一种恶意应用程序检测方法和装置的制造方法

一种恶意应用程序检测方法和装置的制造方法
【技术领域】
[0001] 本发明涉及智能终端应用安全技术领域，尤其涉及一种恶意应用程序检测方法和 装置。
【背景技术】
[0002] 随着移动互联网的迅速发展W及智能移动终端的增多，移动终端上相应的恶意应 用程序威胁也逐渐增多。由于Amlroid平台的开放性W及Amlroid应用由JAVA语言开发， 相对来说反编译分析和逆向修改较为容易，同时Amlroid应用研发的口槛较低，直接导致 了 Amlroid平台恶意应用程序的泛滥。
[0003] 目前主流的移动终端恶意应用程序中，大多数的恶意应用程序都存在搜集获取用 户敏感信息等恶意行为，如通讯录信息、通话记录、短信信息、银行账户信息、位置信息等， 部分恶意应用程序对送些信息进行加密，然后向远程服务器（或目标移动终端）发送搜集 的用户敏感信息，数据加密增加了对应用程序的恶意行为进行分析的难度。
[0004] 目前针对移动终端中的恶意应用程序W及互联网病毒的恶意行为分析，主要采用 的手段有：
[0005] 1)对恶意应用程序进行静态分析。
[0006] 主要是通过对An化oid应用程序进行逆向、反编译生成Smali代码或反汇编生成 JAVA源码，然后对反编译代码进行全文遍历、解析，将应用程序使用的API (应用程序编程 接口，Application Program Inte计ace)与预定义恶意行为库中的API进行匹配，将匹配成 功的应用程序的API标记为恶意行为API,同时扫描应用程序权限信息，与预定义的危险权 限库中记载的权限信息进行匹配，结合标记的恶意行为API判定待测应用程序是否为恶意 应用程序。由于其只检测到了应用程序的具体行为，无法检测出行为本身具体的操作内容， 例如，只能检测到发短信的行为，无法检测到发送短信的内容，送使得恶意应用程序检测准 确性较低，同时该方法也只能检测到已知的恶意行为。
[0007] 2)对恶意应用程序在沙箱中进行养殖，采集并分析恶意应用程序发送的网络数据 包，确定其恶意行为，送种方法只能分析恶意应用程序使用明文发送的数据包，而对于加密 数据包无能为力，因此其也无法准确检测到移动终端中存在的恶意应用程序。

【发明内容】

[0008] 本发明实施例提供一种恶意应用程序检测方法和装置，用W提高恶意应用程序检 测的准确性。
[0009] 本发明实施例提供一种恶意应用程序检测方法，包括：
[0010] 提取移动终端中的所有用户信息；
[0011] 获取移动终端安装的应用程序所包含的各应用程序编程接口 API的参数变量，所 述参数变量包括执行参数，或者，执行参数和结果变量，其中，各API根据是否发送消息，被 划分为发送类API和非发送类API ;
[0012] 将获取的发送类API的执行参数与提取的所有用户信息或者获取的非发送类API 的结果变量进行匹配，根据匹配结果确定所述应用程序是否为恶意应用程序。
[0013] 本发明实施例提供一种恶意应用程序检测装置，包括：
[0014] 提取单元，用于提取移动终端中的所有用户信息；
[0015] 获取单元，用于获取移动终端安装的应用程序所包含的各应用程序编程接口 API 的参数变量，所述参数变量包括执行参数，或者，执行参数和结果变量，其中，各API根据是 否发送消息，被划分为发送类API和非发送类API ;
[0016] 确定单元，用于将获取的发送类API的执行参数与提取的所有用户信息或者获取 的非发送类API的结果变量进行匹配，根据匹配结果确定所述应用程序是否为恶意应用程 序。
[0017] 本发明实施例提供的恶意应用程序检测方法和装置，将API划分为发送类API和 非发送类API,对于应用程序包含的发送类API,将其执行参数与提取的移动终端中的用户 信息匹配，或者将其与非发送类API的结果变量进行匹配，根据匹配结果确定应用程序是 否为恶意程序。上述过程中，可W根据发送类API的执行参数从非发送类API中追溯到该执 行参数在被处理之前的原始信息，因此，即使应用程序将获取的用户信息进行加密等处理， 也能够确定出其是否为恶意应用程序，从而，提高了应用程序检测的确定性。
[0018] 本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变 得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明 书、权利要求书、W及附图中所特别指出的结构来实现和获得。
【附图说明】
[0019] 此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发 明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
[0020] 图la为本发明实施例中，恶意应用程序检测方法的实施流程示意图；
[0021] 图化为本发明实施中，确定应用程序是否为恶意应用程序的实施流程示意图；
[0022] 图2为本发明实施例中，发送类API的执行参数与提取的用户信息进行匹配的示 意图；
[0023] 图3为本发明实施例中，递归查找目标API的实施流程示意图；
[0024] 图4为本发明实施例中，恶意应用程序检测装置的结构示意图。
【具体实施方式】
[0025] 为了提高恶意应用程序检测方法的准确性，本发明实施例中，提取移动终端中用 户信息，结合对应用程序包含的API的分析结果来判断移动终端安装的应用程序是否为恶 意应用程序。
[0026] W下结合说明书附图对本发明的优选实施例进行说明，应当理解，此处所描述的 优选实施例仅用于说明和解释本发明，并不用于限定本发明，并且在不冲突的情况下，本发 明中的实施例及实施例中的特征可W相互组合。
[0027] 由于移动终端中的恶意应用程序通常具有W下明显的特征；搜集移动终端上的用 户信息，并将搜集的用户信息发送给远程服务器或者目标移动终端。因此，根据API是否发 送信息，将API划分为发送类API和非发送类API并标记，如表1所示。
[0028] 表 1
[0029]
[0030] 具体实施时，发送类API包括W任何方式发送信息的API,例如，W短信方式发送 信息、W藍牙方式发送信息或者W网络数据包方式发送信息等等。非发送类API包括除发 送类API W外的API,例如，可W是读取信息的API,包括读取短信信息、通话记录信息、通讯 录信息、位置信息等，还可W是加密的API。
[0031] 基于此，本发明实施例中，在进行恶意应用程序检测时，主要检测发送类API发送 的信息是否为移动终端上的用户信息。如图la所示，为本发明实施例提供的恶意应用程序 检测方法的实施流程示意图，包括W下步骤：
[0032] S11、提取移动终端中的所有用户信息。
[0033] 其中，提取的用户信息可W包括短信信息、通话记录信息、通讯录信息、位置信息 等移动终端上与用户有关的信息。
[0034] 较佳的，为了便于后续比较，可W为提取的每一用户信息分配一信息标识，如表2 所示：
[0035] 表 2
[0036]
[0037] S12、获取移动终端安装的应用程序所包含的各API的参数变量。
[003引需要说明的是，API的类别不同，获取的API的参数变量也不同，例如，对于发送类 API来说，其参数变量包括执行参数，即发送的信息内容，而对于非发送类的API来说，其参 数变量可能包括执行参数和结果变量。但不限于此，在实际应用中，也有可能发送类API的 参数变量也同时包括