CN105791250A - 应用程序检测方法及装置 - Google Patents
应用程序检测方法及装置 Download PDFInfo
- Publication number
- CN105791250A CN105791250A CN201410831931.6A CN201410831931A CN105791250A CN 105791250 A CN105791250 A CN 105791250A CN 201410831931 A CN201410831931 A CN 201410831931A CN 105791250 A CN105791250 A CN 105791250A
- Authority
- CN
- China
- Prior art keywords
- application program
- program
- performance
- list
- operation list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种应用程序检测方法及装置,其中,所述方法包括:在属于白名单的应用程序运行时,获取该应用程序的程序特征;根据所述程序特征获取与所述程序特征对应的应用程序的运行列表;根据所述运行列表监控与所述程序特征对应的应用程序的运行。本实施例中的应用程序检测方法能够有效监控白名单中应用程序的运行,进而保证客户端中程序运行的安全,且保证客户端的安全。
Description
技术领域
本发明涉及网络安全技术,具体涉及一种应用程序检测方法及装置。
背景技术
传统的恶意程序防杀主要依赖于特征库模式,特征库是由厂商收集到的恶意程序样本的特征码组成,而特征码则是分析工程师从恶意程序中找到和正当软件的不同之处,截取一段类似于“搜索关键词”的程序代码。当查杀过程中,引擎会读取文件并与特征库中的所有特征码“关键词”进行匹配,如果发现文件程序代码被命中,就可以判定该文件程序为恶意程序。
之后又衍生出了在本地启发式杀毒的方式,是以特定方式实现的动态高度器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。恶意程序和正常程序的区别可以体现在许多方面,比如:通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而恶意程序通常最初的指令则是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处,一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术实际上就是把这种经验和知识移植到一个查杀病毒软件中的具体程序体现。
但是上述查杀恶意软件的方法都是基于恶意行为和/或恶意特征,先对一个程序判定其是否为恶意程序,然后再决定是否进行查杀或清理。这就不可避免导致出现了如下弊端。
第一:恶意程序数量呈几何级增长,基于这种爆发式的增速,特征库的生成与更新往往是滞后的,特征库中恶意程序的特征码的补充跟不上层出不穷的未知恶意程序;
第二:恶意程序制作者对免杀技术的应用,通过对恶意程序加壳或修改该恶意程序的特征码的手法越来越多的出现;以及许多木马程序采用了更多更频繁快速的自动变形,这些都导致通过恶意行为和/或恶意特征对恶意程序进行判定的难度越来越大,导致较多的恶意程序被确定为白名单,由此,该些恶意程序在设备/客户端中造成破坏。
鉴于此,如何保证白名单中所有的程序都能够安全运行成为当前需要解决的技术问题。
发明内容
针对现有技术中的缺陷,本发明提供了一种应用程序检测方法及装置,该应用程序检测方法能够有效保证客户端中属于白名单的应用程序的安全运行,保证客户端的安全。
第一方面,本发明提供一种应用程序检测装置,包括:
程序特征获取单元,用于在属于白名单的应用程序运行时,获取该应用程序的程序特征;
运行列表获取单元,用于根据所述程序特征获取与所述程序特征对应的应用程序的运行列表;
监控单元,用于根据所述运行列表监控与所述程序特征对应的应用程序的运行。
可选的,所述运行列表获取单元,具体用于:
将所述程序特征获取单元获取的应用程序的程序特征发送服务器,以使服务器根据预设规则确定与所述程序特征对应的应用程序的运行列表;
接收所述服务器发送的所述应用程序的运行列表。
可选的,所述运行列表获取单元,具体用于:
将获取的该应用程序的程序特征和所述客户端的***环境信息发送服务器,以使服务器查找与所述***环境信息匹配的预设规则,根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表。
可选的,所述运行列表获取单元,具体用于:
将获取的该应用程序的程序特征和所述客户端的***环境信息发送服务器,以使服务器查找与所述***环境信息匹配的预设规则,根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表和所述客户端的风险等级。
可选的,所述运行列表获取单元,具体用于:
接收所述服务器发送的所述应用程序的运行列表和所述客户端的风险等级;
所述监控单元,具体用于:
采用所述客户端的风险等级对应的检测规则和所述运行列表监控与所述程序特征对应的应用程序的运行。
可选的,所述监控单元,具体用于:
在监控到与所述程序特征对应的应用程序的运行行为属于所述运行列表时,拦截该应用程序的运行行为;
或者,
在监控到与所述程序特征对应的应用程序的运行行为属于所述运行列表时,将该应用程序的运行行为的信息发送所述服务器,以使所述服务器根据统计规则判断是否允许该应用程序继续运行;
接收所述服务器发送的判断结果,根据所述判断结果对所述应用程序进行处理;
其中,所述运行列表包括:拦截该应用程序的至少一个运行行为的信息;
所述统计规则为根据多个客户端中的该应用程序运行行为统计的。
第二方面,本发明还提供了一种应用程序检测方法,包括:
在属于白名单的应用程序运行时,获取该应用程序的程序特征;
根据所述程序特征获取与所述程序特征对应的应用程序的运行列表;
根据所述运行列表监控与所述程序特征对应的应用程序的运行。
可选的,所述根据所述程序特征获取与所述程序特征对应的应用程序的运行列表,包括:
将获取的该应用程序的程序特征发送服务器,以使服务器根据预设规则确定与所述程序特征对应的应用程序的运行列表;
所述根据所述运行列表监控与所述程序特征对应的应用程序的运行之前,所述方法还包括:
接收所述服务器发送的所述应用程序的运行列表。
可选的,所述根据所述程序特征获取与所述程序特征对应的应用程序的运行列表,包括:
将获取的该应用程序的程序特征和所述客户端的***环境信息发送服务器,以使服务器查找与所述***环境信息匹配的预设规则,根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表。
可选的,所述根据所述程序特征获取与所述程序特征对应的应用程序的运行列表,包括:
将获取的该应用程序的程序特征和所述客户端的***环境信息发送服务器,以使服务器查找与所述***环境信息匹配的预设规则,根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表和所述客户端的风险等级。
可选的,所述方法还包括:
所述接收所述服务器发送的所述应用程序的运行列表,包括:
接收所述服务器发送的所述应用程序的运行列表和所述客户端的风险等级;
相应地,所述根据所述运行列表监控与所述程序特征对应的应用程序的运行,包括:
采用所述客户端的风险等级对应的检测规则和所述运行列表监控与所述程序特征对应的应用程序的运行。
可选的,所述根据所述运行列表监控与所述程序特征对应的应用程序的运行,包括:
所述运行列表包括:拦截该应用程序的至少一个运行行为的信息;
监控到与所述程序特征对应的应用程序的运行行为属于所述运行列表时,拦截该应用程序的运行行为;
或者,
监控到与所述程序特征对应的应用程序的运行行为属于所述运行列表时,将该应用程序的运行行为的信息发送所述服务器,以使所述服务器根据统计规则判断是否允许该应用程序继续运行;
接收所述服务器发送的判断结果,根据所述判断结果对所述应用程序进行处理;
所述统计规则为根据多个客户端中的该应用程序运行行为统计的。
由上述技术方案可知,本发明提供的应用程序检测方法及装置,通过对客户端中属于白名单的应用程序进行监控,例如,首先获取白名单的应用程序运行时的程序特征,将该程序特征发送服务器,进而服务器根据预设规则确定该客户端中的与程序特征对应的应用程序是否有需要拦截的运行行为的运行列表,如果有,则向客户端发送该运行列表,以使客户端根据该运行列表监控当前属于白名单的应用程序的运行,进而可保证客户端中程序运行的安全,且保证客户端的安全。
附图说明
图1为本发明一实施例提供的应用程序检测方法的流程示意图;
图2为本发明另一实施例提供的应用程序检测方法的流程示意图;
图3为本发明一实施例提供的应用程序检测装置的结构示意图。
具体实施方式
下面结合附图,对发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
图1示出了本发明一实施例提供的应用程序检测方法的流程示意图,如图1所示,本实施例的应用程序检测方法如下所述。
101、在属于白名单的应用程序运行时,获取该应用程序的程序特征。
通常,客户端中下载的应用程序部分属于白名单的应用程序,部分属于黑名单的应用程序,或者,还有部分属于灰名单的应用程序。在实际应用中,如果客户端中下载预运行的应用程序属于黑名单则直接杀掉,如果客户端下载预运行的应用程序属于灰名单,则对该应用程序进行拦截处理。如果客户端下载预运行的应用程序属于白名单,则可直接放行,即运行属于白名单的应用程序的所有运行操作。然而由于恶意程序的增加速度过快,且有其他原因,可能会出现将属于恶意程序的应用程序划分到白名单,由此,需要对白名单中的应用程序的运行进行进一步的监控。
在本实施例中,客户端中每一应用程序的可通过该应用程序的MD5值来区分。
可理解的是,MD5的作用是让大容量信息在用数字签名软件签署私人密钥前被"压缩"成一种保密的格式(就是把一个任意长度的字节串变换成一定长的十六进制数字串)。MD5的典型应用是对一段信息(Message)产生信息摘要(Message-Digest),以防止被篡改。
MD5可以为任何文件(不管其大小、格式、数量)产生一个同样独一无二的“数字指纹”,如果任何人对文件做了任何改动,其MD5值也就是对应的“数字指纹”都会发生变化。
也就是说,MD5值可为每一程序的程序特征,即应用程序的静态特征,经由MD5(Message-DigestAlgorithm5,信息-摘要算法)运算得出的。程序特征还可为其他唯一标识该程序的特征码,如SHA1码,或CRC码等,本实施例不对其进行限定。
102、根据所述程序特征获取与所述程序特征对应的应用程序的运行列表。
具体的,将获取的该应用程序的程序特征发送服务器,以使服务器根据预设规则确定与所述程序特征对应的应用程序的运行列表。
该服务器可以为云端服务器。
也就是说,云端服务器中可动态统计有各种应用程序的规则,并能够确定该些应用程序的运行行为是否影响客户端的安全,为此,对每一客户端中属于白名单的应用程序可建立有运行列表。该处云端服务器中的预设规则可为:拦截规则、防御规则、数据处理规则等。
举例来说,运行列表可包括:拦截该应用程序的至少一个运行行为的信息。由此,可保证客户端中该应用程序的安全运行。
接收所述云端服务器发送的所述应用程序的运行列表。
103、根据所述运行列表监控与所述程序特征对应的应用程序的运行。
例如,监控到与所述MD5值对应的应用程序的运行行为属于所述运行列表时,拦截该应用程序的运行行为;
或者,在其他实施例中,步骤103还可具体为:监控到与所述MD5值对应的应用程序的运行行为属于所述运行列表时,将该应用程序的运行行为的信息发送所述云端服务器,以使所述云端服务器根据统计规则判断是否允许该应用程序继续运行;
接收所述云端服务器发送的判断结果,根据所述判断结果对所述应用程序进行处理;
所述统计规则为根据多个客户端中的该应用程序运行行为统计的。
本实施例的应用程序检测方法,通过对客户端中属于白名单的应用程序进行监控,例如,首先获取白名单的应用程序运行时的程序特征,将该程序特征发送云端服务器,进而云端服务器根据预设规则确定该客户端中的与程序特征对应的应用程序是否有需要拦截的运行行为的运行列表,如果有,则向客户端发送该运行列表,以使客户端根据该运行列表监控当前属于白名单的应用程序的运行,进而可保证客户端中程序运行的安全,且保证客户端的安全。
图2示出了本发明一实施例提供的应用程序检测方法的流程示意图,如图2所示,本实施例的应用程序检测方法如下所述。
201、确定属于白名单的应用程序。
举例来说,客户端可定期对合法程序进行收集,甄别出所述合法程序的程序特征和/或程序行为;对所述程序特征和/或程序行为进行保存以生成白名单。
具体地,云端服务器的数据库中建立有合法程序的白名单,客户端对一程序的程序特征和/或程序行为在进行收集并发送到云端服务器进行查询,云端服务器可根据所述程序特征和/或程序行为在所述白名单中进行分析比对,根据比对结果对所述程序进行判定并反馈给所述客户端。例如,如果比对一致,则,确定该程序可为属于白名单的应用程序。
即,客户端根据判定结果对恶意程序行为进行拦截,终止执行恶意程序。
可理解的是,云端服务器的数据库中的白名单可为技术人员周期性通过手工、利用蜘蛛或网络爬虫和/或用户上传对合法程序进行收集获取的。即通过手工或通过工具自动甄别所述合法程序的程序特征和/或程序行为并保存在白名单中。
202、在属于白名单的应用程序运行时,获取该应用程序的MD5值。
也就是说,客户端中启动属于白名单的应用程序时,可获取该应用程序的MD5值。
203、将获取的该应用程序的MD5值和所述客户端的***环境信息发送云端服务器,以使云端服务器查找与所述***环境信息匹配的预设规则,根据查找的预设规则确定与所述MD5值对应的应用程序的运行列表。
在其他实施例中,还可将获取的该应用程序的MD5值和所述客户端的***环境信息发送云端服务器,以使云端服务器查找与所述***环境信息匹配的预设规则,根据查找的预设规则确定与所述MD5值对应的应用程序的运行列表和所述客户端的风险等级等信息。
通常,该处客户端的风险等级可为云端服务器根据客户端发送的该程序的MD5值和***环境信息确定的,如果客户端的风险等级小于预设的安全信任值,则可直接判定该MD5值对应的程序属于恶意程序。该客户端可直接拦截该程序所有的运行行为。
204、接收所述云端服务器发送的所述应用程序的运行列表。
举例来说,运行列表可包括:拦截该应用程序的至少一个运行行为的信息。
在其他实施例中,该步骤204可为:接收所述云端服务器发送的所述应用程序的运行列表和所述客户端的风险等级等信息。
205、根据所述运行列表监控与所述MD5值对应的应用程序的运行。
举例来说,应用程序在客户端中的运行可包括:进程创建、线程创建、文件读写操作、注册表读写操作、注册表该写操作、堆栈操作、和/或,线程注入的操作等。
在本实施例中,如果监控到与所述MD5值对应的应用程序的运行行为属于所述运行列表,则拦截该应用程序的运行行为;或者,禁止该应用程序的运行行为。例如,拦截该应用程序的进程创建,或者,拦截该应用程序某一线程的创建等。本实施例不对其进行限定,可根据实际需要设置。
在其他实施例中,还可采用所述客户端的风险等级对应的检测规则和所述运行列表监控与所述MD5值对应的应用程序的运行。
可理解的是,每一客户端中预存有不同风险等级对应的程序检测规则,进而在客户端获知该客户端的风险等级时,采用该风险等级对应的程序检测规则对客户端中的运行的程序进行再次检测/监控。
本实施例的应用程序检测方法,首先确定客户端中属于白名单的应用程序,进而对客户端中属于白名单的应用程序进行监控,例如,首先获取白名单的应用程序运行时的MD5值,将该MD5值发送云端服务器,进而云端服务器根据预设规则确定该客户端中的与MD5值对应的应用程序是否有需要拦截的运行行为的运行列表,如果有,则向客户端发送该运行列表,以使客户端根据该运行列表监控当前属于白名单的应用程序的运行,进而可保证客户端中程序运行的安全,且保证客户端的安全。
图3示出了本发明一实施例提供的应用程序检测装置的结构示意图,如图3所示,本实施例的应用程序检测装置包括:程序特征获取单元31、运行列表获取单元32和监控单元33;
其中,程序特征获取单元31用于在属于白名单的应用程序运行时,获取该应用程序的程序特征;
运行列表获取单元32,用于根据所述程序特征获取与所述程序特征对应的应用程序的运行列表;
监控单元33,用于根据所述运行列表监控与所述程序特征对应的应用程序的运行。
举例来说,该处的运行列表可包括:拦截该应用程序的至少一个运行行为的信息;
相应地,监控单元33可具体用于,监控到与所述程序特征对应的应用程序的运行行为属于所述运行列表时,拦截该应用程序的运行行为;
或者,监控单元33可具体用于,监控到与所述程序特征对应的应用程序的运行行为属于所述运行列表时,将该应用程序的运行行为的信息发送所述云端服务器,以使所述云端服务器根据统计规则判断是否允许该应用程序继续运行;
接收所述云端服务器发送的判断结果,根据所述判断结果对所述应用程序进行处理;
所述统计规则为根据多个客户端中的该应用程序运行行为统计的。
在一种可能的实现方式中,前述的运行列表获取单元32可具体用于,将所述程序特征获取单元获取的应用程序的程序特征发送服务器,以使服务器根据预设规则确定与所述程序特征对应的应用程序的运行列表;
在另一种可能的实现方式中,前述的运行列表获取单元32,具体用于:
将获取的该应用程序的程序特征和所述客户端的***环境信息发送云端服务器,以使云端服务器查找与所述***环境信息匹配的预设规则,根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表。
在另一种可能的实现方式中,前述的运行列表获取单元32还可具体用于,将获取的该应用程序的程序特征和所述客户端的***环境信息发送云端服务器,以使云端服务器查找与所述***环境信息匹配的预设规则,根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表和所述客户端的风险等级;
相应地,前述的运行列表获取单元32,还用于接收所述云端服务器发送的所述应用程序的运行列表和所述客户端的风险等级;
前述的监控单元33可具体用于采用所述客户端的风险等级对应的检测规则和所述运行列表监控与所述程序特征对应的应用程序的运行。
前述监控单元33,具体用于:
在监控到与所述程序特征对应的应用程序的运行行为属于所述运行列表时,拦截该应用程序的运行行为;
或者,
在监控到与所述程序特征对应的应用程序的运行行为属于所述运行列表时,将该应用程序的运行行为的信息发送所述服务器,以使所述服务器根据统计规则判断是否允许该应用程序继续运行;
接收所述服务器发送的判断结果,根据所述判断结果对所述应用程序进行处理;
其中,所述运行列表包括:拦截该应用程序的至少一个运行行为的信息;
所述统计规则为根据多个客户端中的该应用程序运行行为统计的。
此外,本实施例的应用程序检测装置可执行前述的图1至图2所示的方法实施例中的流程,本实施例不在此进行详述。
本实施例的应用程序检测装置,首先通过程序特征获取单元获取白名单的应用程序运行时的程序特征,通过发送单元将该程序特征发送云端服务器,进而云端服务器根据预设规则确定该客户端中的与程序特征对应的应用程序是否有需要拦截的运行行为的运行列表,如果有,则向客户端发送该运行列表,以使监控单元根据接收单元接收的该运行列表监控当前属于白名单的应用程序的运行,进而可保证客户端中程序运行的安全,且保证客户端的运行安全,提升客户体验。
本发明实施例还包括:
A1、一种应用程序检测装置,包括:
程序特征获取单元,用于在属于白名单的应用程序运行时,获取该应用程序的程序特征;
运行列表获取单元,用于根据所述程序特征获取与所述程序特征对应的应用程序的运行列表;
监控单元,用于根据所述运行列表监控与所述程序特征对应的应用程序的运行。
A2、根据A1所述的装置,所述运行列表获取单元,具体用于:
将所述程序特征获取单元获取的应用程序的程序特征发送服务器,以使服务器根据预设规则确定与所述程序特征对应的应用程序的运行列表;
接收所述服务器发送的所述应用程序的运行列表。
A3、根据A1所述的装置,所述运行列表获取单元,具体用于:
将获取的该应用程序的程序特征和所述客户端的***环境信息发送服务器,以使服务器查找与所述***环境信息匹配的预设规则,根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表。
A4、根据A1所述的装置,所述运行列表获取单元,具体用于:
将获取的该应用程序的程序特征和所述客户端的***环境信息发送服务器,以使服务器查找与所述***环境信息匹配的预设规则,根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表和所述客户端的风险等级。
A5、根据A4所述的装置,所述运行列表获取单元,具体用于:
接收所述服务器发送的所述应用程序的运行列表和所述客户端的风险等级;
所述监控单元,具体用于:
采用所述客户端的风险等级对应的检测规则和所述运行列表监控与所述程序特征对应的应用程序的运行。
A6、根据A1所述的装置,所述监控单元,具体用于:
在监控到与所述程序特征对应的应用程序的运行行为属于所述运行列表时,拦截该应用程序的运行行为;
或者,
在监控到与所述程序特征对应的应用程序的运行行为属于所述运行列表时,将该应用程序的运行行为的信息发送所述服务器,以使所述服务器根据统计规则判断是否允许该应用程序继续运行;
接收所述服务器发送的判断结果,根据所述判断结果对所述应用程序进行处理;
其中,所述运行列表包括:拦截该应用程序的至少一个运行行为的信息;
所述统计规则为根据多个客户端中的该应用程序运行行为统计的。
B7、一种应用程序检测方法,包括:
在属于白名单的应用程序运行时,获取该应用程序的程序特征;
根据所述程序特征获取与所述程序特征对应的应用程序的运行列表;
根据所述运行列表监控与所述程序特征对应的应用程序的运行。
B8、根据B7所述的方法,所述根据所述程序特征获取与所述程序特征对应的应用程序的运行列表,包括:
将获取的该应用程序的程序特征发送服务器,以使服务器根据预设规则确定与所述程序特征对应的应用程序的运行列表;
所述根据所述运行列表监控与所述程序特征对应的应用程序的运行之前,所述方法还包括:
接收所述服务器发送的所述应用程序的运行列表。
B9、根据B7所述的方法,所述根据所述程序特征获取与所述程序特征对应的应用程序的运行列表,包括:
将获取的该应用程序的程序特征和所述客户端的***环境信息发送服务器,以使服务器查找与所述***环境信息匹配的预设规则,根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表。
B10、根据B7所述的方法,所述根据所述程序特征获取与所述程序特征对应的应用程序的运行列表,包括:
将获取的该应用程序的程序特征和所述客户端的***环境信息发送服务器,以使服务器查找与所述***环境信息匹配的预设规则,根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表和所述客户端的风险等级。
B11、根据B10所述的方法,所述方法还包括:
所述接收所述服务器发送的所述应用程序的运行列表,包括:
接收所述服务器发送的所述应用程序的运行列表和所述客户端的风险等级;
相应地,所述根据所述运行列表监控与所述程序特征对应的应用程序的运行,包括:
采用所述客户端的风险等级对应的检测规则和所述运行列表监控与所述程序特征对应的应用程序的运行。
B12、根据B7所述的方法,所述根据所述运行列表监控与所述程序特征对应的应用程序的运行,包括:
所述运行列表包括:拦截该应用程序的至少一个运行行为的信息;
监控到与所述程序特征对应的应用程序的运行行为属于所述运行列表时,拦截该应用程序的运行行为;
或者,
监控到与所述程序特征对应的应用程序的运行行为属于所述运行列表时,将该应用程序的运行行为的信息发送所述服务器,以使所述服务器根据统计规则判断是否允许该应用程序继续运行;
接收所述服务器发送的判断结果,根据所述判断结果对所述应用程序进行处理;
所述统计规则为根据多个客户端中的该应用程序运行行为统计的。
本发明以Windows***为例说明,并不限定上述方法用于iOS、Android等操作***中。
本发明的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在于该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是互相排斥之处,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一种浏览器终端的设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (10)
1.一种应用程序检测装置,其特征在于,包括:
程序特征获取单元,用于在属于白名单的应用程序运行时,获取该应用程序的程序特征;
运行列表获取单元,用于根据所述程序特征获取与所述程序特征对应的应用程序的运行列表;
监控单元,用于根据所述运行列表监控与所述程序特征对应的应用程序的运行。
2.根据权利要求1所述的装置,其特征在于,所述运行列表获取单元,具体用于:
将所述程序特征获取单元获取的应用程序的程序特征发送服务器,以使服务器根据预设规则确定与所述程序特征对应的应用程序的运行列表;
接收所述服务器发送的所述应用程序的运行列表。
3.根据权利要求1所述的装置,其特征在于,所述运行列表获取单元,具体用于:
将获取的该应用程序的程序特征和所述客户端的***环境信息发送服务器,以使服务器查找与所述***环境信息匹配的预设规则,根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表。
4.根据权利要求1所述的装置,其特征在于,所述运行列表获取单元,具体用于:
将获取的该应用程序的程序特征和所述客户端的***环境信息发送服务器,以使服务器查找与所述***环境信息匹配的预设规则,根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表和所述客户端的风险等级。
5.根据权利要求4所述的装置,其特征在于,所述运行列表获取单元,具体用于:
接收所述服务器发送的所述应用程序的运行列表和所述客户端的风险等级;
所述监控单元,具体用于:
采用所述客户端的风险等级对应的检测规则和所述运行列表监控与所述程序特征对应的应用程序的运行。
6.一种应用程序检测方法,其特征在于,包括:
在属于白名单的应用程序运行时,获取该应用程序的程序特征;
根据所述程序特征获取与所述程序特征对应的应用程序的运行列表;
根据所述运行列表监控与所述程序特征对应的应用程序的运行。
7.根据权利要求6所述的方法,其特征在于,所述根据所述程序特征获取与所述程序特征对应的应用程序的运行列表,包括:
将获取的该应用程序的程序特征发送服务器,以使服务器根据预设规则确定与所述程序特征对应的应用程序的运行列表;
所述根据所述运行列表监控与所述程序特征对应的应用程序的运行之前,所述方法还包括:
接收所述服务器发送的所述应用程序的运行列表。
8.根据权利要求6所述的方法,其特征在于,所述根据所述程序特征获取与所述程序特征对应的应用程序的运行列表,包括:
将获取的该应用程序的程序特征和所述客户端的***环境信息发送服务器,以使服务器查找与所述***环境信息匹配的预设规则,根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表。
9.根据权利要求6所述的方法,其特征在于,所述根据所述程序特征获取与所述程序特征对应的应用程序的运行列表,包括:
将获取的该应用程序的程序特征和所述客户端的***环境信息发送服务器,以使服务器查找与所述***环境信息匹配的预设规则,根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表和所述客户端的风险等级。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
所述接收所述服务器发送的所述应用程序的运行列表,包括:
接收所述服务器发送的所述应用程序的运行列表和所述客户端的风险等级;
相应地,所述根据所述运行列表监控与所述程序特征对应的应用程序的运行,包括:
采用所述客户端的风险等级对应的检测规则和所述运行列表监控与所述程序特征对应的应用程序的运行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410831931.6A CN105791250B (zh) | 2014-12-26 | 2014-12-26 | 应用程序检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410831931.6A CN105791250B (zh) | 2014-12-26 | 2014-12-26 | 应用程序检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105791250A true CN105791250A (zh) | 2016-07-20 |
| CN105791250B CN105791250B (zh) | 2020-10-02 |
Family
ID=56389650
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410831931.6A Active CN105791250B (zh) | 2014-12-26 | 2014-12-26 | 应用程序检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105791250B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106126310A (zh) * | 2016-08-18 | 2016-11-16 | 北京奇虎科技有限公司 | 对应用程序的安装进行优化的方法、装置及终端 |
| CN107330332A (zh) * | 2017-05-23 | 2017-11-07 | 成都联宇云安科技有限公司 | 一种针对安卓手机app的漏洞检测方法 |
| CN108345525A (zh) * | 2017-01-23 | 2018-07-31 | 新谊整合科技股份有限公司 | 计算机程序管理方法与*** |
| CN108668002A (zh) * | 2017-10-12 | 2018-10-16 | 湖南红手指信息技术有限公司 | 一种云手机的应用下载方法 |
| CN109190366A (zh) * | 2018-09-14 | 2019-01-11 | 郑州云海信息技术有限公司 | 一种程序处理方法以及相关装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090313699A1 (en) * | 2008-06-17 | 2009-12-17 | Jang In Sook | Apparatus and method for preventing anomaly of application program |
| CN103281325A (zh) * | 2013-06-04 | 2013-09-04 | 北京奇虎科技有限公司 | 基于云安全的文件处理方法及装置 |
| CN103839003A (zh) * | 2012-11-22 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| CN104239791A (zh) * | 2013-06-18 | 2014-12-24 | 李卷孺 | Android***的反病毒***、方法及运行有该***的设备 |
-
2014
- 2014-12-26 CN CN201410831931.6A patent/CN105791250B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090313699A1 (en) * | 2008-06-17 | 2009-12-17 | Jang In Sook | Apparatus and method for preventing anomaly of application program |
| CN103839003A (zh) * | 2012-11-22 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| CN103281325A (zh) * | 2013-06-04 | 2013-09-04 | 北京奇虎科技有限公司 | 基于云安全的文件处理方法及装置 |
| CN104239791A (zh) * | 2013-06-18 | 2014-12-24 | 李卷孺 | Android***的反病毒***、方法及运行有该***的设备 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106126310A (zh) * | 2016-08-18 | 2016-11-16 | 北京奇虎科技有限公司 | 对应用程序的安装进行优化的方法、装置及终端 |
| CN106126310B (zh) * | 2016-08-18 | 2019-08-20 | 北京奇虎科技有限公司 | 对应用程序的安装进行优化的方法、装置及终端 |
| CN108345525A (zh) * | 2017-01-23 | 2018-07-31 | 新谊整合科技股份有限公司 | 计算机程序管理方法与*** |
| CN107330332A (zh) * | 2017-05-23 | 2017-11-07 | 成都联宇云安科技有限公司 | 一种针对安卓手机app的漏洞检测方法 |
| CN108668002A (zh) * | 2017-10-12 | 2018-10-16 | 湖南红手指信息技术有限公司 | 一种云手机的应用下载方法 |
| CN108668002B (zh) * | 2017-10-12 | 2020-04-24 | 湖南微算互联信息技术有限公司 | 一种云手机的应用下载方法 |
| CN109190366A (zh) * | 2018-09-14 | 2019-01-11 | 郑州云海信息技术有限公司 | 一种程序处理方法以及相关装置 |
| CN109190366B (zh) * | 2018-09-14 | 2021-11-19 | 郑州云海信息技术有限公司 | 一种程序处理方法以及相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105791250B (zh) | 2020-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10528745B2 (en) | Method and system for identification of security vulnerabilities | |
| EP3506139B1 (en) | Malware detection in event loops | |
| CN109684832B (zh) | 检测恶意文件的***和方法 | |
| JP4936294B2 (ja) | マルウェアに対処する方法及び装置 | |
| Xing et al. | Upgrading your android, elevating my malware: Privilege escalation through mobile os updating | |
| US9294486B1 (en) | Malware detection and analysis | |
| KR101693370B1 (ko) | 퍼지 화이트리스팅 안티-멀웨어 시스템 및 방법 | |
| US7269851B2 (en) | Managing malware protection upon a computer network | |
| RU2487405C1 (ru) | Система и способ для исправления антивирусных записей | |
| CN103390130B (zh) | 基于云安全的恶意程序查杀的方法、装置和服务器 | |
| JP2015511338A (ja) | サービスプロバイダによって提供されたipデータの信頼性を保証するための方法およびシステム | |
| EP2946327A1 (en) | Systems and methods for identifying and reporting application and file vulnerabilities | |
| CN105791250A (zh) | 应用程序检测方法及装置 | |
| WO2017040957A1 (en) | Process launch, monitoring and execution control | |
| CN107330328B (zh) | 防御病毒攻击的方法、装置及服务器 | |
| EP3531329B1 (en) | Anomaly-based-malicious-behavior detection | |
| CN103279707A (zh) | 一种用于主动防御恶意程序的方法、设备及*** | |
| CN103475671A (zh) | 恶意程序检测方法 | |
| CN110869931A (zh) | 电子***漏洞评估 | |
| JP5613000B2 (ja) | アプリケーション特性解析装置およびプログラム | |
| JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
| CN106407815A (zh) | 漏洞检测方法及装置 | |
| JP2017129893A (ja) | マルウェア検知方法及びシステム | |
| CN103501294A (zh) | 判断程序是否恶意的方法 | |
| JP2013232146A (ja) | アプリケーション解析装置、アプリケーション解析システム、およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220819 Address after: No. 9-3-401, No. 39, Gaoxin 6th Road, Binhai Science and Technology Park, High-tech Zone, Binhai New District, Tianjin 300000 Patentee after: 3600 Technology Group Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |