明的过程中,发明人发现现有技术至少存在以下问题:静态分析技术 需要对每个程序进行分析,以根据提取出的静态字符串、包名特征等对程序进行判断分析, 分析效率较低。并且,目前动恶意程序包名特征的产生已随机化,同时恶意程序还会被加 密,单纯的通过静态分析方法已无法对恶意程序的变种进行跟踪识别。因而,现有的静态分 析方法难以对这类恶意程序进行快速有效地识别,导致对恶意程序对用户数据的安全造成 极大威胁。
【发明内容】
[0004] 本发明旨在至少解决上述技术问题之一。
[0005] 为此,本发明的第一个目的在于提出一种恶意广告程序的识别方法。该方法能够 准确判断待测程序的类型,进而对恶意程序进行有效拦截,为用户的数据安全提供保障。
[0006] 本发明的第二个目的在于提出一种恶意广告程序的识别装置。
[0007] 本发明的第三个目的在于提出一种客户端。
[0008] 为了实现上述目的,本发明第一方面实施例的恶意广告程序的识别方法包括以下 步骤:运行待测程序;获取所述待测程序运行过程中产生的至少一个对象数据;以及将所 述至少一个对象数据与预设的恶意广告特征库进行匹配,以识别所述待测程序所属的恶意 广告程序类型。
[0009] 根据本发明实施例的恶意广告程序的识别方法,可将待测程序在运行过程中产生 的对象数据与预设的恶意程序特征库进行匹配,以确定待测程序所属的恶意广告程序类 型,能够对程序变种进行持续跟踪和分类,不受代码混淆对抗和程序加密的限制,准确判断 待测程序的类型,进而对恶意程序进行有效拦截,为用户的数据安全提供保障。
[0010] 为了实现上述目的,本发明第二方面实施例的恶意广告程序的识别装置,包括:程 序运行模块,用于运行待测程序;获取模块,用于获取所述待测程序运行过程中产生的至少 一个对象数据;以及识别模块,用于将所述至少一个对象数据与预设的恶意广告特征库进 行匹配,以识别所述待测程序所属的恶意广告程序类型。 toon] 根据本发明实施例的恶意广告程序的识别装置,可将待测程序在运行过程中产生 的对象数据与预设的恶意程序特征库进行匹配,以确定待测程序所属的恶意广告程序类 型,能够对程序变种进行持续跟踪和分类,不受代码混淆对抗和程序加密的限制,准确判断 待测程序的类型,进而对恶意程序进行有效拦截,为用户的数据安全提供保障。
[0012] 为了实现上述目的,本发明第三方面实施例的客户端,包括:外壳,屏幕,处理器和 电路板;所述屏幕安置在所述外壳上,所述电路板安置在所述外壳围成的空间内部,所述处 理器设置在所述电路板上;所述处理器用于处理数据,并具体用于:运行待测程序;获取所 述待测程序运行过程中产生的至少一个对象数据;以及将所述至少一个对象数据与预设的 恶意广告特征库进行匹配,以识别所述待测程序所属的恶意广告程序类型。
[0013] 根据本发明实施例的客户端,可将待测程序在运行过程中产生的对象数据与预设 的恶意程序特征库进行匹配,以确定待测程序所属的恶意广告程序类型,能够对程序变种 进行持续跟踪和分类,不受代码混淆对抗和程序加密的限制,准确判断待测程序的类型,进 而对恶意程序进行有效拦截,为用户的数据安全提供保障。
[0014] 本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变 得明显,或通过本发明的实践了解到。
【附图说明】
[0015] 本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变 得明显和容易理解,其中,
[0016] 图1是根据本发明一个实施例的恶意广告程序的识别方法的流程图;
[0017] 图2是根据本发明一个具体实施例的数据库界面示意图;
[0018] 图3是根据本发明一个具体实施例的将对象数据与预设的恶意广告特征库进行 匹配的方法的流程图;
[0019] 图4是根据本发明一个实施例的恶意广告程序的识别装置的结构示意图;
[0020] 图5是根据本发明一个具体实施例的恶意广告程序的识别装置的结构示意图。
【具体实施方式】
[0021] 下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终 相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考 附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。相反, 本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同 物。
[0022] 在本发明的描述中,需要理解的是,术语"第一"、"第二"等仅用于描述目的,而不 能理解为指示或暗示相对重要性。在本发明的描述中,需要说明的是,除非另有明确的规定 和限定,术语"相连"、"连接"应做广义理解,例如,可以是固定连接,也可以是可拆卸连接, 或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介 间接相连。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具 体含义。此外,在本发明的描述中,除非另有说明,"多个"的含义是两个或两个以上。
[0023] 流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括 一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部 分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺 序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明 的实施例所属技术领域的技术人员所理解。
[0024] 需要说明的是,本发明的实施例优选适用于移动设备,例如,安卓操作系统 (Android系统是一种基于Linux的自由及开放源代码的操作系统)、IOS操作系统(I0S是 由苹果公司开发的手持设备操作系统)、Windows Phone操作系统(Windows Phone是微软 公司发布的一款手机操作系统)的移动设备。当然也适用于个人计算机以及其他智能移动 设备,本发明对此不作限定。
[0025] 下面参考附图描述根据本发明实施例的恶意广告程序的识别方法、装置和客户 端。
[0026] 图1是根据本发明一个实施例的恶意广告程序的识别方法的流程图。如图1所示, 恶意广告程序的识别方法包括以下步骤。
[0027] SlOl,运行待测程序。
[0028] 在本发明的一个实施例中,可在虚拟环境,如安卓模拟器,或在客户端中加载并运 行待测程序。举例来说,待测程序可为可疑广告程序、可疑扫描程序等。
[0029] S102,获取待测程序运行过程中产生的至少一个对象数据。
[0030] 在本发明的一个实施例中,对象数据为待测程序在运行过程中产生以及获取的数 据,可包括待测程序的网络访问信息、文件创建信息、文件存储信息以及关键字信息中的一 种或多种。
[0031] 具体地,网络访问信息为待测程序在运行过程中进行网络访问时产生的信 息,可包括待测程序在