CN109117635A - 应用程序的病毒检测方法、装置、计算机设备及存储介质 - Google Patents
应用程序的病毒检测方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN109117635A CN109117635A CN201811042877.1A CN201811042877A CN109117635A CN 109117635 A CN109117635 A CN 109117635A CN 201811042877 A CN201811042877 A CN 201811042877A CN 109117635 A CN109117635 A CN 109117635A
- Authority
- CN
- China
- Prior art keywords
- function
- execution information
- image
- destination application
- function execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/40—Extraction of image or video features
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Multimedia (AREA)
- Stored Programmes (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种应用程序的病毒检测方法、装置、计算机设备及存储介质,属于电子技术领域。所述方法包括:根据对目标应用程序的病毒检测指令,获取所述目标应用程序的至少一个功能执行信息,所述至少一个功能执行信息用于记录所述目标应用程序在运行过程中所执行的功能;根据所述目标应用程序的至少一个功能执行信息,生成所述目标应用程序的功能执行图像;提取所述功能执行图像的图像特征;当所述图像特征和病毒图像特征的相似度大于相似度阈值时,将所述目标应用程序标记为病毒。采用本发明,可以提高病毒检测的准确性。
Description
技术领域
本发明涉及电子技术领域,特别涉及一种应用程序的病毒检测方法、装置、计算机设备及存储介质。
背景技术
随着终端的广泛应用,终端的安全性也越来越受到关注。应用程序的病毒会给用户带来利益损失和困扰,例如,病毒在后台自动发送短信,来订制扣费服务,在用户不知情的情况下带来经济损失;病毒还会恶意推送垃圾广告,给用户造成困扰。
病毒的检测对终端的安全性和便捷性具有重要意义。首先,可以对已知的病毒的源码进行分析,确定该病毒的特征码,该特征码可以是源码中一个连续的二进制片段。然后,在检测任意应用程序是否为病毒时,可以获取该应用程序的源码,判断该应用程序的源码中是否包含有上述病毒的特征码,如果包含,则该应用程序即为病毒。
但是,为了躲避检测,病毒的源码可能会被修改,得到变形的病毒。由于当前的病毒源码已经改变,与原病毒的源码不再相同,在对当前的病毒源码进行检测时可能会得到跟实际情况不一致的检测结果,也即不会将该病毒检测出来,命中率较低,病毒检测的准确性较差。
发明内容
本发明实施例提供了一种应用程序的病毒检测方法、装置、计算机设备及存储介质,能够解决应用程序的病毒检测的准确性较差的问题。所述技术方案如下:
一方面,提供了一种应用程序的病毒检测方法,该方法包括:
根据对目标应用程序的病毒检测指令,获取所述目标应用程序的至少一个功能执行信息,所述至少一个功能执行信息用于记录所述目标应用程序在运行过程中所执行的功能;
根据所述目标应用程序的至少一个功能执行信息,生成所述目标应用程序的功能执行图像;
提取所述功能执行图像的图像特征;
当所述图像特征和病毒图像特征的相似度大于相似度阈值时,将所述目标应用程序标记为病毒
一方面,提供了一种应用程序的病毒检测方法,该方法包括:
根据对目标应用程序的病毒检测指令,调用模拟器,将所述目标应用程序加载至所述模拟器运行,其中,所述模拟器用于模拟一个隔离的运行环境;
获取所述目标应用程序在运行过程中的功能执行信息,得到至少一个功能执行信息,所述至少一个功能执行信息用于记录所述目标应用程序在所述模拟器中运行时所执行的功能;
向服务器发送病毒检测请求,所述病毒检测请求携带所述至少一个功能执行信息,所述病毒检测请求用于指示所述服务器对所述目标应用程序进行检测;
根据接收到的病毒检测结果,进行病毒提示,所述病毒检测结果基于所述至少一个功能执行信息得到。
一方面,提供了一种应用程序的病毒检测装置,该装置包括:
获取模块,用于根据对目标应用程序的病毒检测指令,获取所述目标应用程序的至少一个功能执行信息,所述至少一个功能执行信息用于记录所述目标应用程序在运行过程中所执行的功能;
生成模块,用于根据所述目标应用程序的至少一个功能执行信息,生成所述目标应用程序的功能执行图像;
提取模块,用于提取所述功能执行图像的图像特征;
确定模块,用于当所述图像特征和病毒图像特征的相似度大于相似度阈值时,将所述目标应用程序标记为病毒。
一方面,提供了一种应用程序的病毒检测装置,该装置包括:
调用模块,用于根据对目标应用程序的病毒检测指令,调用模拟器,将所述目标应用程序加载至所述模拟器运行,其中,所述模拟器用于模拟一个隔离的运行环境;
获取模块,用于获取所述目标应用程序在运行过程中的功能执行信息,得到至少一个功能执行信息,所述至少一个功能执行信息用于记录所述目标应用程序在所述模拟器中运行时所执行的功能;
发送模块,用于向服务器发送病毒检测请求,所述病毒检测请求携带所述至少一个功能执行信息,所述病毒检测请求用于指示所述服务器对所述目标应用程序进行检测;
提示模块,用于根据接收到的病毒检测结果,进行病毒提示,所述病毒检测结果基于所述至少一个功能执行信息得到。
一方面,提供了一种服务器,所述服务器包括处理器和存储器,所述存储器中存储有至少一条指令,所述至少一条指令所述处理器加载并执行以实现上述任一应用程序的病毒检测方法。
一方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行以实现上述任一应用程序的病毒检测方法。
本发明实施例提供的技术方案带来的有益效果是:
本发明实施例中,由于应用程序的病毒具有某些特定的功能执行的行为,即使病毒的源码发生改变,病毒执行的功能一般也不会发生改变,因此,服务器基于应用程序的功能执行信息进行病毒检测,对于变形的病毒也可以检测出来,具有较强的泛化能力。并且,基于图像提取的特征可靠性较高,本发明实施例利用应用程序的功能执行信息生成功能执行图像,将待检测的应用程序对应的图像特征与病毒图像特征进行对比,可以提高病毒检测的准确性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种实施环境示意图;
图2是本发明实施例提供的另一种实施环境示意图;
图3是本发明实施例提供的又一种实施环境示意图;
图4是本发明实施例提供的一种应用程序的病毒检测方法流程图;
图5是本发明实施例提供的一种功能执行图像示意图;
图6是本发明实施例提供的一种确定相似度的示意图;
图7是本发明实施例提供的一种病毒检测***示意图;
图8是本发明实施例提供的一种检测流程控制子模块处理流程示意图;
图9是本发明实施例提供的一种行为指纹提取子模块处理流程示意图;
图10是本发明实施例提供的一种应用程序的病毒检测的方法流程图;
图11是本发明实施例提供的一种病毒库生成子模块处理流程示意图;
图12是本发明实施例提供的一种相似度度量子模块处理流程示意图;
图13是本发明实施例提供的一种应用程序的病毒检测方法流程图;
图14是本发明实施例提供的一种应用程序的病毒检测方法流程图;
图15是本发明实施例提供的一种应用程序的病毒检测装置示意图;
图16是本发明实施例提供的一种应用程序的病毒检测装置示意图;
图17是本发明实施例提供的一种服务器的结构示意图;
图18是本发明实施例提供的一种终端的结构框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
在本发明实施例中,应用程序在运行时会执行各种各样的功能,而每个应用程序所执行的功能均具有各自的特点,因此,可以利用一个应用程序所执行的功能来唯一表示该应用程序,由于这种功能-应用程序之间的一一对应关系与指纹-人之间的一一对应关系有异曲同工之妙,因此,可以通过应用程序所执行的功能的特点,来对应用程序进行区分,也即是,应用程序所执行功能的特征可以起到应用程序的指纹的作用,为了形象化的理解,可以将这些特征称为应用程序的行为指纹。可以理解的是,对于病毒来说,病毒的源码即使发生改变,病毒执行的功能一般也不会发生改变,例如,扣费类的病毒可能仍然会执行自动发送短信的功能。因此,如果应用程序是病毒,则其功能执行信息会与对应病毒类型的功能执行特征相匹配。基于这样的思考,本发明实施例可以通过对应用程序的功能执行情况进行记录,并基于所记录的功能执行情况,来对应用程序进行病毒检测,从而提高病毒检测的准确性,避免了由于病毒自身的细微变化,而造成漏检、错检的情况。
在本发明实施例中,涉及了应用程序的功能执行信息,该应用程序的功能执行信息是指记录应用程序在运行时所执行的功能的信息,可以用于表示应用程序的功能执行情况,例如,一个应用程序在何时执行了何种功能。
基于上述原理,在实施本发明实施例时,可以基于多种实施环境进行,例如,图1是本发明实施例提供的应用程序的病毒检测方法的实施环境图。该应用程序的病毒检测方法的实施环境可以包括至少一个用户设备101、用于为该至少一个用户设备101提供服务的服务器102。
其中,该至少一个用户设备101通过无线或者有线网络和服务器102连接,该该至少一个用户设备101可以为能够访问服务器102的计算机设备或智能终端等。用户设备101上可以安装有用于病毒检测的应用客户端,以便通过该应用客户端,来与服务器102进行交互,从而获取服务器102提供的病毒检测服务。例如,该应用客户端可以为应用管理类客户端,不仅可以提供病毒检测服务,还可以提供应用资讯、应用下载、应用更新等服务。
