CN108154031B - 伪装应用程序的识别方法、装置、存储介质和电子装置 - Google Patents
伪装应用程序的识别方法、装置、存储介质和电子装置 Download PDFInfo
- Publication number
- CN108154031B CN108154031B CN201810045938.3A CN201810045938A CN108154031B CN 108154031 B CN108154031 B CN 108154031B CN 201810045938 A CN201810045938 A CN 201810045938A CN 108154031 B CN108154031 B CN 108154031B
- Authority
- CN
- China
- Prior art keywords
- picture
- screenshot
- application interface
- template
- target application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Image Analysis (AREA)
Abstract
本发明公开了一种伪装应用程序的识别方法、装置、存储介质和电子装置。其中,该方法包括:获取目标应用界面的模板图片和目标应用界面所在进程的签名验证信息;获取第一应用界面的截图;确定所述截图与所述模板图片之间的相似度;在所述相似度指示所述截图和所述模板图片为相似图片、且所述第一应用界面对应的第一应用程序的签名验证信息与所述目标应用程序的签名验证信息不同的情况下,确定所述第一应用界面与所述目标应用界面不同。本发明解决了木马文件被漏检的技术问题。
Description
技术领域
本发明涉及数据处理领域,具体而言,涉及一种伪装应用程序的识别方法、装置、存储介质和电子装置。
背景技术
现有技术在识别钓鱼木马时,从大量可疑可执行文件中自动化识别出疑似木马文件,由病毒分析师人工分析疑似木马文件,核实出真正的木马样本,并提取若干木马特征,用于标识该款木马,放入特征库。扫描用户机器上的文件,和特征库中的特征匹配,识别出木马文件。
传统安全软件(比如杀毒软件),往往使用样本特征码、API序列等检测钓鱼木马,具有如下缺点:
特征不通用,常漏报:一个特征码往往只能检测出一款木马,当木马出现变种时,无法识别出变种木马,导致钓鱼木马被漏检。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种伪装应用程序的识别方法、装置、存储介质和电子装置,以至少解决木马文件被漏检的技术问题。
根据本发明实施例的一个方面,提供了一种伪装应用程序的识别方法,包括:获取目标应用界面的模板图片和所述目标应用界面对应的目标应用程序的签名验证信息;获取第一应用界面的截图;确定所述截图与所述模板图片之间的相似度;在所述相似度指示所述截图和所述模板图片为相似图片、且所述第一应用界面对应的第一应用程序的签名验证信息与所述目标应用界面所在进程的签名验证信息不同的情况下,确定所述第一应用界面与所述目标应用界面不同。
根据本发明实施例的另一方面,还提供了一种应用界面的识别装置,包括:第一获取单元,用于获取目标应用界面的模板图片和所述目标应用界面对应的目标应用程序的签名验证信息;第二获取单元,用于获取第一应用界面的截图;第一确定单元,用于确定所述截图与所述模板图片之间的相似度;第二确定单元,用于在所述相似度指示所述截图和所述模板图片为相似图片、且所述第一应用界面对应的第一应用程序的签名验证信息与所述目标应用界面所在进程的签名验证信息不同的情况下,确定所述第一应用界面与所述目标应用界面不同。
根据本发明实施例的又一方面,还提供了一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述的方法。
根据本发明实施例的又一方面,还提供了一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序执行上述的方法。
本实施例采用图片识别和签名验证相结合的方式来判断界面是否为木马伪装的界面,从而识别出木马病毒,解决了现有技术根据病毒样本来检测木马时,由于病毒样本的特征不通用导致的漏检的技术效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种硬件环境的示意图;
图2是根据本发明实施例的伪装应用程序的识别方法的流程图;
图3是根据本发明实施例的登录器的界面的示意图;
图4是根据本发明实施例的遍历截图的示意图;
图5是根据本发明实施例的确定相似度的示意图;
图6是根据本发明实施例的应用界面的识别装置的示意图;
图7是根据发明实施例的一种电子装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例的一个方面,提供了一种伪装应用程序的识别方法。在本实施例中,上述伪装应用程序的识别方法可以应用于如图1所示的终端101和服务器102所构成的硬件环境中。如图1所示,终端101通过网络与服务器102进行连接,上述网络包括但不限于:广域网、城域网或局域网,终端101可以是手机终端,也可以是PC终端、笔记本终端或平板电脑终端。
图2是根据本发明实施例的伪装应用程序的识别方法的流程图。如图2所示,该伪装应用程序的识别方法包括如下步骤:
步骤S202,获取目标应用界面的模板图片和目标应用界面对应的目标应用程序的签名验证信息。
步骤S204,获取第一应用界面的截图。
目标应用界面是真是的应用界面,而非木马伪装的应用界面。该应用界面可以是应用的登录器界面,还可以是应用的网页页面等,该应用可以是电脑终端中安装的应用,还可以是手机、笔记本电脑等移动终端中安装的应用。第一应用界面是需要判断是否为木马伪装的应用界面。第一应用界面的截图可以通过对第一应用界面执行截图操作得到,是一个图片。目标应用界面的模板图片可以是目标应用界面中一个区域或者多个区域的图片。
该目标应用程序的签名验证信息可以在该目标应用程序所在进程中获得。在获取签名验证信息时可以在获取目标应用界面的模板图片的同时获取进程中的签名验证信息。
可选地,获取目标应用界面的模板图片包括:截取目标应用界面上至少一个用于表示目标应用界面的特征的区域作为模板图片。
用于表示目标应用界面的特征的区域可以是表示该应用是什么应用,或者该界面显示的内容属于哪个应用,还可以是能够表示该应用界面的常用功能的区域。例如,该目标应用界面是一个即时通讯应用的登录器的界面,那么,该用于表示目标应用界面的特征的区域可以是登录器的界面上即时通讯应用的标识所在的区域,还可以是登录器的界面上“登录”按钮所在的区域。该目标页面还可以是社交网站的页面,那么,该用于表示目标应用界面的特征的区域可以是页面上该社交网站的标识所在的区域,或者是该页面上用于登录后者注册该社交网站的标识所在的区域。
以图3所示的游戏登录器的界面为例进行说明。如图3所示,该游戏名称“CYHX”所在的区域可以作为用于表示目标应用界面的特征的区域,该区域的图片就作为目标应用界面的一个模板图片。该游戏的“登录”按钮所在的区域也可以作为用于表示目标应用界面的特征的区域,该“登录”按钮所在的区域的图片就作为目标应用界面的一个模板图片。同理,该游戏登录器的界面上的图画的一部分也可以表示该游戏应用的特征,比如,图3所示人物的手或者面部等区域,因此该区域可以作为用于表示目标应用界面的特征的区域,该图画的一部分所在区域的图片就作为目标应用界面的一个模板图片。本实施例的模板图片可以是一个或者多个。
步骤S206,确定截图与模板图片之间的相似度。
截图与模板之间的相似度可以确定出该截图与模板图片是否为相似图片。可选地,确定截图与模板图片之间的相似度包括:在截图与模板图片之间的相似度大于或者等于预定阈值时,确定相似度指示截图和模板图片为相似图片。
计算截图与模板图片之间的相似度,通常相似度在0~1之间,相似度的数值越大,表示截图与模板图片的相似度越高,截图与模板图片更有可能为相似图片。通常情况下,当截图与模板图片之间的相似度大于或者等于预定阈值时确定截图和模板图片为相似图片,该预定阈值可以根据历史数据分析得到。例如,通常情况下在预定阈值为0.8时可以确定出截图与模板图片为相似图片,那么,该预定阈值可以取值为0.8。该预定阈值可以根据不同的场景和历史数据进行更新,此处并不作为限定。
在确定截图与模板图片之间的相似度时,如果度量太精细会漏掉恶意代码的变种,导致无法识别出相似的图片;如果度量太粗略会把其他不相似的图片识别为相似的图片;如果识别速度比较慢,则在单位时间内识别的应用界面比较少,可能会错过木马伪装的应用界面,因此,本实施例采用模板匹配和特征点匹配相结合的方式来确定截图与模板图片之间的相似度。
即,确定截图与模板图片的相似度包括:在截图中查找与模板图片相匹配的区域,得到截图中的区域图片;提取区域图片的特征点和模板图片的特征点;获取区域图片和模板图片中相同特征点的个数;将相同特征点的个数与从模板图片中提取的特征点的总数的比值作为截图和模板图片的相似度。
模板图片是目标应用界面的一个区域的图片,截图中与模板图片相匹配的区域是与模板图片对应的一个区域,其形状和大小与模板图片相同。先将匹配的区域锁定在和模板图像一样大的区域图片内,可以减少误报,实现精准匹配同时又减少了匹配空间,提高运行速度。为了提高匹配区域图片的速度,可以先对区域图片进行灰度处理,即将区域图片转换为灰度图,再利用归一化相关系数匹配法来查找与模板图片匹配的区域图片。进行灰度处理后的灰度图进行匹配时,可以消除颜色或者亮度的变化对匹配的影响。例如,截图中的背景颜色为淡蓝色,模板图片的背景颜色为淡绿色,转换为灰度图之后截图的背景颜色和模板图片的背景颜色相同。
具体地,在截图中查找与模板图片相匹配的区域,得到截图中的区域图片包括:在截图中以参考区域为单位遍历截图来查找与模板图片相匹配的区域,并将查找到的区域上的图片作为区域图片,其中,参考区域的大小和形状与模板图片相同,区域图片的大小和形状模板图片相同。
如图4所示,参考区域的形状和大小都与模板图片相同,在查找与模板图片匹配的区域图片时,以参考区域为单位遍历截图。遍历截图时确定每个区域与模板图片的相似度,将相似度最大的参考区域所在的图片作为区域图片。该相似度用来确定区域图片,并不能说明该区域图片与模板图片为相似图片。例如,参考区域所在的图片与模板图片的相似度为50%,是所有参考区域中相似度最大的区域,可以作为区域图片,但是,该相似度并不是用来判断区域图片是否与模板图片为相似图片。
在确定了区域图片之后,采用加速鲁棒特性特征算法(Speeded Up RobustFeatures,简称SURF)从区域图片和模板图片中分别提取特征点,并计算两者匹配的特征点个数。采用加速鲁棒特性特征算法可以先设置用来提取特征点的阈值:两个特征点之间通过欧氏距离作为特征点匹配的相似度准则,可根据实际应用设定阀值挑选出适当的特征点。在这些特征点中,使用随机抽样一致性(RANSAC)算法去除错误匹配的外点,保留正确的内点,即消除噪点。消除噪点即消除不适当的特征点,用消除噪点之后的特征点计算相似度。
假设A、B分别是模版图片与区域图片的特征点的集合。设集合C是两个模版图片与区域图片共有的特征点集合,即C=A∩B,则相似度S=C/A,S取值区间在[0,1],值越大表示越相似。
该相似度的计算过程如图5所示:
A图为第一应用界面的截图,B图为目标应用界面,B图中“登录”按钮所在的区域为模板图片,利用模板匹配从A图中截取“登录”按钮所在区域的区域图片,与B图的模板图片进行相似度的计算。分别从区域图片和模板图片中提取特征点,查找区域图片和模板图片中相同的特征点的个数,用相同的特征点个数与模板图片中特征点的总数的比值作为区域图片与模板图片的相似度,如果相似度大于或者等于阈值,则确定区域图片和模板图片为相似图片。
如果目标应用界面包括多个模板图片,则从截图中确定中与多个模板图片对应的多个区域图片,在每个区域图片与相应的模板图片的相似度都大于或者等于预设阈值时,则确定截图与模板图片为相似图片。
步骤S208,在相似度指示截图和模板图片为相似图片、且第一应用界面对应的第一应用程序的签名验证信息与目标应用程序的签名验证信息不同的情况下,确定第一应用界面与目标应用界面不同。
在确定截图与模板图片为相似图片的情况下,判断第一应用界面所在进程的签名验证信息与目标应用界面所在进程的签名验证信息是否相同,在签名验证信息相同的情况下,可以确定第一应用界面与目标应用界面相同;而在签名验证信息不同的情况下,确定第一应用界面与目标应用界面不相同。
在目标应用界面为登录器界面时,可以验证登录器界面所在进程中该目标应用程序的签名,在目标应用界面为网页时,可以验证网页所在浏览器的证书。目标应用界面所在界面中的签名验证信息就是目标应用的签名验证信息。目标应用界面是应用真实的界面,如果第一应用界面对应的的第一应用程序的签名与目标应用的签名不同,那么,第一应用界面的截图与目标应用界面模板图片相同就说明第一应用界面是木马伪装的界面,可能会通过该木马伪装的界面盗取用户的帐号和密码,因此,通过识别截图和模板图片为相似图片、且第一应用界面所在进程的签名验证信息与目标应用界面所在进程的签名验证信息不同来确定第一应用界面为木马伪装的界面。
本实施例采用图片识别和签名验证相结合的方式来判断界面是否为木马伪装的界面,从而识别出木马病毒,解决了现有技术根据病毒样本来检测木马时,由于病毒样本的特征不通用导致的漏检的技术效果。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
根据本发明实施例的另一个方面,还提供了一种用于实施上述伪装应用程序的识别方法的应用界面的识别装置。图6是根据本发明实施例的应用界面的识别装置的示意图。如图6所示,该装置包括:第一获取单元62、第二获取单元64、第一确定单元66和第二确定单元68。
第一获取单元62用于获取目标应用界面的模板图片和目标应用界面对应的目标应用程序的签名验证信息。
第二获取单元64,用于获取第一应用界面的截图;
目标应用界面是真是的应用界面,而非木马伪装的应用界面。该应用界面可以是应用的登录器界面,还可以是应用的网页页面等,该应用可以是电脑终端中安装的应用,还可以是手机、笔记本电脑等移动终端中安装的应用。第一应用界面是需要判断是否为木马伪装的应用界面。第一应用界面的截图可以通过对第一应用界面执行截图操作得到,是一个图片。目标应用界面的模板图片可以是目标应用界面中一个区域或者多个区域的图片。
可选地,第一获取单元包括:截取模块,用于截取目标应用界面上至少一个用于表示目标应用界面的特征的区域作为模板图片。
用于表示目标应用界面的特征的区域可以是表示该应用是什么应用,或者该界面显示的内容属于哪个应用,还可以是能够表示该应用界面的常用功能的区域。例如,该目标应用界面是一个即时通讯应用的登录器的界面,那么,该用于表示目标应用界面的特征的区域可以是登录器的界面上即时通讯应用的标识所在的区域,还可以是登录器的界面上“登录”按钮所在的区域。该目标页面还可以是社交网站的页面,那么,该用于表示目标应用界面的特征的区域可以是页面上该社交网站的标识所在的区域,或者是该页面上用于登录后者注册该社交网站的标识所在的区域。
以图3所示的游戏登录器的界面为例进行说明。如图3所示,该游戏名称“CYHX”所在的区域可以作为用于表示目标应用界面的特征的区域,该区域的图片就作为目标应用界面的一个模板图片。该游戏的“登录”按钮所在的区域也可以作为用于表示目标应用界面的特征的区域,该“登录”按钮所在的区域的图片就作为目标应用界面的一个模板图片。同理,该游戏登录器的界面上的图画的一部分也可以表示该游戏应用的特征,比如,图3所示人物的手或者面部等区域,因此该区域可以作为用于表示目标应用界面的特征的区域,该图画的一部分所在区域的图片就作为目标应用界面的一个模板图片。本实施例的模板图片可以是一个或者多个。
第一确定单元64用于确定截图与模板图片之间的相似度;
截图与模板之间的相似度可以确定出该截图与模板图片是否为相似图片。可选地,第一确定单元还用于在截图与模板图片之间的相似度大于或者等于预定阈值时,确定相似度指示截图和模板图片为相似图片。
计算截图与模板图片之间的相似度,通常相似度在0~1之间,相似度的数值越大,表示截图与模板图片的相似度越高,截图与模板图片更有可能为相似图片。通常情况下,当截图与模板图片之间的相似度大于或者等于预定阈值时确定截图和模板图片为相似图片,该预定阈值可以根据历史数据分析得到。例如,通常情况下在预定阈值为0.8时可以确定出截图与模板图片为相似图片,那么,该预定阈值可以取值为0.8。该预定阈值可以根据不同的场景和历史数据进行更新,此处并不作为限定。
在确定截图与模板图片之间的相似度时,如果度量太精细会漏掉恶意代码的变种,导致无法识别出相似的图片;如果度量太粗略会把其他不相似的图片识别为相似的图片;如果识别速度比较慢,则在单位时间内识别的应用界面比较少,可能会错过木马伪装的应用界面,因此,本实施例采用模板匹配和特征点匹配相结合的方式来确定截图与模板图片之间的相似度。
可选地,第一确定单元包括:查找模块,用于在截图中查找与模板图片相匹配的区域,得到截图中的区域图片;提取模块,用于提取区域图片的特征点和模板图片的特征点;获取模块,用于获取区域图片和模板图片中相同特征点的个数;比值模块,用于将相同特征点的个数与从模板图片中提取的特征点的总数的比值作为截图和模板图片的相似度。
模板图片是目标应用界面的一个区域的图片,截图中与模板图片相匹配的区域是与模板图片对应的一个区域,其形状和大小与模板图片相同。先将匹配的区域锁定在和模板图像一样大的区域图片内,可以减少误报,实现精准匹配同时又减少了匹配空间,提高运行速度。为了提高匹配区域图片的速度,可以先对区域图片进行灰度处理,即将区域图片转换为灰度图,再利用归一化相关系数匹配法来查找与模板图片匹配的区域图片。进行灰度处理后的灰度图进行匹配时,可以消除颜色或者亮度的变化对匹配的影响。例如,截图中的背景颜色为淡蓝色,模板图片的背景颜色为淡绿色,转换为灰度图之后截图的背景颜色和模板图片的背景颜色相同。
具体地,查找模块包括:查找子模块,用于在截图中以参考区域为单位遍历截图来查找与模板图片相匹配的区域,并将查找到的区域上的图片作为区域图片,其中,参考区域的大小和形状与模板图片相同,区域图片的大小和形状模板图片相同。
如图4所示,参考区域的形状和大小都与模板图片相同,在查找与模板图片匹配的区域图片时,以参考区域为单位遍历截图。遍历截图时确定每个区域与模板图片的相似度,将相似度最大的参考区域所在的图片作为区域图片。该相似度用来确定区域图片,并不能说明该区域图片与模板图片为相似图片。例如,参考区域所在的图片与模板图片的相似度为50%,是所有参考区域中相似度最大的区域,可以作为区域图片,但是,该相似度并不是用来判断区域图片是否与模板图片为相似图片。
在确定了区域图片之后,采用加速鲁棒特性特征算法(Speeded Up RobustFeatures,简称SURF)从区域图片和模板图片中分别提取特征点,并计算两者匹配的特征点个数。采用加速鲁棒特性特征算法可以先设置用来提取特征点的阈值:两个特征点之间通过欧氏距离作为特征点匹配的相似度准则,可根据实际应用设定阀值挑选出适当的特征点。在这些特征点中,使用随机抽样一致性(RANSAC)算法去除错误匹配的外点,保留正确的内点,即消除噪点。消除噪点即消除不适当的特征点,用消除噪点之后的特征点计算相似度。
假设A、B分别是模版图片与区域图片的特征点的集合。设集合C是两个模版图片与区域图片共有的特征点集合,即C=A∩B,则相似度S=C/A,S取值区间在[0,1],值越大表示越相似。
第二确定单元66用于在相似度指示截图和模板图片为相似图片、且第一应用界面对应的第一应用程序的签名验证信息与目标应用程序的签名验证信息不同的情况下,确定第一应用界面与目标应用界面不同。
在目标应用界面包括多个模板图片的情况下,第一确定单元包括:确定模块,用于分别确定截图与多个模板图片中的每个模板图片之间的相似度,得到多个相似度;该装置还包括:判断单元,用于在确定截图与模板图片之间的相似度之后,在多个相似度指示截图与多个模板图片都相似的情况下,判断第一应用界面所在进程的签名验证信息与目标应用界面所在进程的签名验证信息是否相同。在签名验证信息不同的情况下,确定第一应用界面与目标应用界面不相同。
在目标应用界面为登录器界面时,可以验证登录器界面所在进程中该目标应用程序的签名,在目标应用界面为网页时,可以验证网页所在浏览器的证书。目标应用界面所在界面中的签名验证信息就是目标应用的签名验证信息。目标应用界面是应用真实的界面,如果第一应用界面对应的的第一应用程序的签名与目标应用的签名不同,那么,第一应用界面的截图与目标应用界面模板图片相同就说明第一应用界面是木马伪装的界面,可能会通过该木马伪装的界面盗取用户的帐号和密码,因此,通过识别截图和模板图片为相似图片、且第一应用界面所在进程的签名验证信息与目标应用界面所在进程的签名验证信息不同来确定第一应用界面为木马伪装的界面。
本实施例采用图片识别和签名验证相结合的方式来判断界面是否为木马伪装的界面,从而识别出木马病毒,解决了现有技术根据病毒样本来检测木马时,由于病毒样本的特征不通用导致的漏检的技术效果。
根据本发明实施例的又一个方面,还提供了一种用于实施上述伪装应用程序的识别方法的电子装置。图7是根据发明实施例的一种电子装置的结构框图。如图7所示,该电子装置包括,一个或者多个(图中仅示出一个)处理器71,至少一个通信总线72,用户接口73,至少一个传输装置74,存储器75。其中,通信总线72用于实现这些组件之间的连接通信,用户接口73可以包括显示器76和键盘77。传输装置74可以包括标准的有线接口和无线接口。
可选地,在本实施例中,上述电子装置可以位于计算机网络的多个网络设备中的至少一个网络设备。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,获取目标应用界面的模板图片和目标应用界面对应的目标应用程序的签名验证信息。
S2,获取第一应用界面的截图。
S3,确定所述截图与所述模板图片之间的相似度;
S4,在所述相似度指示所述截图和所述模板图片为相似图片、且所述第一应用界面对应的第一应用程序的签名验证信息与所述目标应用程序的签名验证信息不同的情况下,确定所述第一应用界面与所述目标应用界面不同。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
截取所述目标应用界面上至少一个用于表示所述目标应用界面的特征的区域作为所述模板图片。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
在所述截图与所述模板图片之间的相似度大于或者等于预定阈值时,确定所述相似度指示所述截图和所述模板图片为相似图片。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
在所述截图中查找与所述模板图片相匹配的区域,得到所述截图中的区域图片;提取所述区域图片的特征点和所述模板图片的特征点;获取所述区域图片和所述模板图片中相同特征点的个数;将所述相同特征点的个数与从所述模板图片中提取的特征点的总数的比值作为所述截图和所述模板图片的相似度。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
在所述截图中以参考区域为单位遍历所述截图来查找与所述模板图片相匹配的区域,并将查找到的区域上的图片作为所述区域图片,其中,所述参考区域的大小和形状与所述模板图片相同,所述区域图片的大小和形状所述模板图片相同。
可选地,本领域普通技术人员可以理解,图7所示的结构仅为示意,电子装置也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile Internet Devices,MID)、PAD等终端设备。图7其并不对上述电子装置的结构造成限定。例如,电子装置还可包括比图7中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图7所示不同的配置。
其中,存储器75用于存储软件程序以及模块,如本发明实施例中的伪装应用程序的识别方法和装置对应的程序指令/模块,处理器71运行存储在存储器75的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的伪装应用程序的识别方法。存储器75包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器75进一步包括相对于处理器71远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
上述的传输装置74经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置74包括一个网络适配器(NetworkInterface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置74为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,获取目标应用界面的模板图片和目标应用界面对应的目标应用程序的签名验证信息;
S2,获取第一应用界面的截图。
S3,确定所述截图与所述模板图片之间的相似度;
S4,在所述相似度指示所述截图和所述模板图片为相似图片、且所述第一应用界面对应的第一应用程序的签名验证信息与所述目标应用程序的签名验证信息不同的情况下,确定所述第一应用界面与所述目标应用界面不同。
可选地,存储介质还被设置为存储用于执行上述实施例中的方法中所包括的步骤的计算机程序,本实施例中对此不再赘述。
可选地,在本实施例中,本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(Random Access Memory,RAM)、磁盘或光盘等。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种伪装应用程序的识别方法,其特征在于,包括:
获取目标应用界面的模板图片和所述目标应用界面对应的目标应用程序的签名验证信息;
将获取到的第一应用界面的截图进行灰度处理得到灰度截图;
在所述灰度截图中以参考区域为单位遍历所述灰度截图来查找与所述模板图片相匹配的区域,并将查找到的区域上的图片作为区域图片,其中,所述参考区域的大小和形状与所述模板图片相同,所述区域图片的大小和形状所述模板图片相同;
提取所述区域图片的特征点和所述模板图片的特征点;
获取所述区域图片和所述模板图片中相同特征点的个数;
将所述相同特征点的个数与从所述模板图片中提取的特征点的总数的比值作为所述灰度截图和所述模板图片的相似度;
在所述相似度大于或者等于预定阈值时,确定所述相似度指示所述灰度截图和所述模板图片为相似图片;
在所述相似度指示所述灰度截图和所述模板图片为相似图片、且所述第一应用界面对应的第一应用程序的签名验证信息与所述目标应用程序的签名验证信息不同的情况下,确定所述第一应用界面与所述目标应用界面不同。
2.根据权利要求1所述的方法,其特征在于,获取目标应用界面的模板图片包括:
截取所述目标应用界面上至少一个用于表示所述目标应用界面的特征的区域作为所述模板图片。
3.根据权利要求2所述的方法,其特征在于,
在所述目标应用界面包括多个所述模板图片的情况下,确定所述灰度截图与所述模板图片之间的相似度包括:分别确定所述灰度截图与多个所述模板图片中的每个所述模板图片之间的相似度,得到多个相似度;
在确定所述灰度截图与所述模板图片之间的相似度之后,所述方法还包括:在所述多个相似度指示所述灰度截图与多个所述模板图片都相似的情况下,判断所述第一应用程序的签名验证信息与所述目标应用程序的签名验证信息是否相同。
4.一种应用界面的识别装置,其特征在于,包括:
第一获取单元,用于获取目标应用界面的模板图片和所述目标应用界面对应的目标应用程序的签名验证信息;
第二获取单元,用于将获取到的第一应用界面的截图进行灰度处理得到灰度截图;
第一确定单元,用于确定所述灰度截图与所述模板图片之间的相似度;
其中,所述第一确定单元包括:
查找子模块,用于在所述灰度截图中以参考区域为单位遍历所述灰度截图来查找与所述模板图片相匹配的区域,并将查找到的区域上的图片作为区域图片,其中,所述参考区域的大小和形状与所述模板图片相同,所述区域图片的大小和形状所述模板图片相同;
提取模块,用于提取所述区域图片的特征点和所述模板图片的特征点;
获取模块,用于获取所述区域图片和所述模板图片中相同特征点的个数;
比值模块,用于将所述相同特征点的个数与从所述模板图片中提取的特征点的总数的比值作为所述灰度截图和所述模板图片的相似度;在所述灰度截图与所述模板图片之间的相似度大于或者等于预定阈值时,确定所述相似度指示所述灰度截图和所述模板图片为相似图片;
第二确定单元,用于在所述相似度指示所述灰度截图和所述模板图片为相似图片、且所述第一应用界面对应的第一应用程序的签名验证信息与所述目标应用界面所在进程的签名验证信息不同的情况下,确定所述第一应用界面与所述目标应用界面不同。
5.根据权利要求4所述的装置,其特征在于,所述第一获取单元包括:
截取模块,用于截取所述目标应用界面上至少一个用于表示所述目标应用界面的特征的区域作为所述模板图片。
6.根据权利要求5所述的装置,其特征在于,
在所述目标应用界面包括多个所述模板图片的情况下,所述第一确定单元包括:确定模块,用于分别确定所述灰度截图与多个所述模板图片中的每个所述模板图片之间的相似度,得到多个相似度;
所述装置还包括:判断单元,用于在确定所述灰度截图与所述模板图片之间的相似度之后,在所述多个相似度指示所述灰度截图与多个所述模板图片都相似的情况下,判断所述第一应用程序的签名验证信息与所述目标应用程序的签名验证信息是否相同。
7.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至3任一项中所述的方法。
8.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序执行所述权利要求1至3任一项中所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810045938.3A CN108154031B (zh) | 2018-01-17 | 2018-01-17 | 伪装应用程序的识别方法、装置、存储介质和电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810045938.3A CN108154031B (zh) | 2018-01-17 | 2018-01-17 | 伪装应用程序的识别方法、装置、存储介质和电子装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108154031A CN108154031A (zh) | 2018-06-12 |
| CN108154031B true CN108154031B (zh) | 2021-08-06 |
Family
ID=62461775
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810045938.3A Active CN108154031B (zh) | 2018-01-17 | 2018-01-17 | 伪装应用程序的识别方法、装置、存储介质和电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108154031B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108984399A (zh) * | 2018-06-29 | 2018-12-11 | 上海连尚网络科技有限公司 | 检测界面差异的方法、电子设备和计算机可读介质 |
| CN109067566B (zh) * | 2018-07-09 | 2021-08-17 | 奇安信科技集团股份有限公司 | 一种在静默模式下截图的方法、终端和监管设备 |
| CN111400132B (zh) * | 2020-03-09 | 2023-08-18 | 北京版信通技术有限公司 | 上架app的自动监测方法及*** |
| CN112016606A (zh) * | 2020-08-20 | 2020-12-01 | 恒安嘉新(北京)科技股份公司 | 一种应用程序app的检测方法、装置、设备及存储介质 |
| CN112348104B (zh) * | 2020-11-17 | 2023-08-18 | 百度在线网络技术(北京)有限公司 | 仿冒程序的识别方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103179095A (zh) * | 2011-12-22 | 2013-06-26 | 阿里巴巴集团控股有限公司 | 一种检测钓鱼网站的方法及客户端装置 |
| CN104462152A (zh) * | 2013-09-23 | 2015-03-25 | 深圳市腾讯计算机***有限公司 | 一种网页的识别方法及装置 |
| CN106560840A (zh) * | 2015-09-30 | 2017-04-12 | 腾讯科技(深圳)有限公司 | 一种图像信息识别处理方法及装置 |
| CN106815522A (zh) * | 2015-11-27 | 2017-06-09 | 中兴通讯股份有限公司 | 移动终端软件假界面识别方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8099679B2 (en) * | 2008-02-14 | 2012-01-17 | Palo Alto Research Center Incorporated | Method and system for traversing digital records with multiple dimensional attributes |
| CN103942543B (zh) * | 2014-04-29 | 2018-11-06 | Tcl集团股份有限公司 | 一种图像识别方法及装置 |
-
2018
- 2018-01-17 CN CN201810045938.3A patent/CN108154031B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103179095A (zh) * | 2011-12-22 | 2013-06-26 | 阿里巴巴集团控股有限公司 | 一种检测钓鱼网站的方法及客户端装置 |
| CN104462152A (zh) * | 2013-09-23 | 2015-03-25 | 深圳市腾讯计算机***有限公司 | 一种网页的识别方法及装置 |
| CN106560840A (zh) * | 2015-09-30 | 2017-04-12 | 腾讯科技(深圳)有限公司 | 一种图像信息识别处理方法及装置 |
| CN106815522A (zh) * | 2015-11-27 | 2017-06-09 | 中兴通讯股份有限公司 | 移动终端软件假界面识别方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108154031A (zh) | 2018-06-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108154031B (zh) | 伪装应用程序的识别方法、装置、存储介质和电子装置 | |
| US10805346B2 (en) | Phishing attack detection | |
| AU2015380394B2 (en) | Methods and systems for identifying potential enterprise software threats based on visual and non-visual data | |
| CN102222199B (zh) | 应用程序身份识别方法及*** | |
| US11165793B2 (en) | Method and system for detecting credential stealing attacks | |
| CN107332804B (zh) | 网页漏洞的检测方法及装置 | |
| US20200012784A1 (en) | Profile generation device, attack detection device, profile generation method, and profile generation computer program | |
| CN111385270A (zh) | 基于waf的网络攻击检测方法及装置 | |
| JP6674036B2 (ja) | 分類装置、分類方法及び分類プログラム | |
| CN113032792A (zh) | ***业务漏洞检测方法、***、设备及存储介质 | |
| CN105959294B (zh) | 一种恶意域名鉴别方法及装置 | |
| CN114448664B (zh) | 钓鱼网页的识别方法、装置、计算机设备及存储介质 | |
| CN111581661A (zh) | 基于生物特征识别的终端管理方法、装置、计算机设备 | |
| EP3151150B1 (en) | System and method for detection of phishing scripts | |
| CN110472410B (zh) | 识别数据的方法、设备和数据处理方法 | |
| CN107786529B (zh) | 网站的检测方法、装置及*** | |
| CN117609992A (zh) | 一种数据泄密检测方法、装置及存储介质 | |
| CN113079157A (zh) | 获取网络攻击者位置的方法、装置、电子设备 | |
| CN109325348B (zh) | 应用安全的分析方法、装置、计算设备及计算机存储介质 | |
| CN113765850A (zh) | 物联网异常检测方法、装置、计算设备及计算机存储介质 | |
| CN108171053B (zh) | 一种规则发现的方法以及*** | |
| CN107844702B (zh) | 基于云防护环境下网站木马后门检测方法及装置 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN106487771B (zh) | 网络行为的获取方法及装置 | |
| CN112583773B (zh) | 未知样本的检测方法及装置、存储介质、电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |