CN104252595B - 应用程序的分析方法、装置和客户端 - Google Patents

应用程序的分析方法、装置和客户端 Download PDF

Info

Publication number
CN104252595B
CN104252595B CN201310268349.9A CN201310268349A CN104252595B CN 104252595 B CN104252595 B CN 104252595B CN 201310268349 A CN201310268349 A CN 201310268349A CN 104252595 B CN104252595 B CN 104252595B
Authority
CN
China
Prior art keywords
application program
behavior
sample
abnormal
feature database
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310268349.9A
Other languages
English (en)
Other versions
CN104252595A (zh
Inventor
潘泉海
张楠
赵闽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kingsoft Internet Security Software Co Ltd
Conew Network Technology Beijing Co Ltd
Shell Internet Beijing Security Technology Co Ltd
Zhuhai Juntian Electronic Technology Co Ltd
Beijing Kingsoft Internet Science and Technology Co Ltd
Original Assignee
Beijing Kingsoft Internet Security Software Co Ltd
Conew Network Technology Beijing Co Ltd
Shell Internet Beijing Security Technology Co Ltd
Zhuhai Juntian Electronic Technology Co Ltd
Beijing Kingsoft Internet Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kingsoft Internet Security Software Co Ltd, Conew Network Technology Beijing Co Ltd, Shell Internet Beijing Security Technology Co Ltd, Zhuhai Juntian Electronic Technology Co Ltd, Beijing Kingsoft Internet Science and Technology Co Ltd filed Critical Beijing Kingsoft Internet Security Software Co Ltd
Priority to CN201310268349.9A priority Critical patent/CN104252595B/zh
Publication of CN104252595A publication Critical patent/CN104252595A/zh
Application granted granted Critical
Publication of CN104252595B publication Critical patent/CN104252595B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提出一种应用程序的分析方法、装置和客户端。其中,该应用程序的分析方法包括以下步骤:获取待检测的应用程序的一个或多个行为;分别检测每个行为在第一样本特征库中的出现次数;以及根据每个行为在第一样本特征库中的出现次数分析应用程序的类型。根据本发明实施例方法,能够全面地分析出异常应用程序,可防止对应用程序类型的误判,提高应用程序分析的准确率,从而对异常应用程序进行有效拦截。