服务器102中可以维护有至少一种病毒库,该服务器102可以为上述应用客户端的后台服务器。该服务器102还可以通过应用客户端为用户设备提供应用资讯、应用下载、应用更新等服务。当然,该服务器102还可以提供发布接口,使得用户设备可以通过该发布接口进行应用的发布。
具体的,结合图1所示的实施环境图,服务器可以为任一用户设备提供病毒检测服务,也即是,用户设备可以向服务器发起病毒检测请求,当服务器接收到用户设备发送的病毒检测请求时,可以触发病毒检测流程。其中,该病毒检测请求可以携带待检测的目标应用程序的标识,使得服务器对服务器上已经存储的目标应用程序进行病毒检测,当然,该病毒检测请求还可以携带目标应用程序,以将目标应用程序提供给服务器进行病毒检测。当然,该服务器还可以是周期性对服务器上所存储的应用程序进行病毒检测,或者在接收到任一用户设备新发布的应用程序时,触发病毒检测的流程,本发明实施例对如何触发该病毒检测流程不做限定。
服务器在对目标应用程序进行病毒检测时,可以对目标应用程序的功能执行信息进行获取,在一种可能的实施方式中,服务器中可以安装有模拟器,用于模拟用户设备的运行环境,相应地,服务器获取功能执行信息过程包括:服务器调用模拟器,将目标应用程序加载至模拟器运行,记录目标应用程序在运行过程中的功能执行信息,获取记录的至少一个功能执行信息。基于模拟器运行应用程序时,可以避免病毒对服务器造成危害,提高病毒检测的安全性。
其中,模拟器可以是安卓***的模拟器,可以运行安卓应用程序。当然,上述模拟器还可以IOS模拟器、Windows模拟器等,可以运行相对应的应用程序,此处不作限定。
其中,功能执行信息可以包括所执行功能的功能标识和功能执行时间,服务器在模拟器中运行该目标应用程序时,每当目标应用程序在模拟器中执行一个功能,服务器可以记录下该功能的功能标识和功能执行时间,作为一个功能执行信息进行存储。其中,功能标识可以用于表示功能的类型,该功能标识可以采用数字标识,从而尽可能定义病毒可能执行的功能类型。例如,功能标识的范围为[0,255],基于该取值范围,功能标识01定义为发送短信,02为拨打电话,03为调用录音笔,04为弹窗,05为调用摄像头等。功能执行时间可以是功能的触发时间。
需要说明的是,所记录的至少一个功能执行信息可以按照功能执行时间由早到晚排序,因此,功能执行信息的顺序即可以表示功能执行顺序。例如,当目标应用程序发送短信时,记录下短信的功能标识01和功能执行时间10:30等信息,作为一条功能执行信息;当调用摄像头时,记录下调用摄像头的功能标识05和功能执行时间10:33等信息;当调用录音笔时,记录下调用录音笔的功能标识03和功能执行时间10:49等信息……目标应用程序运行一段时间后,即可得到如下功能执行信息:
01,10:30;
05,10:33;
03,10:49;
……
上述内容介绍了功能执行信息的记录方式和所记录的内容,而服务器在获取的功能执行信息时可以有多种方式,下面分别进行介绍:
第一种方式,服务器记录目标应用程序在第一预设时长内的功能执行信息。
服务器可以在模拟器中运行目标应用程序,每当目标应用程序在模拟器中执行一个功能时,服务器可以记录下该功能的功能标识和功能执行时间,作为一个功能执行信息进行存储,经过第一预设时长后停止运行,将记录的至少一个功能执行信息进行存储。例如,服务器可以运行目标应用程序15分钟,获取该15分钟内的功能执行信息。基于目标应用程序在预设时长内执行的功能进行病毒检测,能够保证获取到病毒的功能执行信息能够包括该目标应用程序的所有功能,提高病毒检测的准确性。
当然,上述方式提供了一种运行时长与预设时长相同的记录方式,而在一些实施例中,该运行时长还可以大于预设时长,也即是,服务器在模拟器中运行目标应用程序,每当目标应用程序在模拟器中执行一个功能时,服务器可以记录下该功能的功能标识和功能执行时间,作为一个功能执行信息进行存储,经过第二预设时长后停止运行,将记录的至少一个功能执行信息进行存储,从已存储的功能执行信息中提取第一预设时长内的功能执行信息。在本发明实施例中,对该第一预设时长的起始点不做限定,该起始点可以为运行起始点,也可以为运行起始点以后的某个时间点,该第一预设时长的起始点可以是保证目标应用程序初始化完成的时间点等。例如,服务器可以运行目标应用程序20分钟,在进行病毒检测时,获取其中15分钟内的功能执行信息,可以是前15分钟或后15分钟的功能执行信息,也可以是中间任意15分钟内的功能执行信息,本发明实施例对此不作限定。
第二种方式,服务器获取目标应用程序在多次运行过程中目标运行过程所记录的功能执行信息,该目标运行过程为所记录的功能执行信息数目最多的运行过程。
服务器可以多次运行目标应用程序,并对每个运行过程中的功能执行信息的数目进行统计,得到每个运行过程中的功能执行信息数目,从而确定目标运行过程,也即是,功能执行信息数目最多的运行过程,并基于该目标运行过程中所记录的功能执行信息,进行后续的病毒检测过程。通过这种可选方式,可以尽可能保证获取到应用程序的功能执行信息能够更准确的体现该应用程序的实际功能,提高病毒检测的准确性。
当然,上述两种可选方案可以相结合,也即服务器可以在多次运行过程的每次运行过程中,均获取第一预设时长内所记录的功能执行信息,再基于每次运行过程中目标运行过程所记录的功能执行信息,来进行后续的病毒检测过程。
上述具体获取功能执行信息的过程是基于图1所示的实施环境进行,而在本发明实施例还提供了另一种实施环境,如图2所示,该实施环境包括:至少一个用户设备201与服务器202。该用户设备201所具备的功能与上述用户设备101所具备的功能同理,该用户设备201还可以具备运行目标应用程序,以记录该目标应用程序的功能执行信息的功能,而在用户设备201获取到目标应用程序的功能执行信息后,该用户设备201可以将该目标应用程序的功能执行信息发送至该服务器202,由服务器202基于该目标应用程序的功能执行信息进行病毒检测。在图2所示的实施环境中,应用程序的病毒检测方法可以由服务器实现。服务器获取功能执行信息的过程包括:服务器接收目标应用程序在另一设备上运行过程中的至少一个功能执行信息。在一种实施方式中,该过程具体包括:用户设备运行该目标应用程序,在运行过程中记录目标应用程序的至少一个功能执行信息,向服务器发送病毒检测请求,该病毒检测请求中携带将该目标应用程序的至少一个功能执行信息,服务器接收该病毒检测请求,从该病毒检测请求中提取目标应用程序的至少一个功能执行信息。需要说明的是,在用户设备上获取目标应用程序的至少一个功能执行信息的过程与服务器获取的过程同理,在此不做赘述。进一步地,当服务器通过检测得到病毒检测结果时,可以将病毒检测结果发送至用户设备,用户设备在接收到病毒检测结果,可以基于病毒检测结果进行病毒提示,例如,当病毒检测结果指示该应用程序为病毒时,则提示该应用程序为病毒,而当病毒检测结果指示该应用程序不是病毒时,则提示该应用程序为不是病毒,当然,当该病毒检测结果指示该应用程序可疑时,也可以提示该应用程序存在风险,不建议运行等。
上述发明实施例中是以服务器来实现病毒检测方法,并输出病毒检测结果为例进行说明,当然,上述病毒检测方法还可以由安装在用户设备上的病毒检测应用程序实现,相应地,该病毒检测应用程序可以配置有本地病毒数据库,通过本地病毒数据库,则可以对用户设备上已安装的应用程序进行离线的病毒检测。为此,本发明实施例还提供了一种实施环境,参见图3,该图3提供了本发明实施例的一种实施环境。该实施环境可以包括至少一个用户设备301和服务器302。该用户设备301上可以安装有病毒检测应用程序,并且还存储有用于病毒检测的至少一种病毒库。用户设备301在运行任一应用程序时,可以记录运行过程中的功能执行信息并存储,以便后续进行病毒检测。可选地,用户还可以在不随时进行上述的记录和存储,而是当用户设备301上触发对目标应用程序的病毒检测时,则对目标应用程序在运行过程中的功能执行信息进行记录和存储,进而可以基于该功能执行信息检测目标应用程序是否为病毒。用户设备可以基于病毒检测结果进行病毒提示。该病毒提示方法可以与上述实施例中所提供的方法同理,在此不做赘述。
在图3所示的实施环境中,应用程序的病毒检测方法可以由用户设备上的病毒检测应用程序实现。病毒检测应用程序获取功能执行信息的处理可以如下:病毒检测应用程序获取本地存储的目标应用程序的至少一个功能执行信息。
下面以对一个应用程序的病毒检测过程进行介绍,如图4所示,以基于图1所示的实施环境中的服务器来进行病毒检测为例进行说明,图4为本发明应用程序的病毒检测方法流程图,该方法的处理流程可以包括如下的步骤:
400、用户设备向服务器发送目标应用程序。
401、服务器在接收到目标应用程序后,获取目标应用程序在运行过程中的至少一个功能执行信息。
步骤401中服务器获取功能执行信息的步骤可以参见上述实施例中的获取过程,此处不再赘述。
上述步骤400至步骤401中,仅以用户设备在服务器上发布目标应用程序后,由服务器来进行病毒检测为例进行说明,在一些实施例中,用户设备还可以仅发送病毒检测请求,该病毒检测请求携带目标应用程序或目标应用程序的标识,以指示服务器进行病毒检测。当然,在一些实施例中,服务器还可以自行发起对任一应用程序的病毒检测,本发明实施例对此不做限定。
402、服务器按照至少一个功能执行信息中的功能执行时间,基于至少一个功能执行信息中的功能标识,构造功能执行序列。
功能执行序列可以由功能标识组成。具体地,服务器在上述步骤401中获取的待检测目标应用程序在运行过程中生成的每个功能执行信息包括功能标识、功能执行时间等信息。服务器可以按照功能执行信息中的功能执行时间,确定功能标识的排列顺序,进而可以将功能标识按照排列顺序构成功能执行序列。
在一种可能的实施方式中,服务器可以按照时间的先后顺序对功能标识进行排列,步骤402的具体处理可以如下:基于至少一个功能执行信息中的功能执行时间确定至少一个功能执行信息的功能执行顺序,按照功能执行顺序对至少一个功能执行信息中的功能标识进行排序,得到功能执行序列。
当服务器按照时间的先后顺序对功能执行信息进行排列时,功能执行信息的排列顺序即为功能执行顺序,服务器可以按照该功能执行顺序,将功能标识组成相应的功能执行序列。
具体地,构造功能执行序列的方法可以有两种,下面分别进行介绍:
第一,在构造功能执行序列时,服务器可以按照功能执行顺序,将功能标识组成相应的功能执行序列。例如,当记录的功能执行信息为(01,10:30;05,10:33;03,10:49;…)时,按照功能执行信息对功能标识进行排列,可以得到十进制序列(1,5,3…),该十进制序列可以是对应的功能执行序列。
第二,在构造功能执行序列时,服务器可以获取每两个相邻功能执行信息的功能执行时间,计算每两个相邻的功能标识之间的时间间隔,然后,服务器可以按照功能执行顺序,对功能标识进行排列,并且可以在相邻的两个功能标识之间添加相应的时间间隔标识,得到相应的功能执行序列。例如,功能执行序列可以为(1,0,0,5,0,3,…),其中“0”为时间间隔标识。
在实施中基于上述任一构造功能执行序列的方法进行处理即可。
403、服务器将功能执行序列的中的功能标识转换为像素点,生成目标应用程序的功能执行图像。
服务器在步骤402中得到十进制的功能执行序列后,可以将其转换为十六进制的功能执行序列,也即得到(01,05,03…)。然后,服务器可以将每个功能标识的值转换为像素值,每个功能标识作为一个像素点,构成功能执行图像。其中,该像素值的范围可以为[0,255]。
由于功能标识的范围设定在[0,255]之内,十六进制的功能执行序列中的每一个功能标识都可以转换为一个像素值,也即将功能执行序列转换为对应的功能执行图像,该功能执行图像可以是1*n的功能执行图像。当然,还可以将功能执行序列切分为多个序列片段,然后拼接成多行多列的矩阵形式,再基于上述方式转换为功能执行图像,此处不作限定。例如,功能执行序列的每个功能标识都可以相应的转换为[0,255]之内的灰度值,于是得到的功能执行图像可以是灰度图像,该灰度图像如图5所示的功能执行图像示意图;或者,功能执行序列的每个功能标识还可以通过转换算法生成RGB三通道的像素值,此时,RGB三通道构成的功能执行图像可以是彩色图像。
对于步骤402中的第一种构造功能执行序列的方法,服务器生成的功能执行图像的每个像素点的像素值都可以用于表示功能的类型,像素点的排列顺序可以是上述多个功能执行信息的功能执行顺序,相邻的两个像素点可以用于表示连续执行的两个功能。例如,该功能执行图像的像素点可以为(01,05,03…)。
对于步骤402中的第二种构造功能执行序列的方法,与第一种方法相类似的,服务器生成的功能执行图像的像素值除了可以表示功能的类型,还可以表示时间间隔单位。例如,上述形式二中像素值00可以表示一个时间间隔单位,对于(01,00,00,05,00,03…),可以表示功能01与功能05的触发时间间隔2个时间间隔单位,功能05与功能03的触发时间间隔1个时间间隔单位等。
服务器可以根据目标应用程序的多个功能执行信息,生成目标应用程序的功能执行图像,步骤402-403可以是一种可能的实施方式。当然,服务器还可以通过其他方法,根据目标应用程序的至少一个功能执行信息,生成目标应用程序的功能执行图像。下面对一种生成功能执行图像的方法进行介绍,该方法中构造功能执行序列具体处理可以如下:基于预设的功能执行信息排列规则对至少一个功能执行信息进行排列,将排列后的至少一个功能执行信息中的功能标识,按照排列后得到的功能执行信息的顺序构成功能执行序列。
预设的功能执行信息排列规则可以是按照执行次数的数目由大到小的顺序。服务器可以在获取到的至少一个功能执行信息中,统计各个功能标识的数目,并按照数目由大到小的顺序对功能标识进行排序。功能标识的数目越多,则表明目标应用程序执行该功能的次数越多。然后,服务器可以按照功能标识的排序以及功能标识的数目,构造功能执行序列。例如,功能01的执行次数为3次,功能03的执行次数为1次,功能05的执行次数为2次,则可以得到功能执行序列为(1,1,1,5,5,3)。
功能执行信息排列规则可以根据实际需求进行设置,本发明实施例对此不作限定。
404、服务器提取目标应用程序的功能执行图像的图像特征。
服务器中可以调用图像特征提取模型,提取上述过程中生成的功能执行图像的图像特征。例如,图像特征提取模型可以是基于SIFT算法的图像特征提取模型,也可以是基于机器学习算法的图像特征提取模型等,此处不作限定。相对应的,提取到的图像特征可以是特征向量,也可以是特征矩阵等,并且,图像特征中可以包括至少一个特征向量或至少一个特征矩阵。
下面以基于SIFT算法的图像特征提取模型为例,对提取的图像特征进行介绍:
服务器调用基于SIFT算法的图像特征提取模型,对功能执行图像进行特征提取,可以得到至少一个SIFT特征向量,一个SIFT特征向量可以由64个浮点数构成,此处对SIFT特征向量的维度不作限定。不同应用程序的功能执行图像对应的SIFT特征向量数目可能不同。一般来说,一张功能执行图像可以提取出一组SIFT特征向量,例如,该组SIFT特征向量可以包括5个SIFT特征向量,记录为样本X:[0.1234,0.154…],[0.134,0.5154…],...,[0.1254,0.4521…]。
服务器在获取到目标应用程序对应的图像特征后,可以计算图像特征与病毒图像特征的相似度。在此之前,需要对病毒图像特征进行提取,下面将对此进行介绍:
服务器可以获取至少一个已知病毒类型的病毒样本,在模拟器中运行每个病毒样本,执行步骤201-204的处理,基于与待检测的目标应用程序相同的方法提取病毒图像特征,此处不再赘述。
以上述基于SIFT算法的图像特征提取模型为例,最终服务器可以输出得到至少一组SIFT特征向量,与病毒样本相对应。可选的,服务器在输出一组SIFT特征向量时,可以为该组SIFT特征向量添加对应的病毒类型的标识,格式可以为“病毒类型:SIFT特征向量组”,例如,诈骗类:[0.1234,0.154…],[0.134,0.5154…],...,[0.1254,0.4521…]。
进而,服务器可以将确定下的至少一种病毒类型的病毒图像特征存储到病毒库中。在后续使用中,如果需要添加新的病毒样本的病毒图像特征,则可以基于上述方法确定该病毒图像特征,对病毒库进行更新,此处不再赘述。
405、服务器遍历多种病毒类型的病毒图像特征,每遍历一个病毒类型的病毒图像特征,获取图像特征和病毒类型的病毒图像特征的相似度。
图像特征或病毒库中一种病毒类型的病毒图像特征可以包括至少一个特征向量或特征矩阵。
在一种可能的实施方式中,服务器可以遍历病毒库中的所有病毒类型,确定每种病毒类型的病毒图像特征与图像特征的相似度。例如,对于图像特征为特征矩阵的情况,可以分别确定图像特征的秩和病毒图像特征的秩,进而,可以判断图像特征的秩和病毒图像特征的秩的比值,将该比值确定为相似度。
下面以特征向量为例进行介绍,上述步骤405的具体处理可以如下:确定图像特征的每个目标特征向量与病毒类型的病毒图像特征的每个特征向量的向量距离,将小于距离阈值的向量距离的数目,确定为图像特征和病毒类型的病毒图像特征的相似度
对于目标应用程序的一个目标特征向量,服务器可以遍历病毒库中存储的每种病毒类型的特征向量,分别确定向量距离。服务器将目标应用程序的所有目标特征向量与病毒库中存储的所有病毒类型的特征向量都进行对比,可以保证病毒检测的全面性。
服务器可以基于距离算法计算图像特征和病毒图像特征之间的距离,距离越近,相似度越高,例如,距离算法可以是欧几里得距离算法、曼哈顿距离算法等。
以欧几里得距离算法为例,对于64维的SIFT特征向量,设图像特征的一个SIFT特征向量为(x1,x2,...,x64),病毒图像特征的一个SIFT特征向量为(y1,y2,...,y64),则可以基于下述公式(1)计算向量距离d:
本发明实施例提供的方法,计算得到的向量距离的范围可以在[0,1]之间,可以将距离阈值设置为0.2。当向量距离小于0.2时,可以认为这两个SIFT特征向量相似。
对于图像特征或一种病毒类型的病毒图像特征中仅包括一个特征向量或一个特征矩阵的情况,可以将向量距离的倒数作为相似度,向量阈值的倒数作为相似度阈值。向量距离小于距离阈值时,相似度即大于相似度阈值。
以特征向量为例,由于图像特征中可以包括多个特征向量,可以利用目标应用程序对应的图像特征中包括的、与某病毒类型的病毒图像特征相似的特征向量的数目,来衡量目标应用程序对应的图像特征与该病毒类型的病毒图像特征是否相似。相似的特征向量越多,则表明图像特征越相似。例如,如图6所示的确定相似度的示意图,待检测的目标应用程序与病毒库中病毒类型1的相似特征向量有Sim_1=1,与病毒类型2的相似特征向量有Sim_2=0,与病毒类型3的相似特征向量有Sim_3=4等。
当然,服务器还可以基于相似度算法计算图像特征和病毒图像特征的相似度,例如,相似度算法可以是余弦相似度算法、求解杰卡德相似系数等。本发明实施例对确定相似度的具体算法不作限定。
406、当图像特征和病毒图像特征的相似度大于相似度阈值时,服务器将目标应用程序标记为病毒。
服务器可以判断步骤405中确定下的相似度是否大于相似度阈值,如果存在任一相似度大于相似度阈值,则服务器可以确定目标应用程序是病毒,进而可以对该目标应用程序进行标记。如果不存在相似度大于相似度阈值,则不能判断目标应用程序是否为病毒,服务器可以暂时判定该目标应用程序安全。如果该被判定安全的目标应用程序确实为病毒,在后续使用的过程中,该目标应用程序可能会被其它病毒检测方法检测出来,或者该目标应用程序对应的病毒图像特征被添加到病毒库中,重新检测时被本发明实施例提供的病毒检测方法检测出来。
在一种可能的实施方式中,服务器在步骤405中确定下图像特征与每种病毒类型的相似度后,可以将相似度最大值获取出来,判断该相似度最大值是否大于相似度阈值。如果相似度最大值大于相似度阈值,则表明目标应用程序是病毒;如果相似度最大值不大于相似度阈值,则表明其余的相似度均不大于相似度阈值,即可暂时判定该目标应用程序安全,能够避免将每个相似度与相似度阈值进行对比,提高处理效率。此时,如果相似度最大值大于相似度阈值,则还可以将相似度最大值对应的病毒图像特征的病毒类型,确定为目标应用程序的目标病毒类型,提高病毒检测的准确性,以便采取准确的应对措施,提高安全性。
例如,相似度阈值可以设置为3,在上述步骤405中可以确定下待检测的目标应用程序于各个病毒类型的相似度后,可以将相似度最大值Sim_3=4获取出来,与相似度阈值3进行比较。容易得到4>3,则可以确定该目标应用程序为病毒。
如果服务器为应用市场提供病毒检测的服务,则在判定目标应用程序是病毒时,可以拒绝目标应用程序投递到应用市场,或是将目标应用程序从应用市场中下架。如果服务器为其它设备提供病毒检测的服务,则可以将病毒检测结果发送给该设备,以便用户判断继续使用该目标应用程序或是卸载。
示例性的,如图7所示的病毒检测***示意图,病毒检测的***可以由检测流程控制子模块、行为指纹提取子模块、病毒库生成子模块和相似度度量子模块等4个子模块构成。其中,检测流程控制子模块可以调用其余3个子模块,可以用于实现整个病毒检测的流程;行为指纹提取子模块可以用于提取图像特征,功能执行图像的图像特征即是行为指纹;病毒库生成子模块可以调用行为指纹提取子模块,生成的病毒库中可以存储有至少一种病毒类型的病毒图像特征;相似度度量子模块可以用于确定目标应用程序对应的图像特征和病毒图像特征的相似度。检测流程控制子模块处理流程示意图如图8所示,行为指纹提取子模块处理流程示意图如图9所示,应用程序的病毒检测的方法流程图如图10所示,病毒库生成子模块处理流程示意图如图11所示,相似度度量子模块处理流程示意图如图12所示。
上述步骤401的过程可以由检测流程控制子模块调用行为指纹提取子模块实现,上述步骤402-404的过程可以由行为指纹提取子模块实现,上述步骤404中生成病毒图像特征的处理可以由病毒库生成子模块调用行为指纹提取子模块实现,上述步骤405的过程可以由检测流程控制子模块调用相似度度量子模块实现,上述步骤406的过程可以由检测流程控制子模块实现。
本发明实施例中,由于应用程序的病毒具有某些特定的功能执行的行为,即使病毒的源码发生改变,病毒执行的功能一般也不会发生改变,因此,服务器基于应用程序的功能执行信息进行病毒检测,对于变形的病毒也可以检测出来,具有较强的泛化能力。并且,基于图像提取的特征可靠性较高,本发明实施例利用应用程序的功能执行信息生成功能执行图像,将待检测的应用程序对应的图像特征与病毒图像特征进行对比,可以提高病毒检测的准确性。
下面以对一个应用程序的病毒检测过程进行介绍,如图13所示,以基于图2所示的实施环境中的服务器和用户设备的交互,来进行病毒检测为例进行说明,图13为本发明应用程序的病毒检测方法流程图,该方法的处理流程可以包括如下的步骤:
1300、用户设备根据病毒检测指令,获取目标应用程序在运行过程中的至少一个功能执行信息。
1301、用户设备向服务器发送病毒检测请求,该病毒检测请求携带该目标应用程序在运行过程中的至少一个功能执行信息。
1302、服务器接收到该病毒检测请求后,按照至少一个功能执行信息中的功能执行时间,基于至少一个功能执行信息中的功能标识,构造功能执行序列。
1303、服务器将功能执行序列的中的功能标识转换为像素点,生成目标应用程序的功能执行图像。
1304、服务器提取目标应用程序的功能执行图像的图像特征。
1305、服务器遍历多种病毒类型的病毒图像特征,每遍历一个病毒类型的病毒图像特征,获取图像特征和病毒类型的病毒图像特征的相似度。
1306、当图像特征和病毒图像特征的相似度大于相似度阈值时,服务器将目标应用程序标记为病毒。
1307、服务器将病毒检测结果发送至用户设备。
1308、用户设备接收到病毒检测结果后,进行病毒提示。
本发明实施例中,由于应用程序的病毒具有某些特定的功能执行的行为,即使病毒的源码发生改变,病毒执行的功能一般也不会发生改变,因此,服务器基于应用程序的功能执行信息进行病毒检测,对于变形的病毒也可以检测出来,具有较强的泛化能力。并且,基于图像提取的特征可靠性较高,本发明实施例利用应用程序的功能执行信息生成功能执行图像,将待检测的应用程序对应的图像特征与病毒图像特征进行对比,可以提高病毒检测的准确性。进一步地,通过用户设备将运行过程中所获取的功能执行信息发送给服务器进行检测,可以降低服务器的处理压力。
下面以对一个应用程序的病毒检测过程进行介绍,如图14所示,以基于图2所示的实施环境中的服务器和用户设备的交互,来进行病毒检测为例进行说明,图14为本发明应用程序的病毒检测方法流程图,该方法的处理流程可以包括如下的步骤:
1401、用户设备根据病毒检测指令,获取目标应用程序在运行过程中的至少一个功能执行信息。
1402、用户设备按照至少一个功能执行信息中的功能执行时间,基于至少一个功能执行信息中的功能标识,构造功能执行序列。
1403、用户设备将功能执行序列的中的功能标识转换为像素点,生成目标应用程序的功能执行图像。
1404、用户设备提取目标应用程序的功能执行图像的图像特征。
1405、用户设备遍历多种病毒类型的病毒图像特征,每遍历一个病毒类型的病毒图像特征,获取图像特征和病毒类型的病毒图像特征的相似度。
1406、当图像特征和病毒图像特征的相似度大于相似度阈值时,用户设备将目标应用程序标记为病毒。
1407、用户设备根据病毒检测结果进行病毒提示。
本发明实施例中,由于应用程序的病毒具有某些特定的功能执行的行为,即使病毒的源码发生改变,病毒执行的功能一般也不会发生改变,因此,服务器基于应用程序的功能执行信息进行病毒检测,对于变形的病毒也可以检测出来,具有较强的泛化能力。并且,基于图像提取的特征可靠性较高,本发明实施例利用应用程序的功能执行信息生成功能执行图像,将待检测的应用程序对应的图像特征与病毒图像特征进行对比,可以提高病毒检测的准确性。进一步地,通过用户设备基于本地病毒数据库进行上述病毒检测,可以保证离线场景下也能够完成病毒检测。
基于相同的技术构思,本发明实施例还提供了一种应用程序的病毒检测装置,该装置可以是上述服务器。如图15所示,该装置包括:
获取模块1510,用于根据对目标应用程序的病毒检测指令,获取所述目标应用程序的至少一个功能执行信息,所述至少一个功能执行信息用于记录所述目标应用程序在运行过程中所执行的功能;
生成模块1520,用于根据所述目标应用程序的至少一个功能执行信息,生成所述目标应用程序的功能执行图像;
提取模块1530,用于提取所述功能执行图像的图像特征;
确定模块1540,用于当所述图像特征和病毒图像特征的相似度大于相似度阈值时,将所述目标应用程序标记为病毒。
可选的,所述获取模块1510用于:
调用模拟器,将所述目标应用程序加载至所述模拟器运行,记录所述目标应用程序在运行过程中的功能执行信息,获取记录的至少一个功能执行信息,其中,所述模拟器用于模拟用户设备的运行环境;或
接收所述目标应用程序在另一设备上运行过程中记录的至少一个功能执行信息。
可选的,所述至少一个功能执行信息包括:
所述目标应用程序在第一预设时长的运行过程中所记录的至少一个功能执行信息;或,
所述目标应用程序在多次运行过程的目标运行过程所记录的至少一个功能执行信息,所述目标运行过程为所述多个运行过程中所记录信息数量最多的运行过程。
可选的,每个功能执行信息中包括功能标识和功能执行时间,所述生成模块1520用于:
按照所述至少一个功能执行信息中的功能执行时间,基于所述至少一个功能执行信息中的功能标识,构造功能执行序列,其中,所述功能执行序列由所述多个功能标识组成;
将所述功能执行序列中的功能标识的转换为像素点,生成所述目标应用程序的功能执行图像。
可选的,所述生成模块1520用于:
基于所述至少一个功能执行信息中的功能执行时间,确定所述至少一个功能执行信息的功能执行顺序,按照所述功能执行顺序,对所述至少一个功能执行信息中的功能标识进行排序,得到功能执行序列。
可选的,所述生成模块1520用于:
基于预设的功能执行信息排列规则,对所述至少一个功能执行信息进行排列,将排列后的至少一个功能执行信息中的功能标识,按照排列后得到的功能执行信息的顺序构成功能执行序列。
可选的,所述确定模块1540用于:
遍历多种病毒类型的病毒图像特征,每遍历一个病毒类型的病毒图像特征,获取所述图像特征和所述病毒类型的病毒图像特征的相似度;
当相似度最大值大于相似度阈值时,将所述目标应用程序标记为病毒。
可选的,所述图像特征包括多个目标特征向量,所述病毒图像特征包括多个特征向量;
所述确定模块1540用于:
确定所述图像特征的每个目标特征向量与所述病毒类型的病毒图像特征的每个特征向量的向量距离,将小于距离阈值的向量距离的数目,确定为所述图像特征和所述病毒类型的病毒图像特征的相似度。
可选的,所述确定模块1540还用于:
将所述相似度最大值对应的病毒图像特征的病毒类型,确定为所述目标应用程序的目标病毒类型。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本发明实施例中,由于应用程序的病毒具有某些特定的功能执行的行为,即使病毒的源码发生改变,病毒执行的功能一般也不会发生改变,因此,服务器基于应用程序的功能执行信息进行病毒检测,对于变形的病毒也可以检测出来,具有较强的泛化能力。并且,基于图像提取的特征可靠性较高,本发明实施例利用应用程序的功能执行信息生成功能执行图像,将待检测的应用程序对应的图像特征与病毒图像特征进行对比,可以提高病毒检测的准确性。
需要说明的是:上述实施例提供的应用程序的病毒检测装置在检测病毒时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将服务器的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的应用程序的病毒检测装置与应用程序的病毒检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于相同的技术构思,本发明实施例还提供了一种应用程序的病毒检测装置,该装置可以是上述用户设备。如图16所示,该装置包括:
调用模块1610,用于根据对目标应用程序的病毒检测指令,调用模拟器,将所述目标应用程序加载至所述模拟器运行,其中,所述模拟器用于模拟一个隔离的运行环境;
获取模块1620,用于获取所述目标应用程序在运行过程中的功能执行信息,得到至少一个功能执行信息,所述至少一个功能执行信息用于记录所述目标应用程序在所述模拟器中运行时所执行的功能;
发送模块1630,用于向服务器发送病毒检测请求,所述病毒检测请求携带所述至少一个功能执行信息,所述病毒检测请求用于指示所述服务器对所述目标应用程序进行检测;
提示模块1640,用于根据接收到的病毒检测结果,进行病毒提示,所述病毒检测结果基于所述至少一个功能执行信息得到。
可选的,该获取模块1620用于:
获取所述目标应用程序在第一预设时长的运行过程中的功能执行信息;
或,
获取所述目标应用程序在多次运行过程中的功能执行信息,获取所述多次运行过程中目标运行过程所记录的至少一个功能执行信息,所述目标运行过程为所述多个运行过程中所记录信息数量最多的运行过程。
需要说明的是:上述实施例提供的应用程序的病毒检测装置在检测病毒时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将服务器的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的应用程序的病毒检测装置与应用程序的病毒检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图17是本发明实施例提供的一种服务器的结构示意图,该服务器1700可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processingunits,CPU)1701和一个或一个以上的存储器1702,其中,所述存储器1702中存储有至少一条指令,所述至少一条指令由所述处理器1701加载并执行以实现下述应用程序的病毒检测方法步骤:
根据对目标应用程序的病毒检测指令,获取所述目标应用程序的至少一个功能执行信息,所述至少一个功能执行信息用于记录所述目标应用程序在运行过程中所执行的功能;
根据所述目标应用程序的至少一个功能执行信息,生成所述目标应用程序的功能执行图像;
提取所述功能执行图像的图像特征;
当所述图像特征和病毒图像特征的相似度大于相似度阈值时,将所述目标应用程序标记为病毒。
可选的,所述至少一条指令由所述处理器1701加载并执行以实现下述方法步骤:
调用模拟器,将所述目标应用程序加载至所述模拟器运行,记录所述目标应用程序在运行过程中的功能执行信息,获取记录的多个功能执行信息,其中,所述模拟器用于模拟用户设备的运行环境;或
接收所述目标应用程序在另一设备上运行过程中记录的至少一个功能执行信息。
可选的,每个功能执行信息中包括功能标识和功能执行时间,所述至少一条指令由所述处理器1701加载并执行以实现下述方法步骤:
按照所述至少一个功能执行信息中的功能执行时间,基于所述至少一个功能执行信息中的功能标识,构造功能执行序列,其中,所述功能执行序列由所述功能标识组成,所述功能执行序列中的功能标识的顺序为所述功能执行顺序;
将所述功能执行序列中的功能标识的转换为像素点,生成所述目标应用程序的功能执行图像。
可选的,所述至少一条指令由所述处理器1701加载并执行以实现下述方法步骤:
基于所述至少一个功能执行信息中的功能执行时间确定所述至少一个功能执行信息的功能执行顺序,按照所述功能执行顺序对所述至少一个功能执行信息中的功能标识进行排序,得到功能执行序列。
可选的,所述至少一条指令由所述处理器1701加载并执行以实现下述方法步骤:
基于预设的功能执行信息排列规则对所述至少一个功能执行信息进行排列,将排列后的至少一个功能执行信息中的功能标识,按照排列后得到的功能执行信息的顺序构成功能执行序列。
可选的,所述病毒图像特征包括至少一种病毒类型的病毒图像特征;
所述至少一条指令由所述处理器1701加载并执行以实现下述方法步骤:
遍历多种病毒类型的病毒图像特征,每遍历一个病毒类型的病毒图像特征,获取所述图像特征和所述病毒类型的病毒图像特征的相似度;
当相似度最大值大于相似度阈值时,将所述目标应用程序标记为病毒。
可选的,所述图像特征包括多个目标特征向量,所述病毒图像特征包括多个特征向量;
所述至少一条指令由所述处理器1701加载并执行以实现下述方法步骤:
确定所述图像特征的每个目标特征向量与所述病毒类型的病毒图像特征的每个特征向量的向量距离,将小于距离阈值的向量距离的数目,确定为所述图像特征和所述病毒类型的病毒图像特征的相似度。
可选的,所述至少一条指令由所述处理器1701加载并执行以实现下述方法步骤:
将所述相似度最大值对应的病毒图像特征的病毒类型,确定为所述目标应用程序的目标病毒类型。
本发明实施例中,由于应用程序的病毒具有某些特定的功能执行的行为,即使病毒的源码发生改变,病毒执行的功能一般也不会发生改变,因此,服务器基于应用程序的功能执行信息进行病毒检测,对于变形的病毒也可以检测出来,具有较强的泛化能力。并且,基于图像提取的特征可靠性较高,本发明实施例利用应用程序的功能执行信息生成功能执行图像,将待检测的应用程序对应的图像特征与病毒图像特征进行对比,可以提高病毒检测的准确性。
图18是本发明实施例提供的一种终端的结构框图。该终端1800可以是:智能手机、平板电脑、MP3播放器(Moving Picture Experts Group Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(Moving Picture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、笔记本电脑或台式电脑。终端1800还可能被称为用户设备、便携式终端、膝上型终端、台式终端等其他名称。
通常,终端1800包括有:处理器1801和存储器1802。
处理器1801可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器1801可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器1801也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central ProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器1801可以在集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器1801还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器1802可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器1802还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中,存储器1802中的非暂态的计算机可读存储介质用于存储至少一个指令,该至少一个指令用于被处理器1801所执行以实现本申请中方法实施例提供的应用程序的病毒检测方法。
在一些实施例中,终端1800还可选包括有:***设备接口1803和至少一个***设备。处理器1801、存储器1802和***设备接口1803之间可以通过总线或信号线相连。各个***设备可以通过总线、信号线或电路板与***设备接口1803相连。具体地,***设备包括:射频电路1804、触摸显示屏1805、摄像头1806、音频电路1807、定位组件1808和电源1809中的至少一种。
***设备接口1803可被用于将I/O(Input/Output,输入/输出)相关的至少一个***设备连接到处理器1801和存储器1802。在一些实施例中,处理器1801、存储器1802和***设备接口1803被集成在同一芯片或电路板上;在一些其他实施例中,处理器1801、存储器1802和***设备接口1803中的任意一个或两个可以在单独的芯片或电路板上实现,本实施例对此不加以限定。
射频电路1804用于接收和发射RF(Radio Frequency,射频)信号,也称电磁信号。射频电路1804通过电磁信号与通信网络以及其他通信设备进行通信。射频电路1804将电信号转换为电磁信号进行发送,或者,将接收到的电磁信号转换为电信号。可选地,射频电路1804包括:天线***、RF收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路1804可以通过至少一种无线通信协议来与其它终端进行通信。该无线通信协议包括但不限于:城域网、各代移动通信网络(2G、3G、4G及5G)、无线局域网和/或WiFi(Wireless Fidelity,无线保真)网络。在一些实施例中,射频电路1804还可以包括NFC(Near Field Communication,近距离无线通信)有关的电路,本申请对此不加以限定。
显示屏1805用于显示UI(User Interface,用户界面)。该UI可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏1805是触摸显示屏时,显示屏1805还具有采集在显示屏1805的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器1801进行处理。此时,显示屏1805还可以用于提供虚拟按钮和/或虚拟键盘,也称软按钮和/或软键盘。在一些实施例中,显示屏1805可以为一个,设置终端1800的前面板;在另一些实施例中,显示屏1805可以为至少两个,分别设置在终端1800的不同表面或呈折叠设计;在再一些实施例中,显示屏1805可以是柔性显示屏,设置在终端1800的弯曲表面上或折叠面上。甚至,显示屏1805还可以设置成非矩形的不规则图形,也即异形屏。显示屏1805可以采用LCD(Liquid Crystal Display,液晶显示屏)、OLED(Organic Light-EmittingDiode,有机发光二极管)等材质制备。
摄像头组件1806用于采集图像或视频。可选地,摄像头组件1806包括前置摄像头和后置摄像头。通常,前置摄像头设置在终端的前面板,后置摄像头设置在终端的背面。在一些实施例中,后置摄像头为至少两个,分别为主摄像头、景深摄像头、广角摄像头、长焦摄像头中的任意一种,以实现主摄像头和景深摄像头融合实现背景虚化功能、主摄像头和广角摄像头融合实现全景拍摄以及VR(Virtual Reality,虚拟现实)拍摄功能或者其它融合拍摄功能。在一些实施例中,摄像头组件1806还可以包括闪光灯。闪光灯可以是单色温闪光灯,也可以是双色温闪光灯。双色温闪光灯是指暖光闪光灯和冷光闪光灯的组合,可以用于不同色温下的光线补偿。
音频电路1807可以包括麦克风和扬声器。麦克风用于采集用户及环境的声波,并将声波转换为电信号输入至处理器1801进行处理,或者输入至射频电路1804以实现语音通信。出于立体声采集或降噪的目的,麦克风可以为多个,分别设置在终端1800的不同部位。麦克风还可以是阵列麦克风或全向采集型麦克风。扬声器则用于将来自处理器1801或射频电路1804的电信号转换为声波。扬声器可以是传统的薄膜扬声器,也可以是压电陶瓷扬声器。当扬声器是压电陶瓷扬声器时,不仅可以将电信号转换为人类可听见的声波,也可以将电信号转换为人类听不见的声波以进行测距等用途。在一些实施例中,音频电路1807还可以包括耳机插孔。
定位组件1808用于定位终端1800的当前地理位置,以实现导航或LBS(LocationBased Service,基于位置的服务)。定位组件1808可以是基于美国的GPS(GlobalPositioning System,全球定位***)、中国的北斗***、俄罗斯的格雷纳斯***或欧盟的伽利略***的定位组件。
电源1809用于为终端1800中的各个组件进行供电。电源1809可以是交流电、直流电、一次性电池或可充电电池。当电源1809包括可充电电池时,该可充电电池可以支持有线充电或无线充电。该可充电电池还可以用于支持快充技术。
在一些实施例中,终端1800还包括有一个或多个传感器1810。该一个或多个传感器1810包括但不限于:加速度传感器1811、陀螺仪传感器1812、压力传感器1813、指纹传感器1814、光学传感器1815以及接近传感器1816。
加速度传感器1811可以检测以终端1800建立的坐标系的三个坐标轴上的加速度大小。比如,加速度传感器1811可以用于检测重力加速度在三个坐标轴上的分量。处理器1801可以根据加速度传感器1811采集的重力加速度信号,控制触摸显示屏1805以横向视图或纵向视图进行用户界面的显示。加速度传感器1811还可以用于游戏或者用户的运动数据的采集。
陀螺仪传感器1812可以检测终端1800的机体方向及转动角度,陀螺仪传感器1812可以与加速度传感器1811协同采集用户对终端1800的3D动作。处理器1801根据陀螺仪传感器1812采集的数据,可以实现如下功能:动作感应(比如根据用户的倾斜操作来改变UI)、拍摄时的图像稳定、游戏控制以及惯性导航。
压力传感器1813可以设置在终端1800的侧边框和/或触摸显示屏1805的下层。当压力传感器1813设置在终端1800的侧边框时,可以检测用户对终端1800的握持信号,由处理器1801根据压力传感器1813采集的握持信号进行左右手识别或快捷操作。当压力传感器1813设置在触摸显示屏1805的下层时,由处理器1801根据用户对触摸显示屏1805的压力操作,实现对UI界面上的可操作性控件进行控制。可操作性控件包括按钮控件、滚动条控件、图标控件、菜单控件中的至少一种。
指纹传感器1814用于采集用户的指纹,由处理器1801根据指纹传感器1814采集到的指纹识别用户的身份,或者,由指纹传感器1814根据采集到的指纹识别用户的身份。在识别出用户的身份为可信身份时,由处理器1801授权该用户执行相关的敏感操作,该敏感操作包括解锁屏幕、查看加密信息、下载软件、支付及更改设置等。指纹传感器1814可以被设置终端1800的正面、背面或侧面。当终端1800上设置有物理按键或厂商Logo时,指纹传感器1814可以与物理按键或厂商Logo集成在一起。
光学传感器1815用于采集环境光强度。在一个实施例中,处理器1801可以根据光学传感器1815采集的环境光强度,控制触摸显示屏1805的显示亮度。具体地,当环境光强度较高时,调高触摸显示屏1805的显示亮度;当环境光强度较低时,调低触摸显示屏1805的显示亮度。在另一个实施例中,处理器1801还可以根据光学传感器1815采集的环境光强度,动态调整摄像头组件1806的拍摄参数。
接近传感器1816,也称距离传感器,通常设置在终端1800的前面板。接近传感器1816用于采集用户与终端1800的正面之间的距离。在一个实施例中,当接近传感器1816检测到用户与终端1800的正面之间的距离逐渐变小时,由处理器1801控制触摸显示屏1805从亮屏状态切换为息屏状态;当接近传感器1816检测到用户与终端1800的正面之间的距离逐渐变大时,由处理器1801控制触摸显示屏1805从息屏状态切换为亮屏状态。
本领域技术人员可以理解,图18中示出的结构并不构成对终端1800的限定,可以包括比图示更多或更少的组件,或者组合某些组件,或者采用不同的组件布置。
在示例性实施例中,还提供了一种计算机可读存储介质,例如包括指令的存储器,上述指令可由设备中的处理器执行以完成上述应用程序的病毒检测方法。例如,所述计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (15)
1.一种应用程序的病毒检测方法,其特征在于,所述方法包括:
根据对目标应用程序的病毒检测指令,获取所述目标应用程序的至少一个功能执行信息,所述至少一个功能执行信息用于记录所述目标应用程序在运行过程中所执行的功能;
根据所述目标应用程序的至少一个功能执行信息,生成所述目标应用程序的功能执行图像;
提取所述功能执行图像的图像特征;
当所述图像特征和病毒图像特征的相似度大于相似度阈值时,将所述目标应用程序标记为病毒。
2.根据权利要求1所述的方法,其特征在于,所述获取目标应用程序的至少一个功能执行信息,包括:
调用模拟器,将所述目标应用程序加载至所述模拟器运行,记录所述目标应用程序在运行过程中的功能执行信息,获取记录的至少一个功能执行信息,其中,所述模拟器用于模拟用户设备的运行环境;或
接收所述目标应用程序在另一设备上运行过程中记录的至少一个功能执行信息。
3.根据权利要求1所述的方法,其特征在于,所述至少一个功能执行信息包括:
所述目标应用程序在第一预设时长的运行过程中所记录的至少一个功能执行信息;或,
所述目标应用程序在多次运行过程的目标运行过程所记录的至少一个功能执行信息,所述目标运行过程为所述多个运行过程中所记录信息数量最多的运行过程。
4.根据权利要求1所述的方法,其特征在于,每个功能执行信息中包括功能标识和功能执行时间,所述根据所述目标应用程序的至少一个功能执行信息,生成所述目标应用程序的功能执行图像,包括:
按照所述至少一个功能执行信息中的功能执行时间,基于所述至少一个功能执行信息中的功能标识,构造功能执行序列,其中,所述功能执行序列由所述功能标识组成;
将所述功能执行序列中的功能标识转换为像素点,生成所述目标应用程序的功能执行图像。
5.根据权利要求4所述的方法,其特征在于,所述按照所述至少一个功能执行信息中的功能执行时间,基于所述至少一个功能执行信息中的功能标识,构造功能执行序列,包括:
基于所述至少一个功能执行信息中的功能执行时间,确定所述至少一个功能执行信息的功能执行顺序;
按照所述功能执行顺序,对所述至少一个功能执行信息中的功能标识进行排序,得到功能执行序列。
6.根据权利要求1所述的方法,其特征在于,每个功能执行信息中包括功能标识和功能执行时间,所述根据所述目标应用程序的至少一个功能执行信息,生成所述目标应用程序的功能执行图像,包括:
基于预设的功能执行信息排列规则对所述至少一个功能执行信息进行排列,将排列后的至少一个功能执行信息中的功能标识,按照排列后得到的功能执行信息的顺序构成功能执行序列。
7.根据权利要求1所述的方法,其特征在于,所述当所述图像特征和病毒图像特征的相似度大于相似度阈值时,确定所述目标应用程序为病毒,包括:
遍历多种病毒类型的病毒图像特征,每遍历一个病毒类型的病毒图像特征,获取所述图像特征和所述病毒类型的病毒图像特征的相似度;
当相似度最大值大于相似度阈值时,将所述目标应用程序标记为病毒。
8.根据权利要求7所述的方法,其特征在于,所述图像特征包括多个目标特征向量,所述病毒图像特征包括多个特征向量;
所述获取所述图像特征和所述病毒类型的病毒图像特征的相似度,包括:
确定所述图像特征的每个目标特征向量与所述病毒类型的病毒图像特征的每个特征向量的向量距离,将小于距离阈值的向量距离的数目,确定为所述图像特征和所述病毒类型的病毒图像特征的相似度。
9.根据权利要求7所述的方法,其特征在于,所述方法还包括:
将所述相似度最大值对应的病毒图像特征的病毒类型,确定为所述目标应用程序的目标病毒类型。
10.一种应用程序的病毒检测方法,其特征在于,所述方法包括:
根据对目标应用程序的病毒检测指令,调用模拟器,将所述目标应用程序加载至所述模拟器运行,其中,所述模拟器用于模拟一个隔离的运行环境;
获取所述目标应用程序在运行过程中的功能执行信息,得到至少一个功能执行信息,所述至少一个功能执行信息用于记录所述目标应用程序在所述模拟器中运行时所执行的功能;
向服务器发送病毒检测请求,所述病毒检测请求携带所述至少一个功能执行信息,所述病毒检测请求用于指示所述服务器对所述目标应用程序进行检测;
根据接收到的病毒检测结果,进行病毒提示,所述病毒检测结果基于所述至少一个功能执行信息得到。
11.根据权利要求10所述的方法,其特征在于,所述获取所述目标应用程序在运行过程中的功能执行信息,包括:
获取所述目标应用程序在第一预设时长的运行过程中的功能执行信息;
或,
获取所述目标应用程序在多次运行过程中的功能执行信息,获取所述多次运行过程中目标运行过程所记录的至少一个功能执行信息,所述目标运行过程为所述多个运行过程中所记录信息数量最多的运行过程。
12.一种应用程序的病毒检测装置,其特征在于,所述装置包括:
获取模块,用于根据对目标应用程序的病毒检测指令,获取所述目标应用程序的至少一个功能执行信息,所述至少一个功能执行信息用于记录所述目标应用程序在运行过程中所执行的功能;
生成模块,用于根据所述目标应用程序的至少一个功能执行信息,生成所述目标应用程序的功能执行图像;
提取模块,用于提取所述功能执行图像的图像特征;
确定模块,用于当所述图像特征和病毒图像特征的相似度大于相似度阈值时,将所述目标应用程序标记为病毒。
13.一种应用程序的病毒检测装置,其特征在于,所述装置包括:
调用模块,用于根据对目标应用程序的病毒检测指令,调用模拟器,将所述目标应用程序加载至所述模拟器运行,其中,所述模拟器用于模拟一个隔离的运行环境;
获取模块,用于获取所述目标应用程序在运行过程中的功能执行信息,得到至少一个功能执行信息,所述至少一个功能执行信息用于记录所述目标应用程序在所述模拟器中运行时所执行的功能;
发送模块,用于向服务器发送病毒检测请求,所述病毒检测请求携带所述至少一个功能执行信息,所述病毒检测请求用于指示所述服务器对所述目标应用程序进行检测;
提示模块,用于根据接收到的病毒检测结果,进行病毒提示,所述病毒检测结果基于所述至少一个功能执行信息得到。
14.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行以实现如权利要求1至9任一所述的应用程序的病毒检测方法;或,如权利要求10至11任一所述的应用程序的病毒检测方法。
15.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令,所述至少一条指令由处理器加载并执行以实现如权利要求1至9任一所述的应用程序的病毒检测方法;或,如权利要求10至11任一所述的应用程序的病毒检测方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811042877.1A CN109117635B (zh) | 2018-09-06 | 2018-09-06 | 应用程序的病毒检测方法、装置、计算机设备及存储介质 |
| PCT/CN2019/103600 WO2020048392A1 (zh) | 2018-09-06 | 2019-08-30 | 应用程序的病毒检测方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811042877.1A CN109117635B (zh) | 2018-09-06 | 2018-09-06 | 应用程序的病毒检测方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109117635A true CN109117635A (zh) | 2019-01-01 |
| CN109117635B CN109117635B (zh) | 2023-07-04 |
Family
ID=64858175
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811042877.1A Active CN109117635B (zh) | 2018-09-06 | 2018-09-06 | 应用程序的病毒检测方法、装置、计算机设备及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN109117635B (zh) |
| WO (1) | WO2020048392A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110502900A (zh) * | 2019-08-26 | 2019-11-26 | Oppo广东移动通信有限公司 | 一种检测方法、终端、服务器及计算机存储介质 |
| WO2020048392A1 (zh) * | 2018-09-06 | 2020-03-12 | 腾讯科技(深圳)有限公司 | 应用程序的病毒检测方法、装置、计算机设备及存储介质 |
| CN112487428A (zh) * | 2020-11-26 | 2021-03-12 | 南方电网数字电网研究院有限公司 | 一种基于区块链的休眠式组合计算机病毒发现方法 |
| CN112597499A (zh) * | 2020-12-30 | 2021-04-02 | 北京启明星辰信息安全技术有限公司 | 一种视频监控设备无损安全检查方法及*** |
| CN112668649A (zh) * | 2020-12-29 | 2021-04-16 | 中国南方电网有限责任公司 | 一种基于计算机取证的可靠性验证方法、装置和*** |
| CN115033895A (zh) * | 2022-08-12 | 2022-09-09 | 中国电子科技集团公司第三十研究所 | 一种二进制程序供应链安全检测方法及装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116956295B (zh) * | 2023-09-19 | 2024-01-05 | 杭州海康威视数字技术股份有限公司 | 基于文件图谱拟合的安全检测方法、装置及设备 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060161984A1 (en) * | 2005-01-14 | 2006-07-20 | Mircosoft Corporation | Method and system for virus detection using pattern matching techniques |
| JP2010097550A (ja) * | 2008-10-20 | 2010-04-30 | Intelligent Software:Kk | ウイルス防止プログラム、コンピュータに着脱可能な記憶装置、及びウイルス防止方法 |
| US20110032567A1 (en) * | 2009-08-06 | 2011-02-10 | Tetsuya Ishida | Job processing system and image processing apparatus |
| US8806644B1 (en) * | 2012-05-25 | 2014-08-12 | Symantec Corporation | Using expectation measures to identify relevant application analysis results |
| CN104572821A (zh) * | 2014-12-03 | 2015-04-29 | 深圳市腾讯计算机***有限公司 | 一种文件处理方法及装置 |
| JP2015191458A (ja) * | 2014-03-28 | 2015-11-02 | エヌ・ティ・ティ・ソフトウェア株式会社 | ファイル危険性判定装置、ファイル危険性判定方法、及びプログラム |
| CN106960153A (zh) * | 2016-01-12 | 2017-07-18 | 阿里巴巴集团控股有限公司 | 病毒的类型识别方法及装置 |
| CN107657175A (zh) * | 2017-09-15 | 2018-02-02 | 北京理工大学 | 一种基于图像特征描述子的恶意样本同源检测方法 |
| CN108268778A (zh) * | 2018-02-26 | 2018-07-10 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置及存储介质 |
| CN108334781A (zh) * | 2018-03-07 | 2018-07-27 | 腾讯科技(深圳)有限公司 | 病毒检测方法、装置、计算机可读存储介质和计算机设备 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103699843A (zh) * | 2013-12-30 | 2014-04-02 | 珠海市君天电子科技有限公司 | 一种恶意行为检测方法及装置 |
| CN105653956B (zh) * | 2016-03-02 | 2019-01-25 | 中国科学院信息工程研究所 | 基于动态行为依赖图的Android恶意软件分类方法 |
| CN106096411B (zh) * | 2016-06-08 | 2018-09-18 | 浙江工业大学 | 一种基于字节码图像聚类的Android恶意代码家族分类方法 |
| US10586045B2 (en) * | 2016-08-11 | 2020-03-10 | The Mitre Corporation | System and method for detecting malware in mobile device software applications |
| US10607010B2 (en) * | 2016-09-30 | 2020-03-31 | AVAST Software s.r.o. | System and method using function length statistics to determine file similarity |
| CN106709350B (zh) * | 2016-12-30 | 2020-01-14 | 腾讯科技(深圳)有限公司 | 一种病毒检测方法及装置 |
| CN109117635B (zh) * | 2018-09-06 | 2023-07-04 | 腾讯科技(深圳)有限公司 | 应用程序的病毒检测方法、装置、计算机设备及存储介质 |
-
2018
- 2018-09-06 CN CN201811042877.1A patent/CN109117635B/zh active Active
-
2019
- 2019-08-30 WO PCT/CN2019/103600 patent/WO2020048392A1/zh active Application Filing
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060161984A1 (en) * | 2005-01-14 | 2006-07-20 | Mircosoft Corporation | Method and system for virus detection using pattern matching techniques |
| JP2010097550A (ja) * | 2008-10-20 | 2010-04-30 | Intelligent Software:Kk | ウイルス防止プログラム、コンピュータに着脱可能な記憶装置、及びウイルス防止方法 |
| US20110032567A1 (en) * | 2009-08-06 | 2011-02-10 | Tetsuya Ishida | Job processing system and image processing apparatus |
| US8806644B1 (en) * | 2012-05-25 | 2014-08-12 | Symantec Corporation | Using expectation measures to identify relevant application analysis results |
| JP2015191458A (ja) * | 2014-03-28 | 2015-11-02 | エヌ・ティ・ティ・ソフトウェア株式会社 | ファイル危険性判定装置、ファイル危険性判定方法、及びプログラム |
| CN104572821A (zh) * | 2014-12-03 | 2015-04-29 | 深圳市腾讯计算机***有限公司 | 一种文件处理方法及装置 |
| CN106960153A (zh) * | 2016-01-12 | 2017-07-18 | 阿里巴巴集团控股有限公司 | 病毒的类型识别方法及装置 |
| CN107657175A (zh) * | 2017-09-15 | 2018-02-02 | 北京理工大学 | 一种基于图像特征描述子的恶意样本同源检测方法 |
| CN108268778A (zh) * | 2018-02-26 | 2018-07-10 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置及存储介质 |
| CN108334781A (zh) * | 2018-03-07 | 2018-07-27 | 腾讯科技(深圳)有限公司 | 病毒检测方法、装置、计算机可读存储介质和计算机设备 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020048392A1 (zh) * | 2018-09-06 | 2020-03-12 | 腾讯科技(深圳)有限公司 | 应用程序的病毒检测方法、装置、计算机设备及存储介质 |
| CN110502900A (zh) * | 2019-08-26 | 2019-11-26 | Oppo广东移动通信有限公司 | 一种检测方法、终端、服务器及计算机存储介质 |
| CN110502900B (zh) * | 2019-08-26 | 2022-07-05 | Oppo广东移动通信有限公司 | 一种检测方法、终端、服务器及计算机存储介质 |
| CN112487428A (zh) * | 2020-11-26 | 2021-03-12 | 南方电网数字电网研究院有限公司 | 一种基于区块链的休眠式组合计算机病毒发现方法 |
| CN112487428B (zh) * | 2020-11-26 | 2022-03-11 | 南方电网数字电网研究院有限公司 | 一种基于区块链的休眠式组合计算机病毒发现方法 |
| CN112668649A (zh) * | 2020-12-29 | 2021-04-16 | 中国南方电网有限责任公司 | 一种基于计算机取证的可靠性验证方法、装置和*** |
| CN112668649B (zh) * | 2020-12-29 | 2022-04-22 | 中国南方电网有限责任公司 | 一种基于计算机取证的可靠性验证方法、装置和*** |
| CN112597499A (zh) * | 2020-12-30 | 2021-04-02 | 北京启明星辰信息安全技术有限公司 | 一种视频监控设备无损安全检查方法及*** |
| CN112597499B (zh) * | 2020-12-30 | 2024-02-20 | 北京启明星辰信息安全技术有限公司 | 一种视频监控设备无损安全检查方法及*** |
| CN115033895A (zh) * | 2022-08-12 | 2022-09-09 | 中国电子科技集团公司第三十研究所 | 一种二进制程序供应链安全检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020048392A1 (zh) | 2020-03-12 |
| CN109117635B (zh) | 2023-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109117635A (zh) | 应用程序的病毒检测方法、装置、计算机设备及存储介质 | |
| CN109086709A (zh) | 特征提取模型训练方法、装置及存储介质 | |
| CN111339086B (zh) | 区块处理方法、基于区块链的数据查询方法及装置 | |
| CN110585726A (zh) | 用户召回方法、装置、服务器及计算机可读存储介质 | |
| CN108710496A (zh) | 应用程序的配置更新方法、装置、设备及存储介质 | |
| US20200104320A1 (en) | Method, apparatus and computer device for searching audio, and storage medium | |
| CN109815150A (zh) | 应用测试方法、装置、电子设备及存储介质 | |
| CN110210219A (zh) | 病毒文件的识别方法、装置、设备及存储介质 | |
| CN107833219A (zh) | 图像识别方法及装置 | |
| CN110148178A (zh) | 相机定位方法、装置、终端及存储介质 | |
| CN109646944A (zh) | 控制信息处理方法、装置、电子设备及存储介质 | |
| CN109324739A (zh) | 虚拟对象的控制方法、装置、终端及存储介质 | |
| CN111949680A (zh) | 数据处理方法、装置、计算机设备及存储介质 | |
| CN110032417A (zh) | 会话入口屏蔽方法、装置、设备及存储介质 | |
| CN108900925A (zh) | 设置直播模板的方法和装置 | |
| CN111031391A (zh) | 视频配乐方法、装置、服务器、终端及存储介质 | |
| CN109218751A (zh) | 推荐音频的方法、装置及*** | |
| CN110535890A (zh) | 文件上传的方法和装置 | |
| CN112560435B (zh) | 文本语料处理方法、装置、设备及存储介质 | |
| CN109828915A (zh) | 一种调试应用程序的方法、装置、设备和存储介质 | |
| CN108922533A (zh) | 确定是否是真唱的方法和装置 | |
| CN109189290A (zh) | 点击区域识别方法、装置和计算机可读存储介质 | |
| CN110166275A (zh) | 信息处理方法、装置及存储介质 | |
| CN110222506A (zh) | 快应用检测方法、装置、设备和存储介质 | |
| CN110191236A (zh) | 歌曲播放队列管理方法、装置、终端设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40001815 Country of ref document: HK |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |