CN107506646A

CN107506646A - 恶意应用的检测方法、装置及计算机可读存储介质

Info

Publication number: CN107506646A
Application number: CN201710915977.XA
Authority: CN
Inventors: 梅俊
Original assignee: Nubia Technology Co Ltd
Current assignee: Nubia Technology Co Ltd
Priority date: 2017-09-28
Filing date: 2017-09-28
Publication date: 2017-12-22
Anticipated expiration: 2037-09-28
Also published as: CN107506646B

Abstract

本发明提供一种恶意应用的检测方法、装置及计算机存储介质，所述恶意应用的检测方法通过获取已知恶意应用中的申请权限信息，根据预设规则获取所述申请权限信息之间的权限关联性，并根据所述权限关联性建立权限特征库；在接收到应用检测指令时，获取目标应用的权限请求信息；根据所述权限特征库和权限请求信息，判断所述目标应用是否为恶意应用。本发明建立恶意应用程序的频繁权限集。并通过该频繁权限集对应用程序进行检测，由此可以更准确的识别恶意程序，降低现有技术对正常软件的误报率，提高了恶意软件的检出率，解决了传统恶意应用程序的检测方法精准度低下的技术问题。

Description

恶意应用的检测方法、装置及计算机可读存储介质

技术领域

本发明涉及移动互联网技术领域，尤其涉及一种恶意应用的检测方法、装置及计算机可读存储介质。

背景技术

Android***是一个完全开放的操作***，因此容易成为众多恶意应用程序开发者的活跃地盘。恶意应用程序开发者将国内外热门应用增加恶意代码后，发布到各大论坛和应用商店中。由于智能手机中通常存在大量的用户隐私信息，Android***中的恶意应用程序通常会在未明确提示用户或未经用户许可的情况下，获取用户手机上的隐私信息，侵犯用户合法权益。例如，恶意应用程序的主要恶意行为包括：恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、***破坏、诱骗欺诈、流氓行为等，由此给用户带来了经济损失或精神骚扰。针对恶意应用程序的检测方法主要为：根据预先统计的恶意应用程序对应的某项单一权限，判断目标应用程序中是否具有该权限，从而确定目标应用程序是否为恶意应用程序。由于单一权限无法充分反应恶意应用程序的行为信息，因此仅凭某项单一权限，进行恶意应用程序的检测，容易产生误判，导致检测精确率低下。

发明内容

本发明的主要目的在于提出一种恶意应用的检测方法、装置及计算机可读存储介质，旨在解决传统恶意应用程序的检测方法精准度低下的技术问题。

为实现上述目的，本发明提供一种恶意应用的检测方法，所述恶意应用的检测方法包括以下步骤：

获取已知恶意应用中的申请权限信息，根据预设规则在所述申请权限信息中确定频繁权限集；

在接收到应用检测指令时，获取目标应用的权限请求信息；

根据所述频繁权限集和权限请求信息，判断所述目标应用是否为恶意应用。

可选地，所述获取已知恶意应用中的申请权限信息，根据预设规则在所述申请权限信息中确定频繁权限集的步骤之前，还包括：

获取已知恶意应用，建立恶意应用集合；

根据所述恶意应用的恶意行为类别，将所述恶意应用集合中的已知恶意应用进行分类，获得分类恶意应用。

可选地，所述获取已知恶意应用中的申请权限信息，根据预设规则在所述申请权限信息中确定频繁权限集的步骤包括：

获取所述分类恶意应用中的申请权限信息，生成分类申请权限信息；

根据所述预设规则，确定所述分类申请权限信息对应的分类频繁权限集。

可选地，所述根据所述权限特征库和权限请求信息，判断所述目标应用是否为恶意应用的步骤之后，还包括：

若所述目标应用为恶意应用，则根据所述目标应用所属的分类频繁权限集，确定所述目标应用的恶意行为类别。

可选地，所述获取已知恶意应用中的申请权限信息的步骤包括：

根据预设静态分析规则，解析所述已知恶意应用，并提取所述已知恶意应用对应的入口文件；

解析所述入口文件，并提取所述入口文件中的申请权限信息。

可选地，所述根据预设规则在所述申请权限信息中确定频繁权限集的步骤包括：

根据各个申请权限在所述已知恶意应用中的出现频率，在所述申请权限信息中确定频繁权限集，其中，所述频繁权限集中的频繁权限的出现频率大于预设频率。

可选地，所述根据所述频繁权限集和权限请求信息，判断所述目标应用是否为恶意应用的步骤包括：

判断所述权限请求信息是否与所述频繁权限集相匹配；

若所述权限请求信息与所述频繁权限集相匹配，则判定所述目标应用为恶意应用。

可选地，所述判断所述权限请求信息是否与所述频繁权限集相匹配的步骤之后，还包括：

若所述权限请求信息与所述频繁权限集不匹配，则获取所述目标应用对应的下载量；

在所述下载量超过预设阈值时，则判定所述目标应用为非恶意应用。

此外，为实现上述目的，本发明还提供一种恶意应用的检测装置，其特征在于，所述恶意应用的检测装置包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的恶意应用的检测程序，其中所述恶意应用的检测程序被所述处理器执行时，实现如上所述的恶意应用的检测方法的步骤。

此外，为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有恶意应用的检测程序，所述恶意应用的检测程序被处理器执行时实现如上所述的恶意应用的检测方法的步骤。

本发明提供一种恶意应用的检测方法、装置及计算机存储介质，所述恶意应用的检测方法通过获取已知恶意应用中的申请权限信息，根据预设规则获取所述申请权限信息之间的权限关联性，并根据所述权限关联性建立权限特征库；在接收到应用检测指令时，获取目标应用的权限请求信息；根据所述权限特征库和权限请求信息，判断所述目标应用是否为恶意应用。通过以上方式，本发明对已知恶意应用中的申请权限信息进行分析，挖掘恶意应用程序申请权限信息的频繁特征，从而建立恶意应用程序的频繁权限集。并通过该频繁权限集对应用程序进行检测，由此可以更准确的识别恶意程序，降低现有技术对正常软件的误报率，提高了恶意软件的检出率，解决了传统恶意应用程序的检测方法精准度低下的技术问题。

附图说明

图1为实现本发明各个实施例的一种移动终端的硬件结构示意图；

图2为本发明实施例提供的一种通信网络***架构图

图3为本发明恶意应用的检测方法第一实施例的流程示意图；

图4为本发明恶意应用的检测方法第二实施例的流程示意图；

图5为本发明恶意应用的检测方法第三实施例的流程示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

在后续的描述中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明，其本身没有特定的意义。因此，“模块”、“部件”或“单元”可以混合地使用。

终端可以以各种形式来实施。例如，本发明中描述的终端可以包括诸如手机、平板电脑、笔记本电脑、掌上电脑、个人数字助理(Personal Digital Assistant，PDA)、便捷式媒体播放器(Portable Media Player，PMP)、导航装置、可穿戴设备、智能手环、计步器等移动终端，以及诸如数字TV、台式计算机等固定终端。

后续描述中将以移动终端为例进行说明，本领域技术人员将理解的是，除了特别用于移动目的的元件之外，根据本发明的实施方式的构造也能够应用于固定类型的终端。

请参阅图1，其为实现本发明各个实施例的一种移动终端的硬件结构示意图，该移动终端100可以包括：RF(Radio Frequency，射频)单元101、WiFi模块102、音频输出单元103、A/V(音频/视频)输入单元104、传感器105、显示单元106、用户输入单元107、接口单元108、存储器109、处理器110、以及电源111等部件。本领域技术人员可以理解，图1中示出的移动终端结构并不构成对移动终端的限定，移动终端可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

下面结合图1对移动终端的各个部件进行具体的介绍：

射频单元101可用于收发信息或通话过程中，信号的接收和发送，具体的，将基站的下行信息接收后，给处理器110处理；另外，将上行的数据发送给基站。通常，射频单元101包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。此外，射频单元101还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议，包括但不限于GSM(Global System of Mobile communication，全球移动通讯***)、GPRS(General Packet Radio Service，通用分组无线服务)、CDMA2000(CodeDivision Multiple Access2000，码分多址2000)、WCDMA(Wideband Code DivisionMultiple Access,宽带码分多址)、TD-SCDMA(Time Division-Synchronous CodeDivision Multiple Access，时分同步码分多址)、FDD-LTE(Frequency DivisionDuplexing-Long Term Evolution，频分双工长期演进)和TDD-LTE(Time DivisionDuplexing-Long Term Evolution，分时双工长期演进)等。

WiFi属于短距离无线传输技术，移动终端通过WiFi模块102可以帮助用户收发电子邮件、浏览网页和访问流式媒体等，它为用户提供了无线的宽带互联网访问。虽然图1示出了WiFi模块102，但是可以理解的是，其并不属于移动终端的必须构成，完全可以根据需要在不改变发明的本质的范围内而省略。

音频输出单元103可以在移动终端100处于呼叫信号接收模式、通话模式、记录模式、语音识别模式、广播接收模式等等模式下时，将射频单元101或WiFi模块102接收的或者在存储器109中存储的音频数据转换成音频信号并且输出为声音。而且，音频输出单元103还可以提供与移动终端100执行的特定功能相关的音频输出(例如，呼叫信号接收声音、消息接收声音等等)。音频输出单元103可以包括扬声器、蜂鸣器等等。

A/V输入单元104用于接收音频或视频信号。A/V输入单元104可以包括图形处理器(Graphics Processing Unit，GPU)1041和麦克风1042，图形处理器1041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。处理后的图像帧可以显示在显示单元106上。经图形处理器1041处理后的图像帧可以存储在存储器109(或其它存储介质)中或者经由射频单元101或WiFi模块102进行发送。麦克风1042可以在电话通话模式、记录模式、语音识别模式等等运行模式中经由麦克风1042接收声音(音频数据)，并且能够将这样的声音处理为音频数据。处理后的音频(语音)数据可以在电话通话模式的情况下转换为可经由射频单元101发送到移动通信基站的格式输出。麦克风1042可以实施各种类型的噪声消除(或抑制)算法以消除(或抑制)在接收和发送音频信号的过程中产生的噪声或者干扰。

移动终端100还包括至少一种传感器105，比如光传感器、运动传感器以及其他传感器。具体地，光传感器包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示面板1061的亮度，接近传感器可在移动终端100移动到耳边时，关闭显示面板1061和/或背光。作为运动传感器的一种，加速计传感器可检测各个方向上(一般为三轴)加速度的大小，静止时可检测出重力的大小及方向，可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等；至于手机还可配置的指纹传感器、压力传感器、虹膜传感器、分子传感器、陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器，在此不再赘述。

显示单元106用于显示由用户输入的信息或提供给用户的信息。显示单元106可包括显示面板1061，可以采用液晶显示器(Liquid Crystal Display，LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板1061。

用户输入单元107可用于接收输入的数字或字符信息，以及产生与移动终端的用户设置以及功能控制有关的键信号输入。具体地，用户输入单元107可包括触控面板1071以及其他输入设备1072。触控面板1071，也称为触摸屏，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板1071上或在触控面板1071附近的操作)，并根据预先设定的程式驱动相应的连接装置。触控面板1071可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器110，并能接收处理器110发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板1071。除了触控面板1071，用户输入单元107还可以包括其他输入设备1072。具体地，其他输入设备1072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种，具体此处不做限定。

进一步的，触控面板1071可覆盖显示面板1061，当触控面板1071检测到在其上或附近的触摸操作后，传送给处理器110以确定触摸事件的类型，随后处理器110根据触摸事件的类型在显示面板1061上提供相应的视觉输出。虽然在图1中，触控面板1071与显示面板1061是作为两个独立的部件来实现移动终端的输入和输出功能，但是在某些实施例中，可以将触控面板1071与显示面板1061集成而实现移动终端的输入和输出功能，具体此处不做限定。

接口单元108用作至少一个外部装置与移动终端100连接可以通过的接口。例如，外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(I/O)端口、视频I/O端口、耳机端口等等。接口单元108可以用于接收来自外部装置的输入(例如，数据信息、电力等等)并且将接收到的输入传输到移动终端100内的一个或多个元件或者可以用于在移动终端100和外部装置之间传输数据。

存储器109可用于存储软件程序以及各种数据。存储器109可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作***、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器109可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

处理器110是移动终端的控制中心，利用各种接口和线路连接整个移动终端的各个部分，通过运行或执行存储在存储器109内的软件程序和/或模块，以及调用存储在存储器109内的数据，执行移动终端的各种功能和处理数据，从而对移动终端进行整体监控。处理器110可包括一个或多个处理单元；优选的，处理器110可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作***、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器110中。

移动终端100还可以包括给各个部件供电的电源111(比如电池)，优选的，电源111可以通过电源管理***与处理器110逻辑相连，从而通过电源管理***实现管理充电、放电、以及功耗管理等功能。

尽管图1未示出，移动终端100还可以包括蓝牙模块等，在此不再赘述。

为了便于理解本发明实施例，下面对本发明的移动终端所基于的通信网络***进行描述。

请参阅图2，图2为本发明实施例提供的一种通信网络***架构图，该通信网络***为通用移动通信技术的LTE***，该LTE***包括依次通讯连接的UE(User Equipment，用户设备)201，E-UTRAN(Evolved UMTS Terrestrial Radio Access Network，演进式UMTS陆地无线接入网)202，EPC(Evolved Packet Core，演进式分组核心网)203和运营商的IP业务204。

具体地，UE201可以是上述终端100，此处不再赘述。

E-UTRAN202包括eNodeB2021和其它eNodeB2022等。其中，eNodeB2021可以通过回程(backhaul)(例如X2接口)与其它eNodeB2022连接，eNodeB2021连接到EPC203，eNodeB2021可以提供UE201到EPC203的接入。

EPC203可以包括MME(Mobility Management Entity，移动性管理实体)2031，HSS(Home Subscriber Server，归属用户服务器)2032，其它MME2033，SGW(Serving GateWay，服务网关)2034，PGW(PDN GateWay，分组数据网络网关)2035和PCRF(Policy and ChargingRules Function，政策和资费功能实体)2036等。其中，MME2031是处理UE201和EPC203之间信令的控制节点，提供承载和连接管理。HSS2032用于提供一些寄存器来管理诸如归属位置寄存器(图中未示)之类的功能，并且保存有一些有关服务特征、数据速率等用户专用的信息。所有用户数据都可以通过SGW2034进行发送，PGW2035可以提供UE 201的IP地址分配以及其它功能，PCRF2036是业务数据流和IP承载资源的策略与计费控制策略决策点，它为策略与计费执行功能单元(图中未示)选择及提供可用的策略和计费控制决策。

IP业务204可以包括因特网、内联网、IMS(IP Multimedia Subsystem，IP多媒体子***)或其它IP业务等。

虽然上述以LTE***为例进行了介绍，但本领域技术人员应当知晓，本发明不仅仅适用于LTE***，也可以适用于其他无线通信***，例如GSM、CDMA2000、WCDMA、TD-SCDMA以及未来新的网络***等，此处不做限定。

基于上述移动终端硬件结构以及通信网络***，提出本发明方法各个实施例。

参照图3，图3为本发明恶意应用的检测方法第一实施例的流程示意图。

本实施例中，所述恶意应用的检测方法包括以下步骤：

步骤S10，获取已知恶意应用中的申请权限信息，根据预设规则在所述申请权限信息中确定频繁权限集；

由于Android***是一个完全开放的操作***，即任何开发者均可将自己编写的代码程序上传至Android***。伴随着便捷性的同时，Android***也容易成为众多恶意应用程序开发者的活跃地盘。恶意应用程序开发者将国内外热门应用增加恶意代码后，发布到各大论坛和应用商店中，然后被大量智能终端用户下载和安装。由于智能手机中通常存在大量的用户隐私信息，Android***中的恶意应用程序通常会在未明确提示用户或未经用户许可的情况下，获取用户手机上的隐私信息，侵犯用户合法权益。例如，恶意应用程序的主要恶意行为包括：恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、***破坏、诱骗欺诈、流氓行为等，由此给用户带来了经济损失或精神骚扰。最早针对恶意应用程序的检测方法主要包括两种：动态分析与静态分析两种。其中，动态分析方法主要通过修改Android模拟器内核对安装的应用程序进行实时检测或者使用符号执行的方法使应用程序按照指定的路径运行，从而得到应用程序的恶意行为。静态分析方法主要是通过分析APK(Android应用程序包)中的有关文件，将有关文件进行反汇编处理以获得应用程序的字节码信息，再将其与预定的恶意应用程序文件特征信息进行比对，若符合，则确定为恶意程序。可见，上述现有的恶意程序分析方法均需要对每个应用程序进行复杂的分析操作，因此，相应的分析方法在面对海量的Android应用程序的情况下，其根本无法达到快速高效过滤掉明显没有恶意行为的应用程序的目的，从而减少后期分析可能存在恶意行为应用程序的代价。现有的恶意应用的检测技术主要是根据预先统计的恶意应用程序对应的某项单一权限，判断目标应用程序中是否具有该权限，从而确定目标应用程序是否为恶意应用程序。由于单一权限无法充分反应恶意应用程序的行为信息，因此仅凭某项单一权限，进行恶意应用程序的检测，容易产生误判，导致检测精确率低下。

本实施例中为了解决传统恶意应用程序的检测方法精准度低下的技术问题，对已知恶意应用中的申请权限信息进行分析，挖掘恶意应用程序申请权限信息的频繁特征，从而建立恶意应用程序的频繁权限集。并通过该频繁权限集对应用程序进行检测，由此可以更准确的识别恶意程序。具体地，可以获取本地存储的已知恶意应用数据或者获取与所述恶意应用检测装置通讯连接的外界数据库中的已知恶意应用数据。然后获取所述已知恶意应用中的所有申请权限信息，其中获取所述申请权限信息的步骤包括：通过静态分析方法，对所述已知恶意应用进行自动化分析。首先使用Android SDK中自带的工具Android资产打包工具对所述已知恶意应用进行解压缩，提取出AndroidManifest.xml文件，对AndroidManifest.xml文件进行自动化分析，提取所述已知恶意应用的申请权限信息。根据预设规则，如权限频繁模式挖掘算法，或者根据所述申请权限信息在所述已知恶意应用中出现的频率确定频繁权限集。

进一步地，所述根据预设规则在所述申请权限信息中确定频繁权限集的步骤包括：

具体地，根据所述申请权限信息在所述已知恶意应用中出现的频率，来确定所述申请权限信息中确定频繁权限集，所述频繁权限集中的权限在所述已知恶意应用中出现的次数超过预设频率。所述频繁权限集包括了恶意应用最大的特征申请权限。具体实施例中，还可以根据预设规则，获取所述已知恶意应用对应的权限特征组合，并将所述权限特征组合存储至权限特征库中。所述权限特征库可以作为判断应用程序是否为恶意应用的比对模板。

步骤S20，在接收到应用检测指令时，获取目标应用的权限请求信息；

具体地，所述恶意应用的检测装置在接收到触发的应用检测指令时，获取所述应用检测指令中对应的目标应用。将所述目标应用进行解析，以获取所述目标应用对应的权限请求信息。其中，所述应用检测指令的触发方式可以包括用户通过恶意应用检测装置在桌面的快捷图标，或者恶意应用检测装置对应的快捷键发送应用检测指令。还可以是终端下载了应用时触发生成对应的应用检测指令，以供所述恶意应用装置检测装置判断所述目标应用是否为恶意应用。

进一步地，所述获取已知恶意应用中的申请权限信息的步骤包括：

具体地，通过静态分析方法，对所述目标应用进行自动化分析。首先使用AndroidSDK中自带的工具Android资产打包工具对目标应用进行解压缩，提取出入口文件AndroidManifest.xml文件，对入口文件AndroidManifest.xml文件进行自动化分析，提取所述目标应用的权限请求信息。

步骤S30，根据所述频繁权限集和权限请求信息，判断所述目标应用是否为恶意应用。

具体地，在确定了所述申请权限信息中的频繁权限集和获取到所述目标应用对应的权限请求信息时，根据所述频繁权限集，判断所述目标应用对应的权限请求信息是否包括所述频繁权限集中的权限信息。在所述目标应用对应的权限请求信息包括了所述频繁权限集中的权限信息时，即表示所述目标应用获取的权限为恶意应用具有的特征权限，因此可判定所述目标应用为恶意应用。

本实施例提供一种恶意应用的检测方法、装置及计算机存储介质，所述恶意应用的检测方法通过获取已知恶意应用中的申请权限信息，根据预设规则获取所述申请权限信息之间的权限关联性，并根据所述权限关联性建立权限特征库；在接收到应用检测指令时，获取目标应用的权限请求信息；根据所述权限特征库和权限请求信息，判断所述目标应用是否为恶意应用。通过以上方式，本发明对已知恶意应用中的申请权限信息进行分析，挖掘恶意应用程序申请权限信息的频繁特征，从而建立恶意应用程序的频繁权限集。并通过该频繁权限集对应用程序进行检测，由此可以更准确的识别恶意程序，降低现有技术对正常软件的误报率，提高了恶意软件的检出率，解决了传统恶意应用程序的检测方法精准度低下的技术问题。

参照图4，图4为本发明恶意应用的检测方法第二实施例的流程示意图。

本实施例中，基于上述图3所示实施例，步骤S10具体包括：

步骤S01，获取已知恶意应用，建立恶意应用集合；

具体地，获取本地数据库中存储或者外界存储的已知恶意应用，并将所述已知恶意应用存储到预先建立的恶意应用集合中。

步骤S02，根据所述恶意应用的恶意行为类别，将所述恶意应用集合中的已知恶意应用进行分类，获得分类恶意应用。

因为恶意行为相似的恶意应用程序往往需要相同的权限集合来相互配合完成恶意行为，另外，恶意行为不同的恶意应用程序，其所需的权限集合往往也不尽相同。本实施例中将所述恶意应用进行分类，由此提高检测的准确性与检测效率。具体地，在获取到已知恶意应用程序时，将所述已知恶意应用程序按照对应的恶意行为类别进行分类。如根据盗取密码、获取隐私信息、强行安装软件等恶意行为，将所述恶意应用分为：盗取密码应用、隐私信息获取应用、安装软件应用等，为了便于描述，将所述恶意应用分为A类、B类、C类等。

进一步地，本实施例中，步骤S10具体包括：

步骤S11，获取所述分类恶意应用中的申请权限信息，生成分类申请权限信息；

具体地，分别获取A类、B类、C类等恶意应用对应的申请权限信息，生成对应的分类申请权限信息，如A类对应的A类申请权限，B类对应的B类权限信息，C类对应的C类权限信息等。

步骤S12，根据所述预设规则，确定所述分类申请权限信息对应的分类频繁权限集。

具体地，根据预设规则，如权限频繁模式挖掘算法，或者根据所述申请权限信息在所述A类恶意应用出现的频率，来确定所述A类对应的A类申请权限信息中确定A类频繁权限集，所述A类频繁权限集中的各个权限一定是在所述A类恶意应用中出现的次数超过预设频率。即所述A类频繁权限集包括了A类恶意应用最大的特征申请权限。然后再按照上述方法确定B类恶意应用中的B类频繁权限集，以及C类恶意应用中的C类频繁权限集。具体实施例中，还可以根据预设规则，获取各类恶意应用对应的各类权限特征组合，并将所述各类权限特征组合存储至权限特征库中。所述权限特征库可以作为判断应用程序是否为恶意应用的比对模板。

进一步地，本实施例中，基于上述图3所示实施例，所述恶意应用的检测方法还包括：

步骤S40，若所述目标应用为恶意应用，则根据所述目标应用所属的分类频繁权限集，确定所述目标应用的恶意行为类别。

具体地，在根据所述分类频繁频繁权限集判定所述目标应用为恶意应用时，则根据所述分类频繁权限集所在的类别，如A类、B类或C类等，确定所述目标应用的恶意行为类别，即A类、B类或C类等。具体实施例中，还可以生成对应的提醒消息至所述用户终端或者服务器，以提醒用户目标应用为某种恶意行为类别的恶意应用，请及时处理等。

本实施例提供一种恶意应用的检测方法、装置及计算机存储介质，本实施例中首先将已知恶意应用根据所述恶意行为类别进行分类，然后分别获取分类恶意应用中的申请权限信息进行分析，挖掘分类恶意应用程序申请权限信息的分类频繁特征，从而建立分类恶意应用程序对应的分类频繁权限集。并通过该分类频繁权限集对目标应用进行检测，不仅可以提高检测效率，以便更准确的识别恶意程序，还可以精确至所述目标应用所属恶意应用类别，降低对正常软件的误报率，解决了传统恶意应用程序的检测方法精准度低下的技术问题，提高了检测速度。

参照图5，图5为本发明恶意应用的检测方法第二实施例的流程示意图。

本实施例中，基于上述图3所述实施例，步骤S30具体包括：

步骤S31，判断所述权限请求信息是否与所述频繁权限集相匹配；

具体地，在获取到所述目标应用程序的权限请求信息后，将所述权限请求信息中的各个目标权限与所述频繁权限集进行比对匹配，判断所述各个目标权限是否与频繁权限集中各个权限相匹配。

步骤S32，若所述权限请求信息与所述频繁权限集相匹配，则判定所述目标应用为恶意应用。

具体地，所述频繁权限集中的各个权限是恶意应用对应的特征权限集，在所述目标应用具有全部特征权限集时，即可判断所述目标应用为恶意应用。

步骤S33，若所述权限请求信息与所述频繁权限集不匹配，则获取所述目标应用对应的下载量；

具体地，在所述目标应用只具有全部特征权限中的部分权限，则进一步获取应用商店中所述目标应用对应的下载量。大部分的恶意应用数量，下载数量有限，不会有如微信、QQ的那么大的下载数量。判断所述目标应用的下载数量是否超过正常应用的下载数量阈值。

步骤S34，在所述下载量超过预设阈值时，则判定所述目标应用为非恶意应用。

具体地，在所述目标应用的下载数量超过所述正常应用对应的下载数量预设阈值时，再加上所述目标应用的权限请求信息与所述频繁权限集不匹配，则判定所述目标应用为非恶意应用。

本实施例提供一种恶意应用的检测方法、装置及计算机存储介质，本实施例中对已知恶意应用中的申请权限信息进行分析，挖掘恶意应用程序申请权限信息的频繁特征，从而建立恶意应用程序的频繁权限集。并通过该频繁权限集对应用程序进行检测，在检测为非恶意应用时，进一步根据第三方数据下载数量，判断所述目标应用是否为恶意应用，由此可以更准确的识别恶意程序，降低现有技术对正常软件的误报率，提高了恶意软件的检出率，解决了传统恶意应用程序的检测方法精准度低下的技术问题。

本发明还提供一种移动终端。

本发明移动终端包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的恶意应用的检测程序，其中所述恶意应用的检测程序被所述处理器执行时实现如上所述恶意应用的检测方法的步骤。

其中，所述恶意应用的检测程序被执行时所实现的方法可参照本发明图片再编辑方法各个实施例，此处不再赘述。

本发明还提供一种计算机可读存储介质。

本发明计算机可读存储介质上存储有恶意应用的检测程序，所述恶意应用的检测程序被处理器执行时实现如上所述的图片再编辑方法的步骤。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护之内。

Claims

1.一种恶意应用的检测方法，其特征在于，所述恶意应用的检测方法包括以下步骤：

在接收到应用检测指令时，获取目标应用的权限请求信息；

2.如权利要求1所述的恶意应用的检测方法，其特征在于，所述获取已知恶意应用中的申请权限信息，根据预设规则在所述申请权限信息中确定频繁权限集的步骤之前，还包括：

获取已知恶意应用，建立恶意应用集合；

3.如权利要求2所述的恶意应用的检测方法，其特征在于，所述获取已知恶意应用中的申请权限信息，根据预设规则在所述申请权限信息中确定频繁权限集的步骤包括：

4.如权利要求3所述的恶意应用的检测方法，其特征在于，所述根据所述权限特征库和权限请求信息，判断所述目标应用是否为恶意应用的步骤之后，还包括：

5.如权利要求1所述的恶意应用的检测方法，其特征在于，所述获取已知恶意应用中的申请权限信息的步骤包括：

6.如权利要求1所述的恶意应用的检测方法，其特征在于，所述根据预设规则在所述申请权限信息中确定频繁权限集的步骤包括：

7.如权利要求1所述的恶意应用的检测方法，其特征在于，所述根据所述频繁权限集和权限请求信息，判断所述目标应用是否为恶意应用的步骤包括：

判断所述权限请求信息是否与所述频繁权限集相匹配；

8.如权利要求7所述的恶意应用的检测方法，其特征在于，所述判断所述权限请求信息是否与所述频繁权限集相匹配的步骤之后，还包括：

9.一种恶意应用的检测装置，其特征在于，所述恶意应用的检测装置包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的恶意应用的检测程序，其中所述恶意应用的检测程序被所述处理器执行时，实现如所述权利要求1至8中任意一项所述的恶意应用的检测方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有恶意应用的检测程序，所述恶意应用的检测程序被处理器执行时实现如权利要求1至8中任意一项所述的恶意应用的检测方法的步骤。