Description

应用程序的分析方法、装置和客户端
技术领域
本发明涉及计算机技术领域,尤其涉及一种应用程序的分析方法、装置和客户端。
背景技术
目前,一些第三方开发者会在部分网络资源写入恶意代码使其成为恶意文件,当用户下载、传输或使用这些文件时,恶意文件中的恶意代码会在用户的终端执行,恶意代码执行过程中会弹出恶意广告、扫描用户信息,甚至会篡改客户端的文件或攻击客户端的***,存在严重的安全隐患并且还可能泄露用户信息,给用户带来干扰和不便。因此如何对恶意文件进行分析和检测已成为现下亟待解决的问题。
现有的恶意文件检测方法主要是基于文件的行为特征进行检测的方法,该方法首先将待检测文件在虚拟机中运行,并记录待检测文件运行过程中的指令序列、API(Application Programming Interface,应用程序接口)调用组合及频率以及在运行过程中产生的行为等行为特征,然后将记录的行为特征的与预先收集的异常行为特征进行对比,进而可根据异常行为特征的出现数量来确定待检测文件为恶意文件的概率。
实现本发明的过程中,发明人发现现有技术至少存在以下问题:基于文件的行为特征进行检测的方法仅仅通过文件运行过程中产生的行为命中黑行为特征的数量来判断一个文件是否是恶意文件,容易造成误报,检测不准确,不能有效的对而已文件进行检测。例如,一个文件运行过程中产生的行为总数较少,即使该文件的全部行为命中黑行为特征,但由于数量较少而未达到判定恶意文件的条件,则将该文件误报为正常文件;又如,一个文件运行过程产生的行为虽然命中黑行为特征的条数比较多,达到了判定为恶意文件的数量,但是还有更多的行为没有命中,那么直接将该文件判定为恶意文件也会产生误报。
发明内容
本发明旨在至少解决上述技术问题之一。
为此,本发明的第一个目的在于提出一种应用程序的分析方法。该方法能够全面地分析出异常应用程序,可防止对应用程序类型的误判,提高应用程序分析的准确率,从而对异常应用程序进行有效拦截。
本发明的第二个目的在于提出一种应用程序的分析装置。
本发明的第三个目的在于提出一种客户端。
为了实现上述目的,本发明第一方面实施例的应用程序的分析方法,包括以下步骤:获取待检测的应用程序的一个或多个行为;分别检测每个所述行为在第一样本特征库中的出现次数;以及根据每个所述行为在所述第一样本特征库中的出现次数分析所述应用程序的类型。
根据本发明实施例的应用程序的分析方法,可根据待检测的应用程序的每个行为在第一样本特征库中的出现次数分析该待检测的应用程序的类型,由此,能够全面地分析出异常应用程序,由此,对于产生的行为较少的应用程序也可准确的分析其类型,可防止对应用程序类型的误判,提高应用程序分析的准确率,从而对异常应用程序进行有效拦截。
为了实现上述目的,本发明第二方面实施例的应用程序的分析装置,包括:获取模块,用于待检测的应用程序的一个或多个行为;检测模块,用于分别检测每个所述行为在第一样本特征库中的出现次数;以及分析模块,用于根据每个所述行为在所述第一样本特征库中的出现次数分析所述应用程序的类型。
根据本发明实施例的应用程序的分析装置,可根据待检测的应用程序的每个行为在第一样本特征库中的出现次数分析该待检测的应用程序的类型,由此,能够全面地分析出异常应用程序,由此,对于产生的行为较少的应用程序也可准确的分析其类型,可防止对应用程序类型的误判,提高应用程序分析的准确率,从而对异常应用程序进行有效拦截。
为了实现上述目的,本发明第三方面实施例的客户端,包括:外壳,显示器、电路板和处理器,其中,所述电路板安置在所述外壳围成的空间内部,所述显示器在所述外壳外部,并与所述电路板相连接,所述处理器设置在所述电路板上;所述处理器用于处理数据,并具体用于:获取待检测的应用程序的一个或多个行为;分别检测每个所述行为在第一样本特征库中的出现次数;以及根据每个所述行为在所述第一样本特征库中的出现次数分析所述应用程序的类型。
根据本发明实施例的客户端,可根据待检测的应用程序的每个行为在第一样本特征库中的出现次数分析该待检测的应用程序的类型,由此,能够全面地分析出异常应用程序,由此,对于产生的行为较少的应用程序也可准确的分析其类型,可防止对应用程序类型的误判,提高应用程序分析的准确率,从而对异常应用程序进行有效拦截。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中,
图1是根据本发明一个实施例的应用程序的分析方法的流程图;
图2是根据本发明一个实施例的步骤S103的具体流程图;
图3是根据本发明另一个实施例的应用程序的分析方法的流程图;
图4是根据本发明一个实施例的步骤S302的具体流程图;
图5是根据本发明又一个实施例的应用程序的分析方法的流程图;
图6是根据本发明一个实施例的步骤S505的具体流程图;
图7是根据本发明一个实施例的应用程序的分析装置的结构示意图;
图8是根据本发明另一个实施例的行为特征的分析装置的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
在本发明的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。此外,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
下面参考附图描述根据本发明实施例的应用程序的分析方法、装置和客户端。
目前,通过静态特征分析法分析应用程序类型会因程序代码结果变化而失效。而基于行为特征对应用程序进行动态分析时,通过应用程序在运行过程中产生的行为命中异常样本特征库中行为的数量判断其类型,也容易造成误判,分析结果不够准确如。如果根据应用程序的行为在异常特征库中的出现次数对行为特征进行综合分析,则可准确的分析应用程序的类型,为此提出一种应用程序的分析方法。
图1是根据本发明一个实施例的应用程序的分析方法的流程图。如图1所示,该应用程序的分析方法包括以下步骤。
S101,获取待检测的应用程序的一个或多个行为。
在本发明的一个实施例中,待检测的应用程序的行为可以是待检测的应用程序在虚拟机中运行过程中所进行的操作,如创建文件、访问注册表、连接网络等操作。举例来说,服务器可获取该应用程序在运行过程中产生的注入***进程、释放病毒文件、连接特定IP(Internet Protocol,网络之间互连的协议)地址或者打开特定网站等行为。
S102,分别检测每个行为在第一样本特征库中的出现次数。
在本发明的一个实施例中,第一样本特征库可以为异常样本特征库,其中,第一样本特征库中可包括多个异常样本行为特征和多个异常样本行为,其中,异常样本行为特征为异常应用程序在运行过程中产生的一个或多个行为的组合,如注入指定***进程与连接了特定网站这两个行为可组合为一个异常行为特征,释放病毒文件等高风险行为可单独作为一个异常行为特征。每个异常样本行为特征可对应至少一个异常样本行为。异常样本特征库中的异常样本行为特征可来源于用户反馈、安全组织或者反病毒公司提供分析数据。每个行为在第一样本特征库中的出现次数为每个行为在第一样本特征库中的异常样本行为特征对应的异常样本行为中出现的次数,具体地,对于每个行为,如果第一样本特征库中存在N个异常样本行为特征对应的异常样本行为中包含该行为,则该行为在第一样本特征库中的出现次数为N。由此,可获取每个行为在第一样本特征库中的出现次数。
S103,根据每个行为在第一样本特征库中的出现次数分析该应用程序的类型。
在本发明的一个实施例中,如图2所示,根据每个行为在第一样本特征库中的出现次数分析该应用程序的类型可进一步包括以下步骤:
S1031,根据每个行为在第一样本特征库中的出现次数获取每个行为在第一样本特征库的多个异常样本行为中的出现率。
在本发明的一个实施例中,可将该出现率定义为偏黑率,一个行为在第一样本特征库的多个异常样本行为中的出现率可以是该行为在第一样本特征库中的异常样本行为特征对应的异常样本行为中的出现概率。例如,第一样本特征库中有500个异常样本行为特征,如果一个行为在第一样本特征库中的出现次数为450次,则该行为在第一样本特征库中的出现率为90%。
S1032,获取出现率大于第一阈值的行为占该应用程序的行为总数的比例,如果比例大于第一预设比例,则判断该应用程序为异常应用程序。
举例来说,一个应用程序总共产生了10个行为,第一阈值为80%,第一预设比例为1/4,如果出现率大于第一阈值的行为有4个,则出现率大于第一阈值的行为占该应用程序行为总数的比例为2/5,大于第一预设比例1/4,则可判断该应用程序为是异常应用程序。
S1033,获取第二预设比例的行为,其中,第二预设比例的行为的出现率大于该应用程序的行为中其他行为的出现率,并获取第二预设比例的行为的出现率的第一平均值,如果第一平均值大于第二阈值,则判断应用程序为异常应用程序。
举例来说,若第二预设比例为1/3,该应用程序共产生了30个行为,则可将这30个行为的出现率按照从大到小进行排序,选取前10个行为的出现率,由此选取的10个行为的出现率中任意一个都大于未被选中的行为的出现率,可计算选取的10个行为的出现率的平均值,如果该平均值大于第二阈值,则服务器可判断该应用程序为异常应用程序。
S1034,获取应用程序的所有行为的出现率的第二平均值,如果第二平均值大于第三阈值,则判断应用程序为异常应用程序。
在本发明的一个实施例中,第二平均值为该应用程序产生的全部行为的出现率的平均值,如果该平均值大于第三阈值,则可判断该应用程序为异常应用程序。
在本发明的一个实施例中,服务器可通过步骤S1032、S1033、S1034中的一个或多个根据每个行为在第一样本特征库的多个异常样本行为中的出现率判断应用程序的类型,当根据其中一个步骤不能判断出应用程序的类型时,可选择其中多个步骤联合判断,例如,如果通过步骤S1032未能判断该应用程序的类型,可继续执行步骤S1033进行判断,如果通过步骤S1033仍然未能判断该应用程序的类型,可继续执行步骤S1034进行判断,如果依然无法判断该应用程序是否为异常应用程序,则判断该应用程序为可疑应用程序。
在本发明的一个实施例中,当服务器判断一个应用程序为异常应用程序时,可根据该异常应用程序产生的行为提取其行为特征,并将提取的行为特征和该应用程序产生的行为添加至异常特征库中,由此,可不断丰富异常特征库的数据,为应用程序的分析提供更可靠的分析样本,使得分析结果更加准确。
根据本发明实施例的应用程序的分析方法,可根据待检测的应用程序的每个行为在第一样本特征库中的出现次数分析该待检测的应用程序的类型,由此,能够全面地分析出异常应用程序,由此,对于产生的行为较少的应用程序也可准确的分析其类型,可防止对应用程序类型的误判,提高应用程序分析的准确率,从而对异常应用程序进行有效拦截。
图3是根据本发明另一个实施例的应用程序的分析方法的流程图。在该实施例中,服务器首先根据该应用程序的行为提取其行为特征,并根据行为特征和第一样本特征库判断判断应用程序的类型,并在判断应用程序为可疑应用程序时执行分别检测每个行为在第一样本特征库中的出现次数以对应用程序进行分析的步骤,从而提高应用程序的分析效率。具体地,如图3所示,该应用程序的分析方法包括以下步骤。
S301,获取待检测的应用程序的一个或多个行为。
S302,根据该应用程序的行为和第一样本特征库,判断应用程序是否为可疑应用程序,其中,可疑应用程序的行为不全部为异常样本行为。
在本发明的一个实施例中,如图4所示,根据该应用程序的行为和第一样本特征库,判断应用程序是否为可疑应用程序可进一步包括以下步骤:
S3021,根据该应用程序的行为提取该应用程序的一个或多个行为特征。
在本发明的一个实施例中,应用程序的行为特征为应用程序的一个或多个行为的组合。如注入指定***进程与连接了特定网站这两个行为可组合为一个行为特征,释放病毒文件等特征明显的行为可单独作为一个行为特征。
S3022,判断该应用程序的行为特征中存在于第一样本特征库中的行为特征的个数是否超过预设阈值。
在本发明的一个实施例中,预设阈值可为该应用程序的行为特征总数,如果该应用程序的全部行为特征均存在于第一样本特征库中,则可判断该应用程序为异常应用程序,如果该应用程序的部分行为特征存在于第一样本特征库中,则可判断该应用程序为可疑应用程序。
S3023,如果超过预设阈值,则该应用程序为异常应用程序。
S3024,如果未超过预设阈值,则该应用程序为可疑应用程序。
S303,若判断该应用程序为可疑应用程序,则分别检测每个行为在第一样本特征库中的出现次数。
S304,根据每个行为在第一样本特征库中的出现次数分析该应用程序的类型。
在本发明的一个实施例中,根据每个行为在第一样本特征库中的出现次数分析该应用程序的类型的具体步骤可如图2中S1031-S1034所示。服务器可通过步骤S1032、S1033、S1034中的一个或多个根据每个行为在第一样本特征库的多个异常样本行为中的出现率判断应用程序的类型,当根据其中一个步骤不能判断出应用程序的类型时,可选择其中多个步骤联合判断,例如,如果通过步骤S1032未能判断该应用程序的类型,可继续执行步骤S1033进行判断,如果通过步骤S1033仍然未能判断该应用程序的类型,可继续执行步骤S1034进行判断,如果依然无法判断该应用程序是否为异常应用程序,则判断该应用程序为可疑应用程序。
根据本发明实施例的应用程序的分析方法,可根据待检测应用程序的行为特征判断该应用程序的类型,并在该应用程序为可疑应用程序时,根据该应用程序的行为在第一样本特征库中的出现次数分析其类型,由此,对于可直接判断为异常应用程序,无需分析其行为在第一样本特征库中的出现次数,从而进一步提高了应用程序分析的准确性,并且提高了应用程序的分析效率。
图5是根据本发明又一个实施例的应用程序的分析方法的流程图。在本实施例中,服务器还可获取待检测的应用程序产生的行为在非异常样本特征库中的出现次数,并根据该应用程序在异常样本特征库中的出现次数和在非异常样本特征库中的出现次数分析该也应用程序的类型,进一步提高了行为特征的准确率,具体地,如图5所示,应用程序的分析方法包括以下步骤。
S501,获取待检测的应用程序的一个或多个行为。
S502,根据该应用程序的行为和第一样本特征库,判断应用程序是否为可疑应用程序,其中,可疑应用程序的行为不全部为异常样本行为。
在本发明的一个实施例中,根据该应用程序的行为和第一样本特征库,判断应用程序是否为可疑应用程序的具体步骤可如图4中S3021-S3024所示。
S503,若判断该应用程序为可疑应用程序,则分别检测每个行为在第一样本特征库中的出现次数。
S504,分别检测每个行为在第二样本特征库中的出现次数。
在本发明的一个实施例中,第二样本特征库可以为非异常样本特征库,其中,第二样本特征库中可包括多个非异常样本行为特征和多个非异常样本行为。其中,每个非异常样本行为特征可对应至少一个非异常样本行为,非异常样本特征库中的非异常样本行为特征可来源于用户反馈、安全组织或者反病毒公司提供分析数据。每个行为在第二样本特征库中的出现次数为每个行为在第二样本特征库中的非异常样本行为特征对应的非异常样本行为中出现的次数,具体地,对于每个行为,如果第二样本特征库中存在N个非异常样本行为特征对应的非异常样本行为中包含该行为,则该行为在第二样本特征库中的出现次数为N。由此,可获取每个行为在第二样本特征库中的出现次数。
S505,根据每个行为在第一样本特征库中的出现次数和在第二样本特征库中的出现次数分析该应用程序的类型。
在本发明的一个实施例中,如图6所示,根据每个行为在第一样本特征库中的出现次数和在第二样本特征库中的出现次数分析该应用程序的类型可进一步包括以下步骤:
S5051,根据每个行为在第一样本特征库中的出现次数和在第二样本特征库中的出现次数获取每个行为的异常率。
在本发明的一个实施例中,异常率为一个行为在第一样本特征库中的出现次数占总出现次数的比例,其中,总出现次数为该行为在第一样本特征库中的出现次数与在第二样本特征库中的出现次数的总和。例如,第一样本特征库中有500个样本,第二样本特征库中有500个样本,一个行为在第一样本特征库中出现次数为400次,在第二样本特征库中出现100次,则该行为的异常率为400/(400+100)=80%,非异常率为100/(400+100)=20%。
S5052,获取异常率大于第四阈值的行为占该应用程序的行为总数的比例,如果该比例大于第三预设比例,则判断该应用程序为异常应用程序。
举例来说,一个应用程序总共产生了10个行为,第一阈值为80%,第一预设比例为1/4,如果异常率大于第一阈值的行为有4个,则异常率大于第一阈值的行为占该应用程序行为总数的比例为2/5,大于第一预设比例1/4,则可判断该应用程序为是异常应用程序。
S5053,获取第五预设比例的行为,其中,第五预设比例的行为的异常率大于该应用程序的行为中其他行为的异常率,并获取第五预设比例的行为的异常率的第三平均值,如果第三平均值大于第五阈值,则判断该应用程序为异常应用程序。
举例来说,若第五预设比例为1/3,该应用程序共产生了30个行为,则可将这30个行为的异常率按照从大到小进行排序,选取前10个行为的异常率,由此选取的10个行为的异常率中任意一个都大于未被选中的行为的异常率,可计算选取的10个行为的异常率的平均值,如果该平均值大于第五阈值,则可判断该应用程序为异常应用程序。
S5054,获取该应用程序的所有行为的异常率的第四平均值,如果第四平均值大于第六阈值,则判断该应用程序为异常应用程序。
在本发明的一个实施例中,第四平均值为该应用程序产生的全部行为的异常率的平均值,如果该平均值大于第六阈值,则可判断该应用程序为异常应用程序。
在本发明的一个实施例中,服务器可通过步骤S5052、S5053、S5054中的一个或多个根据每个行为的异常率判断应用程序的类型,当根据其中一个步骤不能判断出应用程序的类型时,可选择其中多个步骤联合判断,例如,如果通过步骤S5052未能判断该应用程序的类型,可继续执行步骤S5053进行判断,如果通过步骤S5053仍然未能判断该应用程序的类型,可继续执行步骤S5054进行判断,如果依然无法判断该应用程序是否为异常应用程序,则判断该应用程序为可疑应用程序。
在本发明的一个实施例中,当服务器判断一个应用程序为异常应用程序时,将根据该异常应用程序产生的行为提取其行为特征,并将提取的行为特征和该应用程序产生的行为添加至异常特征库中,由此,可不断丰富异常特征库的数据,为应用程序的分析提供更可靠的分析样本,使得分析结果更加准确。
应当理解,根据应用程序的行为的异常率分析应用程序的类型仅为示例性的,在本发明的其他实施例中,还可针对应用程序的行为的非异常率设定相应的阈值,并对应用程序的类型进行分析。
根据本发明实施例的应用程序的分析方法,可分别获取待检测的应用程序的行为在第一样本特征库和第二样本特征库中的出现次数,从而进一步获取该应用程序的行为的异常率,并据此分析应用程序的类型,将异常特征库与非异常特征库相结合以分析应用程序类型,进一步提高了应用程序分析的准确率。
为了实现上述实施例,本发明还提出一种行为特征的分析装置。
图7是根据本发明一个实施例的应用程序的分析装置的结构示意图。如图7所示,应用程序分析的装置包括获取模块100、检测模块200和分析模块300。
具体地,获取模块100用于获取待检测的应用程序的一个或多个行为。在本发明的一个实施例中,待检测的应用程序的行为可以是待检测的应用程序在虚拟机中运行过程中所进行的操作,如创建文件、访问注册表、连接网络等操作。举例来说,获取模块100可获取应用程序在运行过程中产生的注入***进程、释放病毒文件、连接特定IP地址或者打开特定网站等行为。
检测模块200用于分别检测每个行为在第一样本特征库中的出现次数。在本发明的一个实施例中,第一样本特征库可以为异常样本特征库,其中,第一样本特征库中可包括多个异常样本行为特征和多个异常样本行为,其中,异常样本行为特征为异常应用程序在运行过程中产生的一个或多个行为的组合,如注入指定***进程与连接了特定网站这两个行为可组合为一个异常行为特征,释放病毒文件等高风险行为可单独作为一个异常行为特征。每个异常样本行为特征可对应至少一个异常样本行为。异常样本特征库中的异常样本行为特征可来源于用户反馈、安全组织或者反病毒公司提供分析数据。每个行为在第一样本特征库中的出现次数为每个行为在第一样本特征库中的异常样本行为特征对应的异常样本行为中出现的次数,具体地,对于每个行为,如果检测模块200检测到第一样本特征库中存在N个异常样本行为特征对应的异常样本行为中包含该行为,则该行为在第一样本特征库中的出现次数为N。由此,可获取每个行为在第一样本特征库中的出现次数。
分析模块300用于根据每个行为在第一样本特征库中的出现次数分析应用程序的类型。在本发明的一个实施例中,分析模块300可进一步包括第一获取子模块310、判断子模块320和第二获取子模块330。
更具体地,第一获取子模块310用于根据每个行为在第一样本特征库中的出现次数获取每个行为在第一样本特征库的多个异常样本行为中的出现率。在本发明的一个实施例中,可将该出现率定义为偏黑率,一个行为在第一样本特征库的多个异常样本行为中的出现率可以是该行为在第一样本特征库中的异常样本行为特征对应的异常样本行为中的出现概率。例如,第一样本特征库中有500个异常样本行为特征,如果一个行为在第一样本特征库中的出现次数为450次,则该行为在第一样本特征库中的出现率为90%。
判断子模块320用于根据每个行为在第一样本特征库的多个异常样本行为中的出现率判断应用程序的类型。
第二获取子模块330可用于获取出现率大于第一阈值的行为占应用程序的行为总数的比例,判断子模块320具体用于在该比例大于第一预设比例时,判断该应用程序为异常应用程序。举例来说,一个应用程序总共产生了10个行为,第一阈值为80%,第一预设比例为1/4,如果出现率大于第一阈值的行为有4个,则出现率大于第一阈值的行为占该应用程序行为总数的比例为2/5,大于第一预设比例1/4,则可判断该应用程序为是异常应用程序。
第二获取子模块330还可用于获取第二预设比例的行为,其中,第二预设比例的行为的出现率大于应用程序的行为中其他行为的出现率,并获取第二预设比例的行为的出现率的第一平均值,判断子模块320还具体用于在第一平均值大于第二阈值时,判断该应用程序为异常应用程序。举例来说,若第二预设比例为1/3,该应用程序共产生了30个行为,则可将这30个行为的出现率按照从大到小进行排序,选取前10个行为的出现率,由此选取的10个行为的出现率中任意一个都大于未被选中的行为的出现率,可计算选取的10个行为的出现率的平均值,如果该平均值大于第二阈值,则服务器可判断该应用程序为异常应用程序。
第二获取子模块330还可用于获取应用程序的所有行为的出现率的第二平均值,判断子模块320还具体用于在第二平均值大于第三阈值时,判断该应用程序为异常应用程序。在本发明的一个实施例中,第二平均值为该应用程序产生的全部行为的出现率的平均值,如果该平均值大于第三阈值,则可判断该应用程序为异常应用程序。
在本发明的一个实施例中,当判断一个应用程序为异常应用程序时,可根据该异常应用程序产生的行为提取其行为特征,并将提取的行为特征和该应用程序产生的行为添加至异常特征库中,由此,可不断丰富异常特征库的数据,为应用程序的分析提供更可靠的分析样本,使得分析结果更加准确。
根据本发明实施例的应用程序的分析装置,可根据待检测的应用程序的每个行为在第一样本特征库中的出现次数分析该待检测的应用程序的类型,由此,能够全面地分析出异常应用程序,由此,对于产生的行为较少的应用程序也可准确的分析其类型,可防止对应用程序类型的误判,提高应用程序分析的准确率,从而对异常应用程序进行有效拦截。
在本发明的一个实施例中,检测模块200还用于分别检测每个行为在第二样本特征库中的出现次数,分析模块300还用于根据每个行为在第一样本特征库中的出现次数和在第二样本特征库中的出现次数分析该应用程序的类型。其中,第二样本特征库可以为非异常样本特征库,其中,第二样本特征库中可包括多个非异常样本行为特征和多个非异常样本行为。
具体地,可通过第一获取子模块310根据每个行为在第一样本特征库中的出现次数和在第二样本特征库中的出现次数获取每个行为的异常率,然后由判断子模块320根据每个行为的异常率判断应用程序的类型。更具体地,可通过第二获取子模块330获取异常率中大于第四阈值的行为占应用程序的行为总数的比例,当此比例大于第三预设比例时,判断子模块320判断该应用程序为异常应用程序;还可通过第二获取子模块330获取第五预设比例的行为,其中,第五预设比例的行为的异常率大于应用程序中其他行为的异常率,并获取第五预设比例的行为的异常率的第三平均值,当此第三平均值大于第五阈值时,判断子模块320判断该应用程序为异常应用程序;也可通过第二获取子模块330获取应用程序的所有行为的异常率的第四平均值,当此第四平均值大于第六阈值时,判断子模块320判断该应用程序为异常应用程序。
应当理解,根据应用程序的行为的异常率分析应用程序的类型仅为示例性的,在本发明的其他实施例中,还可针对应用程序的行为的非异常率设定相应的阈值,并对应用程序的类型进行分析。
图8是根据本发明另一个实施例的行为特征的分析装置的结构示意图。如图8所示,行为特征的分析装置包括获取模块100、检测模块200、分析模块300和判断模块400。
具体地,判断模块400用于根据待检测的应用程序的行为和第一样本特征库,判断该应用程序是否为可疑应用程序,其中,可疑应用程序的行为不全部为异常样本行为。更具体地,判断模块400可具体用于根据该应用程序的行为提取该应用程序的一个或多个行为特征,并在该应用程序的行为特征中存在于第一样本特征库中的行为特征的个数超过预设阈值时,判断该应用程序为异常应用程序,以及在行为特征中存在于第一样本特征库中的行为特征的个数未超过预设阈值时,判断该应用程序为可疑应用程序。其中,应用程序的行为特征为应用程序的一个或多个行为的组合。如注入指定***进程与连接了特定网站这两个行为可组合为一个行为特征,释放病毒文件等特征明显的行为可单独作为一个行为特征。预设阈值可为该应用程序的行为特征总数,如果该应用程序的全部行为特征均存在于第一样本特征库中,则可判断该应用程序为异常应用程序,如果该应用程序的部分行为特征存在于第一样本特征库中,则可判断该应用程序为可疑应用程序。
其中,检测模块200在判断模块400判断该应用程序为可疑应用程序时分别检测每个行为在第一样本特征库中的出现次数。
根据本发明实施例的应用程序的分析装置,可根据待检测应用程序的行为特征判断该应用程序的类型,并在该应用程序为可疑应用程序时,根据该应用程序的行为在第一样本特征库中的出现次数分析其类型,由此,对于可直接判断为异常应用程序,无需分析其行为在第一样本特征库中的出现次数,从而进一步提高了应用程序分析的准确性,并且提高了应用程序的分析效率。
为了实现上述实施例,本发明提出一种客户端。
根据本发明实施例的客户端,包括外壳,显示器、电路板和处理器,其中,电路板安置在外壳围成的空间内部,显示器在外壳外部,并与电路板相连接,处理器设置在电路板上;处理器用于处理数据,并具体用于执行以下步骤:
S101’,获取待检测的应用程序的一个或多个行为。
在本发明的一个实施例中,待检测的应用程序的行为可以是待检测的应用程序在虚拟机中运行过程中所进行的操作,如创建文件、访问注册表、连接网络等操作。举例来说,服务器可获取该应用程序在运行过程中产生的注入***进程、释放病毒文件、连接特定IP地址或者打开特定网站等行为。
S102’,分别检测每个行为在第一样本特征库中的出现次数。
在本发明的一个实施例中,第一样本特征库可以为异常样本特征库,其中,第一样本特征库中可包括多个异常样本行为特征和多个异常样本行为,其中,异常样本行为特征为异常应用程序在运行过程中产生的一个或多个行为的组合,如注入指定***进程与连接了特定网站这两个行为可组合为一个异常行为特征,释放病毒文件等高风险行为可单独作为一个异常行为特征。每个异常样本行为特征可对应至少一个异常样本行为。异常样本特征库中的异常样本行为特征可来源于用户反馈、安全组织或者反病毒公司提供分析数据。每个行为在第一样本特征库中的出现次数为每个行为在第一样本特征库中的异常样本行为特征对应的异常样本行为中出现的次数,具体地,对于每个行为,如果第一样本特征库中存在N个异常样本行为特征对应的异常样本行为中包含该行为,则该行为在第一样本特征库中的出现次数为N。由此,可获取每个行为在第一样本特征库中的出现次数。
S103’根据每个行为在第一样本特征库中的出现次数分析该应用程序的类型。
在本发明的一个实施例中,处理器在根据每个行为在第一样本特征库中的出现次数分析该应用程序的类型时可进一步用于执行以下步骤:。
S1031’,根据每个行为在第一样本特征库中的出现次数获取每个行为在第一样本特征库的多个异常样本行为中的出现率。
在本发明的一个实施例中,可将该出现率定义为偏黑率,一个行为在第一样本特征库的多个异常样本行为中的出现率可以是该行为在第一样本特征库中的异常样本行为特征对应的异常样本行为中的出现概率。例如,第一样本特征库中有500个异常样本行为特征,如果一个行为在第一样本特征库中的出现次数为450次,则该行为在第一样本特征库中的出现率为90%。
S1032’,获取出现率大于第一阈值的行为占该应用程序的行为总数的比例,如果比例大于第一预设比例,则判断该应用程序为异常应用程序。
举例来说,一个应用程序总共产生了10个行为,第一阈值为80%,第一预设比例为1/4,如果出现率大于第一阈值的行为有4个,则出现率大于第一阈值的行为占该应用程序行为总数的比例为2/5,大于第一预设比例1/4,则可判断该应用程序为是异常应用程序。
S1033’,获取第二预设比例的行为,其中,第二预设比例的行为的出现率大于该应用程序的行为中其他行为的出现率,并获取第二预设比例的行为的出现率的第一平均值,如果第一平均值大于第二阈值,则判断应用程序为异常应用程序。
举例来说,若第二预设比例为1/3,该应用程序共产生了30个行为,则可将这30个行为的出现率按照从大到小进行排序,选取前10个行为的出现率,由此选取的10个行为的出现率中任意一个都大于未被选中的行为的出现率,可计算选取的10个行为的出现率的平均值,如果该平均值大于第二阈值,则服务器可判断该应用程序为异常应用程序。
S1034’,获取应用程序的所有行为的出现率的第二平均值,如果第二平均值大于第三阈值,则判断应用程序为异常应用程序。
在本发明的一个实施例中,第二平均值为该应用程序产生的全部行为的出现率的平均值,如果该平均值大于第三阈值,则可判断该应用程序为异常应用程序。
在本发明的一个实施例中,可通过步骤S1032’、S1033’、S1034’中的一个或多个根据每个行为在第一样本特征库的多个异常样本行为中的出现率判断应用程序的类型,当根据其中一个步骤不能判断出应用程序的类型时,可选择其中多个步骤联合判断,例如,如果通过步骤S1032’该应用程序的类型,可继续执行步骤S1033’进行判断,如果通过步骤S1033’仍然未能判断该应用程序的类型,可继续执行步骤S1034’进行判断,如果依然无法判断该应用程序是否为异常应用程序,则判断该应用程序为可疑应用程序。
根据本发明实施例的客户端,可根据待检测的应用程序的每个行为在第一样本特征库中的出现次数分析该待检测的应用程序的类型,由此,能够全面地分析出异常应用程序,由此,对于产生的行为较少的应用程序也可准确的分析其类型,可防止对应用程序类型的误判,提高应用程序分析的准确率,从而对异常应用程序进行有效拦截。
在本发明的另一个实施例中,处理器还用于执行以下步骤。
S301’,获取待检测的应用程序的一个或多个行为。
S302’,根据该应用程序的行为和第一样本特征库,判断应用程序是否为可疑应用程序,其中,可疑应用程序的行为不全部为异常样本行为。
在本发明的一个实施例中,处理器根据该应用程序的行为和第一样本特征库,判断应用程序是否为可疑应用程序时可进一步用于执行以下步骤:
S3021’,根据该应用程序的行为提取该应用程序的一个或多个行为特征。
在本发明的一个实施例中,应用程序的行为特征为应用程序的一个或多个行为的组合。如注入指定***进程与连接了特定网站这两个行为可组合为一个行为特征,释放病毒文件等特征明显的行为可单独作为一个行为特征。
S3022’,判断该应用程序的行为特征中存在于第一样本特征库中的行为特征的个数是否超过预设阈值。
在本发明的一个实施例中,预设阈值可为该应用程序的行为特征总数,如果该应用程序的全部行为特征均存在于第一样本特征库中,则可判断该应用程序为异常应用程序,如果该应用程序的部分行为特征存在于第一样本特征库中,则可判断该应用程序为可疑应用程序。
S3023’,如果超过预设阈值,则该应用程序为异常应用程序。
S3024’,如果未超过预设阈值,则该应用程序为可疑应用程序。
S303’,若判断该应用程序为可疑应用程序,则分别检测每个行为在第一样本特征库中的出现次数。
S304’,根据每个行为在第一样本特征库中的出现次数分析该应用程序的类型。
在本法明的一个实施例中,此步骤的具体实现方法可如S1031’-S1034’所示。
根据本发明实施例的客户端,可根据待检测应用程序的行为特征判断该应用程序的类型,并在该应用程序为可疑应用程序时,根据该应用程序的行为在第一样本特征库中的出现次数分析其类型,由此,对于可直接判断为异常应用程序,无需分析其行为在第一样本特征库中的出现次数,从而进一步提高了应用程序分析的准确性,并且提高了应用程序的分析效率。
在本发明的又一个实施例中,处理器还用于执行以下步骤:
S501’,获取待检测的应用程序的一个或多个行为。
S502’,根据该应用程序的行为和第一样本特征库,判断应用程序是否为可疑应用程序,其中,可疑应用程序的行为不全部为异常样本行为。
在本发明的一个实施例中,此步骤的具体实现方法可如S3021’-S3024’所示。
S503’,若判断该应用程序为可疑应用程序,则分别检测每个行为在第一样本特征库中的出现次数。
S504’,分别检测每个行为在第二样本特征库中的出现次数。
在本发明的一个实施例中,第二样本特征库可以为非异常样本特征库,其中,第二样本特征库中可包括多个非异常样本行为特征和多个非异常样本行为。其中,每个非异常样本行为特征可对应至少一个非异常样本行为,非异常样本特征库中的非异常样本行为特征可来源于用户反馈、安全组织或者反病毒公司提供分析数据。每个行为在第二样本特征库中的出现次数为每个行为在第二样本特征库中的非异常样本行为特征对应的非异常样本行为中出现的次数,具体地,对于每个行为,如果第二样本特征库中存在N个非异常样本行为特征对应的非异常样本行为中包含该行为,则该行为在第二样本特征库中的出现次数为N。由此,可获取每个行为在第二样本特征库中的出现次数。
S505’,根据每个行为在第一样本特征库中的出现次数和在第二样本特征库中的出现次数分析该应用程序的类型。
在本发明的一个实施例中,处理器根据每个行为在第一样本特征库中的出现次数和在第二样本特征库中的出现次数分析该应用程序的类型时具体用于执行以下步骤:
S5051’,根据每个行为在第一样本特征库中的出现次数和在第二样本特征库中的出现次数获取每个行为的异常率。
在本发明的一个实施例中,异常率为一个行为在第一样本特征库中的出现次数占总出现次数的比例,其中,总出现次数为该行为在第一样本特征库中的出现次数与在第二样本特征库中的出现次数的总和。例如,第一样本特征库中有500个样本,第二样本特征库中有500个样本,一个行为在第一样本特征库中出现次数为400次,在第二样本特征库中出现100次,则该行为的异常率为400/(400+100)=80%,非异常率为100/(400+100)=20%。
S5052’,获取异常率大于第四阈值的行为占该应用程序的行为总数的比例,如果该比例大于第三预设比例,则判断该应用程序为异常应用程序。
举例来说,一个应用程序总共产生了10个行为,第一阈值为80%,第一预设比例为1/4,如果异常率大于第一阈值的行为有4个,则异常率大于第一阈值的行为占该应用程序行为总数的比例为2/5,大于第一预设比例1/4,则可判断该应用程序为是异常应用程序。
S5053’,获取第五预设比例的行为,其中,第五预设比例的行为的异常率大于该应用程序的行为中其他行为的异常率,并获取第五预设比例的行为的异常率的第三平均值,如果第三平均值大于第五阈值,则判断该应用程序为异常应用程序。
举例来说,若第五预设比例为1/3,该应用程序共产生了30个行为,则可将这30个行为的异常率按照从大到小进行排序,选取前10个行为的异常率,由此选取的10个行为的异常率中任意一个都大于未被选中的行为的异常率,可计算选取的10个行为的异常率的平均值,如果该平均值大于第五阈值,则可判断该应用程序为异常应用程序。
S5054’,获取该应用程序的所有行为的异常率的第四平均值,如果第四平均值大于第六阈值,则判断该应用程序为异常应用程序。
在本发明的一个实施例中,第四平均值为该应用程序产生的全部行为的异常率的平均值,如果该平均值大于第六阈值,则可判断该应用程序为异常应用程序。
在本发明的一个实施例中,服务器可通过步骤S5052’、S5053’、S5054’中的一个或多个根据每个行为的异常率判断应用程序的类型,当根据其中一个步骤不能判断出应用程序的类型时,可选择其中多个步骤联合判断,例如,如果通过步骤S5052’未能判断该应用程序的类型,可继续执行步骤S5053’进行判断,如果通过步骤S5053’仍然未能判断该应用程序的类型,可继续执行步骤S5054’进行判断,如果依然无法判断该应用程序是否为异常应用程序,则判断该应用程序为可疑应用程序。
根据本发明实施例的客户端,可分别获取待检测的应用程序的行为在第一样本特征库和第二样本特征库中的出现次数,从而进一步获取该应用程序的行为的异常率,并据此分析应用程序的类型,将异常特征库与非异常特征库相结合以分析应用程序类型,进一步提高了应用程序分析的准确率。
应当理解,本发明实施例中的阈值和预设比例仅是示例性的,在本发明的其他实施例中,可根据实验测定不同阈值以及求取平均值时所需的行为预设比例。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行***执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。

Claims (24)

1.一种应用程序的分析方法,其特征在于,包括以下步骤:
获取待检测的应用程序的一个或多个行为;
分别检测每个所述行为在第一样本特征库中的出现次数,所述第一样本特征库为异常样本特征库,所述第一样本特征库中包括多个异常样本行为;以及
根据每个所述行为在所述第一样本特征库中的出现次数分析所述应用程序的类型,包括:根据每个所述行为在所述第一样本特征库中的出现次数获取每个所述行为在所述第一样本特征库的多个异常样本行为中的出现率;以及根据每个所述行为在所述第一样本特征库的多个异常样本行为中的出现率判断所述应用程序的类型。
2.如权利要求1所述的方法,其特征在于,所述根据每个所述行为在所述第一样本特征库的多个异常样本行为中的出现率判断所述应用程序的类型进一步包括:
获取出现率大于第一阈值的行为占所述应用程序的行为总数的比例,如果所述比例大于第一预设比例,则判断所述应用程序为异常应用程序;
或者,获取第二预设比例的所述行为,其中,所述第二预设比例的所述行为的出现率大于所述应用程序的行为中其他所述行为的出现率,并获取所述第二预设比例的所述行为的出现率的第一平均值,如果所述第一平均值大于第二阈值,则判断所述应用程序为异常应用程序;
或者,获取所述应用程序的所有所述行为的出现率的第二平均值,如果所述第二平均值大于第三阈值,则判断所述应用程序为异常应用程序。
3.如权利要求1-2任一项所述的方法,其特征在于,还包括:
分别检测每个所述行为在第二样本特征库中的出现次数,以根据每个所述行为在第一样本特征库中的出现次数和在第二样本特征库中的出现次数分析所述应用程序的类型。
4.如权利要求3所述的方法,其特征在于,所述第二样本特征库为非异常样本特征库,所述第二样本特征库中包括多个样本行为。
5.如权利要求4所述的方法,其特征在于,所述根据每个所述行为在第一样本特征库中的出现次数和在第二样本特征库中的出现次数分析所述应用程序的类型进一步包括:
根据每个所述行为在第一样本特征库中的出现次数和在第二样本特征库中的出现次数获取每个所述行为的异常率;以及
根据每个所述行为的异常率判断所述应用程序的类型。
6.如权利要求5所述的方法,其特征在于,所述根据每个所述行为的异常率判断所述应用程序的类型进一步包括:
获取异常率中大于第四阈值的行为占所述应用程序的行为总数的比例,如果所述比例大于第三预设比例,则判断所述应用程序为异常应用程序;
或者,获取第五预设比例的所述行为,其中,所述第五预设比例的所述行为的异常率大于所述应用程序中其他所述行为的异常率,并获取所述第五预设比例的所述行为的异常率的第三平均值,如果所述第三平均值大于第五阈值,则判断所述应用程序为异常应用程序;
或者,获取所述应用程序的所有所述行为的异常率的第四平均值,如果所述第四平均值大于第六阈值,则判断所述应用程序为异常应用程序。
7.如权利要求1所述的方法,其特征在于,所述第一样本特征库中还包括多个异常样本行为特征,在所述分别检测每个所述行为在第一样本特征库中的出现次数之前还包括:
根据所述行为和第一样本特征库,判断所述应用程序是否为可疑应用程序,其中,所述可疑应用程序的行为不全部为异常样本行为;以及
若判断所述应用程序是可疑应用程序,则执行所述分别检测每个所述行为在第一样本特征库中的出现次数的步骤。
8.如权利要求7所述的方法,其特征在于,所述根据所述行为和异常样本特征库,判断所述应用程序是否为可疑应用程序具体包括:
根据所述行为提取所述应用程序的一个或多个行为特征;
判断所述行为特征中存在于所述第一样本特征库中的行为特征的个数是否超过预设阈值;
如果超过预设阈值,则所述应用程序为异常应用程序;以及
如果未超过预设阈值,则所述应用程序为可疑应用程序。
9.一种应用程序的分析装置,其特征在于,包括:
获取模块,用于获取待检测的应用程序的一个或多个行为;
检测模块,用于分别检测每个所述行为在第一样本特征库中的出现次数,所述第一样本特征库为异常样本特征库,所述第一样本特征库中包括多个异常样本行为;以及
分析模块,用于根据每个所述行为在所述第一样本特征库中的出现次数分析所述应用程序的类型,所述分析模块具体包括:第一获取子模块,用于根据每个所述行为在所述第一样本特征库中的出现次数获取每个所述行为在所述第一样本特征库的多个异常样本行为中的出现率;以及判断子模块,用于根据每个所述行为在所述第一样本特征库的多个异常样本行为中的出现率判断所述应用程序的类型。
10.如权利要求9所述的装置,其特征在于,所述分析模块还包括第二获取子模块,其中,
所述第二获取子模块用于获取出现率大于第一阈值的行为占所述应用程序的行为总数的比例,如果所述比例大于第一预设比例,则判断所述应用程序为异常应用程序;
或者,所述第二获取子模块用于获取第二预设比例的所述行为,其中,所述第二预设比例的所述行为的出现率大于所述应用程序的行为中其他所述行为的出现率,并获取所述第二预设比例的所述行为的出现率的第一平均值,如果所述第一平均值大于第二阈值,则判断所述应用程序为异常应用程序;
或者,所述第二获取子模块用于获取所述应用程序的所有所述行为的出现率的第二平均值,如果所述第二平均值大于第三阈值,则判断所述应用程序为异常应用程序。
11.如权利要求9-10任一项所述的装置,其特征在于,
所述检测模块还用于分别检测每个所述行为在第二样本特征库中的出现次数;以及
所述分析模块还用于根据每个所述行为在第一样本特征库中的出现次数和在第二样本特征库中的出现次数分析所述应用程序的类型。
12.如权利要求11所述的装置,其特征在于,所述第二样本特征库为非异常样本特征库,所述第二样本特征库中包括多个样本行为。
13.如权利要求12所述的装置,其特征在于,
所述第一获取子模块还用于根据每个所述行为在第一样本特征库中的出现次数和在第二样本特征库中的出现次数获取每个所述行为的异常率;以及
所述判断子模块还用于根据每个所述行为的异常率判断所述应用程序的类型。
14.如权利要求13所述的装置,其特征在于,
所述第二获取子模块还用于获取异常率中大于第四阈值的行为占所述应用程序的行为总数的比例;
或者,所述第二获取子模块还用于获取第五预设比例的所述行为,其中,所述第五预设比例的所述行为的异常率大于所述应用程序中其他所述行为的异常率,并获取所述第五预设比例的所述行为的异常率的第三平均值;
或者,获取所述应用程序的所有所述行为的异常率的第四平均值。
15.如权利要求9所述的装置,其特征在于,所述第一样本特征库中还包括多个异常样本行为特征,还包括:
判断模块,用于根据所述行为和第一样本特征库,判断所述应用程序是否为可疑应用程序,其中,所述可疑应用程序的行为不全部为异常样本行为,其中,
所述检测模块在所述判断模块判断所述应用程序为可疑应用程序时分别检测每个所述行为在第一样本特征库中的出现次数。
16.如权利要求15所述的装置,其特征在于,所述判断模块具体用于根据所述行为提取所述应用程序的一个或多个行为特征,并在所述行为特征中存在于所述第一样本特征库中的行为特征的个数超过预设阈值时,判断所述应用程序为异常应用程序,以及在所述行为特征中存在于所述第一样本特征库中的行为特征的个数未超过预设阈值时,判断所述应用程序为可疑应用程序。
17.一种客户端,其特征在于,包括:外壳,显示器、电路板和处理器,其中,所述电路板安置在所述外壳围成的空间内部,所述显示器在所述外壳外部,并与所述电路板相连接,所述处理器设置在所述电路板上;
所述处理器用于处理数据,并具体用于执行以下步骤:
获取待检测的应用程序的一个或多个行为;
分别检测每个所述行为在第一样本特征库中的出现次数,所述第一样本特征库为异常样本特征库,所述第一样本特征库中包括多个异常样本行为;以及
根据每个所述行为在所述第一样本特征库中的出现次数分析所述应用程序的类型,包括:根据每个所述行为在所述第一样本特征库中的出现次数获取每个所述行为在所述第一样本特征库的多个异常样本行为中的出现率;以及根据每个所述行为在所述第一样本特征库的多个异常样本行为中的出现率判断所述应用程序的类型。
18.如权利要求17所述的客户端,其特征在于,所述处理器进一步用于执行以下步骤:
获取出现率大于第一阈值的行为占所述应用程序的行为总数的比例,如果所述比例大于第一预设比例,则判断所述应用程序为异常应用程序;
或者,获取第二预设比例的所述行为,其中,所述第二预设比例的所述行为的出现率大于所述应用程序的行为中其他所述行为的出现率,并获取所述第二预设比例的所述行为的出现率的第一平均值,如果所述第一平均值大于第二阈值,则判断所述应用程序为异常应用程序;
或者,获取所述应用程序的所有所述行为的出现率的第二平均值,如果所述第二平均值大于第三阈值,则判断所述应用程序为异常应用程序。
19.如权利要求17-18任一项所述的客户端,其特征在于,所述处理器还用于执行以下步骤:
分别检测每个所述行为在第二样本特征库中的出现次数,以根据每个所述行为在第一样本特征库中的出现次数和在第二样本特征库中的出现次数分析所述应用程序的类型。
20.如权利要求19所述的客户端,其特征在于,所述第二样本特征库为非异常样本特征库,所述第二样本特征库中包括多个样本行为。
21.如权利要求20所述的客户端,其特征在于,所述处理器进一步用于执行以下步骤:
根据每个所述行为在第一样本特征库中的出现次数和在第二样本特征库中的出现次数获取每个所述行为的异常率;以及
根据每个所述行为的异常率判断所述应用程序的类型。
22.如权利要求21所述的客户端,其特征在于,所述处理器进一步用于执行以下步骤:
获取异常率中大于第四阈值的行为占所述行为特征的一个或多个行为的比例,如果所述比例大于第三预设比例,则判断所述应用程序为异常应用程序;
或者,获取第五预设比例的所述行为,其中,所述第五预设比例的所述行为的异常率大于所述行为特征的一个或多个行为中其他所述行为的异常率,并获取所述第五预设比例的所述行为的异常率的第三平均值,如果所述第三平均值大于第五阈值,则判断所述应用程序为异常应用程序;
或者,获取所述应用程序的所有所述行为的异常率的第四平均值,如果所述第四平均值大于第六阈值,则判断所述应用程序为异常应用程序。
23.如权利要求17所述的客户端,其特征在于,所述第一样本特征库中还包括多个异常样本行为特征,所述处理器在所述分别检测每个所述行为在第一样本特征库中的出现次数之前还用于执行:
根据所述行为和第一样本特征库,判断所述应用程序是否为可疑应用程序,其中,所述可疑应用程序的行为不全部为异常样本行为;以及
若判断所述应用程序是可疑应用程序,则执行所述分别检测每个所述行为在第一样本特征库中的出现次数的步骤。
24.如权利要求23所述的客户端,其特征在于,所述处理器具体用于执行以下步骤:
根据所述行为提取所述应用程序的一个或多个行为特征;
判断所述行为特征中存在于所述第一样本特征库中的行为特征的个数是否超过预设阈值;
如果超过预设阈值,则所述应用程序为异常应用程序;以及
如果未超过预设阈值,则所述应用程序为可疑应用程序。
CN201310268349.9A 2013-06-28 2013-06-28 应用程序的分析方法、装置和客户端 Active CN104252595B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310268349.9A CN104252595B (zh) 2013-06-28 2013-06-28 应用程序的分析方法、装置和客户端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310268349.9A CN104252595B (zh) 2013-06-28 2013-06-28 应用程序的分析方法、装置和客户端

Publications (2)

Publication Number Publication Date
CN104252595A CN104252595A (zh) 2014-12-31
CN104252595B true CN104252595B (zh) 2017-05-17

Family

ID=52187481

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310268349.9A Active CN104252595B (zh) 2013-06-28 2013-06-28 应用程序的分析方法、装置和客户端

Country Status (1)

Country Link
CN (1) CN104252595B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106201442B (zh) * 2016-07-15 2019-06-25 Oppo广东移动通信有限公司 应用程序的执行方法及装置
CN109543408B (zh) * 2018-10-29 2021-10-12 卓望数码技术(深圳)有限公司 一种恶意软件识别方法和***
CN109462503B (zh) * 2018-11-09 2022-04-26 中国联合网络通信集团有限公司 一种数据检测方法和装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101593253A (zh) * 2009-06-22 2009-12-02 成都市华为赛门铁克科技有限公司 一种恶意程序判断方法及装置
CN102955912A (zh) * 2011-08-23 2013-03-06 腾讯科技(深圳)有限公司 一种程序恶意属性判别方法和服务器

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040221171A1 (en) * 2003-05-02 2004-11-04 Ahmed Ahmed Awad E. Intrusion detector based on mouse dynamics analysis
US7809670B2 (en) * 2005-12-09 2010-10-05 Microsoft Corporation Classification of malware using clustering that orders events in accordance with the time of occurance

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101593253A (zh) * 2009-06-22 2009-12-02 成都市华为赛门铁克科技有限公司 一种恶意程序判断方法及装置
CN102955912A (zh) * 2011-08-23 2013-03-06 腾讯科技(深圳)有限公司 一种程序恶意属性判别方法和服务器

Also Published As

Publication number Publication date
CN104252595A (zh) 2014-12-31

Similar Documents

Publication Publication Date Title
CN106961419B (zh) WebShell检测方法、装置及***
CN106055980B (zh) 一种基于规则的JavaScript安全性检测方法
Cova et al. Detection and analysis of drive-by-download attacks and malicious JavaScript code
US10621349B2 (en) Detection of malware using feature hashing
CN105516128B (zh) 一种Web攻击的检测方法及装置
US20070072661A1 (en) Windows message protection
WO2011032094A1 (en) Extracting information from unstructured data and mapping the information to a structured schema using the naive bayesian probability model
DE112012000744T5 (de) Erkennung eines trojanischen Pferdes
CN101964026A (zh) 网页挂马检测方法和***
CN109347882B (zh) 网页木马监测方法、装置、设备及存储介质
CN108959071B (zh) 一种基于RASP的PHP变形webshell的检测方法及***
CN111641588A (zh) 网页模拟输入检测方法、装置、计算机设备及存储介质
CN108595953A (zh) 对手机应用进行风险评估的方法
CN107103237A (zh) 一种恶意文件的检测方法及装置
CN109711163A (zh) 基于api调用序列的安卓恶意软件检测方法
CN104901962B (zh) 一种网页攻击数据的检测方法及装置
CN104252595B (zh) 应用程序的分析方法、装置和客户端
CN113158197A (zh) 一种基于主动iast的sql注入漏洞检测方法、***
CN110135162A (zh) Webshell后门识别方法、装置、设备及存储介质
CN111404949A (zh) 一种流量检测方法、装置、设备及存储介质
CN112966264A (zh) Xss攻击检测方法、装置、设备及机器可读存储介质
CN106485148A (zh) 基于js‑bom结合的恶意代码行为分析沙箱的实现方法
CN113132329A (zh) Webshell检测方法、装置、设备及存储介质
KR101847277B1 (ko) 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템
Antunes et al. Evaluating and improving penetration testing in web services

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant