CN111737692A - 应用程序的风险检测方法及装置、设备、存储介质 - Google Patents
应用程序的风险检测方法及装置、设备、存储介质 Download PDFInfo
- Publication number
- CN111737692A CN111737692A CN202010823320.2A CN202010823320A CN111737692A CN 111737692 A CN111737692 A CN 111737692A CN 202010823320 A CN202010823320 A CN 202010823320A CN 111737692 A CN111737692 A CN 111737692A
- Authority
- CN
- China
- Prior art keywords
- application program
- target application
- webpage
- installation package
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Stored Programmes (AREA)
Abstract
本申请的实施例揭示了一种应用程序的风险检测方法、装置、设备以及计算机可读存储介质。该方法包括:获取目标应用程序的安装包文件;对所述目标应用程序的安装包文件进行特征检测,当检测到所述安装包文件中含有与网页类型的应用程序相匹配的特征时,确定所述目标应用程序为网页类型的应用程序;提取所述目标应用程序的安装包文件中含有的统一资源定位符;根据所述目标应用程序在运行时所加载的网页信息,对所述统一资源定位符定位的网页进行检测;若检测到所述网页为风险网页,则将所述目标应用程序标记为风险应用程序。本申请实施例的技术方案能够从应用程序层面以及网页层面对应用程序进行风险检测,极大地提升了风险检测的准确性。
Description
技术领域
本申请涉及数据处理技术领域,具体涉及一种应用程序的风险检测方法及装置、设备、计算机可读存储介质。
背景技术
随着智能手机、平板电脑等终端设备的普及,虚假贷款等欺诈类型的应用程序层出不穷。
在现有的应用程序检测方案中,主要通过检测应用程序的包名和证书来判断应用程序是否为已知的欺诈类型应用程序开发者所开发的应用程序,如果为是,则将此应用程序标定为风险应用程序。但是,欺诈类型应用程序的开发者通过较低的成本即可以随意更改应用程序的包名和证书,导致现有风险检测方案的检测准确性较低,无法准确地检测出真实的欺诈类型应用程序。
因此,如何提升虚假贷款等欺诈类型的应用程序的检测准确性,是现有技术中还有待解决的技术问题。
发明内容
为解决以上技术问题,本申请的实施例提供一种应用程序的风险检测方法及装置、设备,以及提供一种计算机可读存储介质。
其中,本申请所采用的技术方案为:
一种应用程序的风险检测方法,包括:获取目标应用程序的安装包文件;对所述目标应用程序的安装包文件进行特征检测,当检测到所述安装包文件中含有与网页类型的应用程序相匹配的特征时,确定所述目标应用程序为网页类型的应用程序;提取所述目标应用程序的安装包文件中含有的统一资源定位符;根据所述目标应用程序在运行时所加载的网页信息,对所述统一资源定位符定位的网页进行检测;若检测到所述网页为风险网页,则将所述目标应用程序标记为风险应用程序。
一种应用程序的风险检测装置,包括:文件获取模块,用于获取目标应用程序的安装包文件;文件检测模块,用于对所述目标应用程序的安装包文件进行特征检测,当检测到所述安装包文件中含有与网页类型的应用程序相匹配的特征时,确定所述目标应用程序为网页类型的应用程序;信息提取模块,用于提取所述目标应用程序的安装包文件中含有的统一资源定位符;网页检测模块,用于根据所述目标应用程序在运行时所加载的网页信息,对所述统一资源定位符定位的网页进行检测;风险标记模块,用于在检测到所述网页为风险网页时,将所述目标应用程序标记为风险应用程序。
一种应用程序的风险检测设备,包括处理器及存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时实现如上所述的应用程序的风险检测方法。
一种计算机可读存储介质,其上存储有计算机可读指令,当所述计算机可读指令被计算机的处理器执行时,使计算机执行如上所述的应用程序的风险检测方法。
在上述技术方案中,由于虚假贷款等欺诈类型的应用程序通常具有网页类型的应用程序所具备的一些特性,例如有正常的交互功能、易于销毁、易于开发等,因此本申请首先基于应用程序层面检测目标应用程序是否为网页类型的应用程序,如果检测为是,进一步基于网址层面对网页内容进行检测,最终判断得出目标应用程序是否为欺诈类型的应用程序,由此提升应用程序的检测准确性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术者来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本申请涉及的一种实施环境的示意图。
图2是根据一示例性实施例示出的一种应用程序的风险检测方法的流程图。
图3是另一示例性实施例示出的一种应用程序的风险检测方法的流程图。
图4是另一示例性实施例示出的一种应用程序的风险检测方法的流程图。
图5是另一示例性实施例示出的一种应用程序的风险检测方法的流程图。
图6是另一示例性实施例示出的一种应用程序的风险检测方法的流程图。
图7是另一示例性实施例示出的一种应用程序的风险检测方法的流程图。
图8是另一示例性实施例示出的一种应用程序的风险检测方法的流程图。
图9是根据一示例性的应用场景示出的一种应用程序的风险检测方法的流程图。
图10是一示例性的风险检测APP的界面示意图。
图11是根据一示例性实施例示出的一种应用程序的风险检测装置。
图12是根据一示例性实施例示出的一种应用程序的风险检测设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例执行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
另外,本申请中描述的“多个”应理解为是至少两个。
首先需要说明的是,云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。
云技术是基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台***进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的***后盾支撑,只能通过云计算来实现。
由此,本申请所提出的应用程序的风险检测方法即可作为一项云技术服务部署在云端,具体针对云端网络所覆盖下的不同网络设备提供风险应用程序的检测服务。
请参阅图1,图1是本申请涉及的一种实施环境的示意图。该实施环境具体为一应用程序的风险检测***,包括终端100和服务器200,终端100和服务器200之间通过有线或者无线网络进行通信。
终端100中运行有用于检测风险应用程序的客户端,该客户端中提供有用户交互界面,并基于用户交互界面中触发的操作指令与服务器200之间进行数据交互,例如将待进行风险检测的目标应用程序的安装包文件发送给服务器200,以使得服务器200对此目标应用程序进行风险检测。
基于目标应用程序的安装包文件,服务器200首先检测目标应用程序是否为网页类型的应用程序,如果为是,进一步针对目标应用程序加载的网页内容进行检测,若基于网页内容判断目标应用程序存在风险,即可最终将目标应用程序确定为是风险应用程序。并且,服务器200还将得到的风险检测结果发送给终端100,以使得终端100将此风险检测结果展示给用户。
需要说明的是,终端100可以是智能手机、平板、笔记本电脑、计算机等电子设备,本处不对此进行限制。服务器200可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)以及大数据和人工智能平台等基础云计算服务的云服务器,本处也不对此进行限制。
请参阅图2,图2是根据一示例性实施例示出的一种应用程序的风险检测方法的流程图。该方法可以适应于图1所示的实施环境,例如由图1所示实施环境中的服务器200具体执行。或者在一些其它的实施环境中,该方法可以由安装有应用程序的终端设备具体执行,本处不对此进行限制。
如图2所示,在一示例性实施例中,该方法至少包括如下步骤:
步骤110,获取目标应用程序的安装包文件。
首先需要说明的是,在本实施例中,应用程序是指为了完成某项或者某几项特定任务而被开发运行于操作***之上的计算机程序。例如,应用程序具体可以是运行于安卓(Android)***或者IOS***上的APP(Application)应用程序,也可以是运行于Windows***上的PC(Personal Computer,个人计算机)应用程序,本处不对此进行限制。目标应用程序则是待进行风险检测的应用程序。
应用程序的安装包文件也称为应用程序包,是指应用程序的安装包,例如对于运行在安卓***上的应用程序来说,应用程序的安装包文件具体为APK(Androidapplication package,安卓应用程序包)文件;而对于运行在Windows***上的应用程序来说,应用程序的安装包文件具体为EXE(Executable File,可执行文件)文件。
对具体执行本实施例提供的应用程序的风险检测方法的设备来说,目标应用程序的安装包文件可以从本地存储器中获取得到,或者是由其它设备将目标应用程序的安装包文件发送给具体执行此方法的设备,本处也不对此进行限制。
若以图1所示实施环境作为示例,如果此方法由服务器200具体执行,服务器200获取到的目标应用程序的安装包文件则可以是由终端100发送的。终端100还可以预先将自身安装的各个应用程序的安装包文件上传至服务器200中进行存储,当终端100向服务器200发起对于目标应用程序进行风险检测的控制指令时,服务器200则从本地存储器中获取目标应用程序的安装包文件,以基于所获取到的安装包文件对目标应用程序进行风险检测。
而在一些其它的实施环境中,示例性的,如果此方法由安装有应用程序的终端设备具体执行,终端设备则从本地存储器中直接获取目标应用程序的安装包文件。还需要说明的是,本实施例中的目标应用程序具体可以是指一个或者多个待进行风险检测的应用程序。
步骤130,对目标应用程序的安装包文件进行特征检测,当检测到该安装包文件中含有与网页类型的应用程序相匹配的特征时,确定目标应用程序为网页类型的应用程序。
在本实施例中,网页类型的应用程序是指利用网页技术开发的应用程序,也即是指通过HTML(Hyper Text Markup Language,超文本标记语言)开发的应用程序。网页类型的应用程序的开发代码可同时运行在Windows、安卓、IOS等不同的操作***上。
虚假贷款等欺诈类型的恶意应用程序通常具有以下特性:
1、具有正常的交互功能;比如用户注册、申请贷款等,因此恶意应用程序必须要有后台服务器支持数据的存储的交互;
2、易于销毁;由于受害者报案后,警方是可以通过技术手段获取到恶意应用程序的后台服务器的网络地址的,因此为了反追踪,恶意应用程序的后台服务器需要经常性地销毁和更换;
3、易于开发,且适用于多个操作***;由于恶意应用程序经常更换,并且用户所使用的终端设备可能采用不同的操作***,因为需要一种开发成本低且可以跨平台部署的应用程序开发方式。
以上的这些特性均满足于网页类型的应用程序,例如很多虚假贷款等欺诈类型的APP都是Web APP,Web APP的本质是一个适配于智能终端的网页,然后通过包文件生成平台将这些网页包装成一个安卓应用或者IOS应用,因此虚假贷款等欺诈类型的应用程序极有可能是网页类型的应用程序。需要说明的是,包文件生成平台也是一种用于生成应用程序的安装包文件的软件程序。
基于此,本实施例首先基于应用程序层面检测目标应用程序是否为网页类型的应用程序,如果检测为是,则继续对目标应用程序进行进一步的检测,以保证检测结果的准确性。
目标应用程序的安装包文件中含有目标应用程序在操作***上运行所需的多种文件和资源,例如APK包文件中包含被编译的代码文件(.dex文件)、文件资源(resources)、原生资源文件(assets)、证书(certificates)以及清单文件(manifest file)等,因此本实施例对目标应用程序的安装包文件进行特征检测,以判断目标应用程序是否为网页类型的应用程序。
对目标应用程序的安装包文件进行的特征检测,可以包括对目标应用程序的安装包文件进行静态特征检测,或者对目标应用程序的安装包文件进行动态特征检测,或者还可以是二者的结合,本处并不进行具体限制。
其中,对目标应用程序的安装包文件进行静态特征检测是指,基于目标应用程序的安装包文件中含有的静态特征来判断目标应用程序是否为网页类型的应用程序,此静态特征理解为是目标应用的安装包文件在未安装运行的前提下所具有特征。例如,由于包文件生成平台针对网页类型的应用程序生成的安装包文件中通常含有固定不变的文件结构,如果目标应用程序的安装包文件中含有这些固定不变的文件结构,则可以判定目标应用程序的安装包文件中含有与网页类型的应用程序相匹配的特征,从而确定目标应用程序为网页类型的应用程序。
对目标应用程序的安装包文件进行动态特征检测则是指,基于目标应用程序的安装包文件在安装运行状态下的动态特征来判断目标应用程序是否为网页类型的应用程序。示例性的,如果目标应用程序的安装包文件在运行时执行了网页加载的相关操作,则可以判定目标应用程序的安装包文件中含有与网页类型的应用程序相匹配的特征,并确定目标应用程序为网页类型的应用程序。
步骤150,提取目标应用程序的包文件中含有的统一资源定符。在本实施例中,如果检测到目标应用程序为网页类型的应用程序,则进一步提取目标应用程序的包文件中含有的统一资源定位符,以基于提取到的统一资源定位符对目标应用程序所加载网页的网页内容进行检测,以此得到准确的风险检测结果。
需要说明的是,统一资源定位符(URL,Uniform Resource Locator)是指网页地址,网页类型的应用程序在运行时都需要基于网页地址实现网页加载。因此,基于目标应用程序的安装包文件中含有的统一资源定位符,可以获取目标应用程序运行时所加载网页的相关信息,例如网页中含有的图片以及文字等资源、网页对应的网站后台等信息,进而根据获取到的这些信息对目标应用程序进行网页层面的风险检测,从而保证对于目标应用程序进行风险检测的准确性。
步骤170,根据目标应用程序在运行时所加载的网页信息,对统一资源定位符定位的网页进行检测。
在本实施例中,目标应用程序在运行时所加载的网页信息是指目标应用程序运行时加载统一资源定位符所定位网页的相关信息,例如可以包括网页中含有的文字、图片等资源,目标应用程序所加载的统一资源定位符中含有的目录结构等信息。
对统一资源定位符所定位的网页的检测则是指,根据目标应用程序运行时所加载网页的相关信息来判断目标应用程序对用户来说是否存在使用风险,如果为是,则判定该网页为风险网页。
如前所述的,虚假贷款等欺诈类型的应用程序由于易被举报而经常更换,需要采用低成本的开发方式进行开发,因此存在一些恶意的网站模板为恶意地开发虚假贷款等欺诈类型的应用程序提供便利。使用这些恶意的网站模板开发的应用程序在运行时通常加载相同的图片及文字等资源,并且这些应用程序加载的网页对应的统一资源定位符中含有相同的目录结构,这些网页也具有相同的网站后台,因此,本实施例可以基于这些特性中的一种或者多种来检测目标应用程序加载的网页是否为风险网页。采用此种方式可以检测出大多数欺诈类型的应用程序。
另外,考虑到欺诈类型的应用程序的开发者可能会修改网站模块中含有的资源文件的名称或内容,例如修改图片颜色,通过前述方式则可能无法检测出真实的欺诈类型的应用程序。为解决此问题,本实施例可以针对目标应用程序加载的网页资源进行内容检测,如果检测到目标应用程序加载的网页资源仅是恶意的网站模板所提供资源的简单修改,仍将目标应用程序加载的网页判定为风险网页。
需要说明的是,以上仅是针对风险网页检测的示例性方式,并不表示本实施例对风险网页的检测方式进行了限定。本实施例也可以采用其它方式来检测出目标应用程序所加载的网页是否为风险网页,例如,如果欺诈类型的应用程序在被举报后没有及时注销处理相关的恶意网页,则可以直接检测目标应用程序加载的网页是否为此已知的恶意网页。
步骤190,若检测到网页为风险网页,则将目标应用程序标记为风险应用程序。
如前所述的,如果通过前述方式检测到目标应用程序的安装包文件中含有的统一资源定位符所定位的网页为风险网页,则表示目标应用程序有极大可能为欺诈类型的应用程序,用户使用该目标应用程序存在风险,例如造成用户财产损失,因此将目标应用程序标记为风险应用程序。
由此,本实施例从欺诈类型的应用程序所具有的特性出发提出一种应用程序的风险检测方法,首先基于应用程序层面检测目标应用程序是否为网页类型的应用程序,如果为是,进一步基于网页层面对目标应用程序进行检测,如果检测出目标应用程序记载的网页为风险网页,则最终判定目标应用程序为欺诈类型的风险应用程序,与现有技术相比,本实施例不仅能够保证风险应用程序的检测准确性,还能够作为风险应用程序的通用检测方式来提升应用程序的风险检测覆盖程度,能够有效避免风险应用程序低于用户带来的财产损失。
例如,在一些具体的应用场景中,可以根据本实施例标记的风险应用程序在风险应用程序运行时及时提醒用户,以有效保护用户个人财产。此外,还可以对风险应用程序的URL进行渗透,并提取网页后台的记录信息,以获取受害者信息,并将受害者信息提供给警方回访。还可以回溯风险应用程序的首次安装用户的用户信息,以筛查疑似开发人员作为证据提供给警方,从而准确地打击犯罪分子。
图3是根据另一示例性实施例示出的一种应用程序的风险检测方法的流程图。如图3所示,在图2所示实施例的基础上,步骤130中对目标应用程序的包文件进行特征检测的过程可以具体包括如下步骤:
步骤131,检测目标应用程序的安装包文件所含有的文件结构;
首先需要说明的是,本实施例是针对目标应用程序进行静态特征检测的过程。目标应用程序的安装包文件所含有的文件结构是指安装包文件中含有的多级文件目录,由于这些文件结构是目标应用程序的安装包文件在未安装运行状态下具有的特征,因此称为是目标应用程序的静态特征。
步骤132,若检测到文件结构与静态识别特征相匹配,则确定目标应用程序为网页类型的应用程序。
在本实施例中,静态识别特征是根据已知的网页类型应用程序的安装包文件之间通用的文件结构生成的,因此静态识别特征中含有网页类型应用程序的安装包文件所含有的通用结构特征。
由于包文件生成平台针对网页类型的应用程序所生成的安装包文件中通常含有固定不变的文件结构,这些固定不变的文件结构即是网页类型的应用程序的安装包文件之间所通用的文件结构。例如在Web APP的安装包文件所含有的文件结构中,“Assets”目录即为通用的文件目录。
在本实施例中,将这些固定不变的文件结构作为静态识别特征,并对目标应用程序的安装包文件中含有的文件结构进行对比,如果检测到目标应用程序的安装包文件中含有这些固定不变的文件结构,则表示目标应用程序的安装包文件所含有的文件结构与静态识别特征相匹配,因此可以判定目标应用程序为网页类型的应用程序。
示例性的,静态识别特征可以是针对网页类型的应用程序的安装包文件中含有固定不变的文件结构所提取得到的YARA(是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具)规则,并基于提取得到的YARA规则对目标应用程序的安装包文件中的文件结构进行YARA特征检测,如果监测到目标应用程序的安装包文件中的文件结构与YARA规则相匹配,则判定目标应用程序为网页类型的应用程序。
例如,若网页类型的应用程序的安装包文件中含有多个固定不变的文件结构,则可以将YARA规则描述为:若目标应用程序的安装包文件中含有此任意一个固定不变的文件结构,则判定目标应用程序为网页类型的应用程序。使用YARA检测工具可以简单且迅速地判定目标应用程序是否为网页类型的应用程序。
在另外的实施例中,考虑到在恶意应用程序的查杀对抗中,当恶意应用程序被风险检测软件识别及查杀后,恶意应用程序一般会对自身代码进行尝试性修改,并重新打包生成安装包文件,直至风险检测软件无法识别到该恶意应用程序为止,这个过程即为“免杀”的过程。
为防止恶意应用程序免杀过程导致风险监测软件无法准确地检测到真实的风险应用程序,本实施例获取多个已知风险的网页类型应用程序的安装包文件,并根据多个已知风险的网页类型应用程序的安装包文件之间所通用的文件结构特征生成静态识别特征,从而基于这些静态识别特征检测目标应用程序是否为网页类型的应用程序。其中,已知风险的网页类型应用程序是已知的欺诈类型的应用程序。
根据本实施例提供的方法可以准确地检测出已知风险的网页类型应用程序对应的恶意软件家族,例如,若根据本实施例生成的静态识别特征检测出目标应用程序为网页类型的应用程序,那么目标应用程序则有极大可能为欺诈类型的应用程序。
图4是根据另一示例性实施例示出的一种应用程序的风险检测方法的流程图。如图4所示,在图2所示实施例的基础上,步骤130中对目标应用程序的包文件进行特征检测的过程可以具体包括如下步骤:步骤133,检测目标应用程序的安装包文件在运行时所生成的操作信息。
其中,本实施例是针对目标应用程序的安装包文件进行动态特征检测的过程,此过程根据目标应用程序的安装包文件在安装运行下的动态特征来判断目标应用程序是否为网页类型的应用程序。
目标应用程序的安装包文件在安装运行下的动态特征也即是本实施例所检测得到的操作信息,具体是指目标应用程序的安装包文件在虚拟环境下实际安装和运行后,目标应用程序执行网页操作的相关记录。其中,虚拟环境具体可以是虚拟机。
在本实施例中,所检测的目标应用程序的安装包文件在运行时生成的操作信息具体可以包括目标应用程序执行网络访问、加载子包、弹窗、文件操作等网页操作所对应的操作记录。其中,网络访问理解为目标应用程序在运行时产生了网络交互的目标,例如包文件生成平台生成的安装包文件在执行时会访问包文件生成平台的服务器来获取配置信息。加载子包理解为目标应用程序在运行过程中调用的子程序,例如所有的网页类型的应用程序在运行时都会启动操作***自带的浏览器程序来打开网页,具体的,所有Web APP在运行时都会加载操作***自带的“webview.apk”程序创建网页视图。
本实施例对目标应用程序的安装包文件在运行时所生成的操作信息进行检测具体是指,在采集得到目标应用程序的安装包文件在虚拟环境下运行时所生成的操作信息之后,基于这些操作信息确定目标应用程序的安装包文件在运行时执行的网页操作,如果目标应用程序执行的网页操作是网页类型的应用程序在运行时都会执行的网页操作,则可以判定目标应用程序为网页类型的应用程序。
步骤134,如果检测到操作信息与动态识别特征相匹配,则确定目标应用程序为网页类型的应用程序。
其中,动态识别特征是根据网页类型的应用程序在运行状态下的运行特征生成的,例如网页类型的应用程序在运行时会执行网络访问操作,并且通过执行加载子包操作来打开网页,因此动态识别特征中含有网页类型应用程序的安装包文件在运行状态下的运行特征。
由于单独执行网络访问操作只能说明应用程序是使用包文件生成平台生成的应用程序,并不一定是网页类型的应用程序,例如可能是包文件生成平台的官方应用程序,单独执行加载子包操作也只能表示应用程序在运行过程中打开了网页,也不能断定一定是网页类型的应用程序,但如果应用程序分别执行了网络访问操作和加载子包操作,则均可以确定应用程序为网页类型的应用程序。
因此在本实施例中,在获取网页类型应用程序在运行状态下的多个运行特征之后,对所获取的多个运行特征进行组合,得到动态识别特征。如果目标应用程序在虚拟环境下运行时生成的操作信息指示目标应用程序的安装包文件在运行时执行了动态识别特征所对应的网页操作,则确定目标应用程序的操作信息与动态识别特征相匹配,从而能够确定目标应用程序为网页类型的应用程序。
由此,基于本实施例提供的方法可以根据目标应用程序在运行时的操作信息准确地判定目标应用程序是否为网页类型的应用程序。
图5是根据另一示例性实施例示出的一种应用程序的风险检测方法的流程图。如图5所示,在图2所示实施例的基础上,步骤150中提取目标应用程序的安装包文件中含有的统一资源定位符的过程可以包括如下步骤:
步骤151,确定用于匹配统一资源定位符的正则表达式。
在本实施例中,正则表达式是对字符串操作的一种逻辑公式,是用事先定义好的一些特定字符、及这些特定字符的组合组成一个规则字符串,这个规则字符串用来表达对字符串的一种过滤逻辑正则表达式,通常被用来检索、替换某些符合某个模式或规则的文本。
考虑到统一资源定位符可能以明文的形式存在于目标应用程序的安装包文件中,因此采用正则表达式在目标应用程序的安装包文件中执行字符串匹配,以得到安装包文件中以明文形式存在的统一资源定位符。
具体的,由于统一资源定位符实际为以“http”开头的字符串,因此可以使用如下的正则表达式来获取目标应用程序的包文件中含有的统一资源定位符:
步骤152,在对目标应用程序的安装包文件进行全量扫描的过程中,提取与正则表达式相匹配的统一资源定位符。
其中,对目标应用程序的安装包文件进行全量扫描,可以得到目标应用程序的安装包文件中含有的所有字符。在对目标应用程序的安装包文件进行全量扫描的过程中,使用正则表达式与扫描到的字符进行匹配,所得到的与正则表达式相匹配的字符串即为统一资源定位符。
因此,基于本实施例提供的方法,可以简单且方便地提取到目标应用程序的包文件中含有的统一资源定位符。
在另外的实施例中,考虑到统一资源定位符还可能存放于目标应用程序的包文件所含有的固定配置文件中,并且这些固定配置文件可能为加密文件,无法直接从目标应用程序的包文件中提取得到,因此需要根据编写的脚本文件提取得到目标应用程序的包文件中含有的统一资源定位符。
另外,由于生成目标应用程序的包文件的包文件生成平台有多种,基于每种包文件生成平台所生成的包文件中,存放统一资源定位符的固定配置文件的文件位置可能都不相同,因此本实施例需要根据如下步骤提取目标应用程序的包文件中含有的统一资源定位符:
获取与目标应用程序对应的包文件生成平台相匹配的脚本文件;
基于所获取的脚本文件从目标应用程序的包文件中的指定文件位置提取统一资源定位符。
以上方法均为针对目标应用程序的包文件静态执行统一资源定位符提取的方式,在其它的实施例中,还可以针对目标应用程序的包文件动态提取包文件中含有的统一资源定位符。如图6所示,在一示例性的实施例中,步骤150中提取目标应用程序的安装包文件中含有的统一资源定位符的过程可以包括如下步骤:
步骤153,采集目标应用程序的安装包文件在虚拟环境中运行时所执行的统一资源定位符加载操作。
在本实施例中,可以使用沙箱(一种模拟真实的IP地址、地理位置、设备配置的虚拟机)作为具体的虚拟环境,安装并运行目标应用程序的安装包文件。目标应用程序在虚拟环境中运行时,将会执行统一资源定位符的加载操作,以模拟真实环境中,随着目标应用程序的运行,目标应用程序所在的终端设备将跳转显示相应网页。
沙箱可以直接监控浏览器程序子包的加载操作以及具体所加载的统一资源定位符,因此可以直接得到目标应用程序在运行时加载的统一资源定位符,十分方便。
步骤154,将加载的统一资源定位符提取为目标应用程序的安装包文件中含有的统一资源定位符。
如前所述,目标应用程序的安装包文件中含有目标应用程序在操作***上运行所需的多种文件和资源,目标应用程序执行网页访问时依赖于安装包文件中含有的同一资源定位符,因此本实施例即可将目标应用程序的包文件在虚拟环境中运行时所加载的统一资源定位符确定为是目标应用程序的安装包文件中含有的统一资源定位符。
因此,基于以上的统一资源定位符提取方式,能够准确地提取目标应用程序的安装包文件中含有的统一资源定位符,以为后续针对目标应用程序的进一步检测提供准确的检测数据。
图7是根据另一示例性实施例示出的一种应用程序的风险检测方法的流程图。其中,该方法对图2所示方法中的步骤170进行了进一步描述,如图7所示,对统一资源定位符定位的网页进行检测的过程可以包括如下步骤:
步骤171,获取已知的风险网站模板所含有的模板特征。
在本实施例中,由于虚假贷款等欺诈类型的应用程序一般都采用一些恶意的网站模板开发得到的,因此将这些恶意的网站模板称为风险网站模板。
示例性的,采用同一风险网站模板开发的应用程序通常具有如下特性:
1、加载相同的图片、文字等资源,例如加载“极速借款”、“0抵押”、“0担保”等欺诈性文字;
2、所加载的统一资源定位符中含有相同的目录结构,例如在统一资源定位符“https://wld.mjtjkj.cn/index.php/Index/home.shtml”中,“wld.mjtjkj.cn”为域名,“index.php/Index”为子目录,“home.shtml”为页面文件的名称,网页所加载的资源是存放在不同的子目录中的,因此采用同一风险网站模板开发的应用程序的URL中的子目录是相同的;
3、具有相同的网站后台。
因此在本实施例中,风险网站模板所含有的模板特征可以包括风险网站模板中含有的图片、文字等资源,风险网站模板提供的资源在加载时对应的子目录,风险网站模板的网站后台等信息,本处不进行限制。
步骤172,将目标应用程序的统一资源定位符所定位网页中的网页信息与风险网站模板含有的模板特征进行匹配,如果检测到网页信息与模板特征之间具有一致性,则确定网页为风险网页。
如前所述的,目标应用程序的统一资源定位符所定位网页中的网页信息可以包括网页所加载的资源、子目录、网站后台等信息,本实施例通过获取已知的风险网站模板所含有的模板特征,然后将目标应用程序的统一资源定位符所定位网页中的网页信息与风险网站模板含有的模板特征进行匹配,如果检测到网页信息与模板特征之间具有一致性,则表示目标应用程序所加载的网页是通过风险网站模板开发的,由此确定此网页为风险网页。
此外,还考虑到欺诈类型的应用程序的开发者可能会修改网站模块中含有的资源文件的名称或内容,例如修改图片颜色,通过前述方式则可能无法检测出真实的风险应用程序,因此在本申请的另一实施例中,通过风险识别模型对目标应用程序的统一资源定位符所定位的网页进行检测。
如图8所示,在一示例性实施例中,具体可以通过如下步骤对目标应用程序所加载网页进行检测:
步骤210,获取访问统一资源定位符所加载的资源。
如前所述的,目标应用程序访问统一资源定位符所加载的资源可以包括文字、图片等资源,本实施例不对此进行限制。
步骤230,将资源输入风险识别模型中,获得风险识别模型输出的资源来源于不同的风险网站模板的可能性分数。
在本实施例中,风险识别模型是根据不同的风险网站模板对应的数据集训练得到的。例如,通过获取不同的风险网站模板中含有的图片资源,并在不同的风险网站模板所含有的图片资源中筛选图片大小超过图片阈值的图片资源,得到不同的风险网站模板对应的数据集,然后根据不同的风险网站模板对应的数据集对风险识别模型进行训练,训练得到的风险识别模型则可以基于目标应用程序的统一资源定位符所定位网页中的网页信息统一资源定位符指示加载的图片资源识别网页是否为风险网页。
此外,不同的风险网站模板对应的数据集还可以是文字数据集,或者是文字与图片相结合的数据集,本处不进行限制。
风险识别模型具体可以是分类模型,不同的风险网站模板即作为分类模型进行分类处理的不同类型,由此,本实施例在获取目标应用程序的统一资源定位符所加载的资源后,将所述资源输入风险识别模型中,即可获得风险识别模型输出的资源来源于不同的风险网站模板的可能性分数。
步骤250,如果可能性分数超过分数阈值,则确定网页为风险网页。
其中,如果风险识别模型输出的可能性分数超过分数阈值,则表示当前网页是基于相应风险模板开发的,因此确定此网页为风险网页。
因此,根据以上实施例提供的风险网页检测方式,可以基于网页层面准确地检测出目标应用程序是否为风险应用程序。
为便于理解本申请的技术实质,下面将以一个具体的应用场景对本申请提供的应用程序的风险检测方法进行详细描述。
在此示例性的应用场景中,目标应用程序为安装在智能手机中的APP,并且该智能手机中还安装有风险检测APP,风险检测APP用于检测智能手机中安装的APP是否为欺诈类型的风险APP。
当风险检测APP中触发了风险监测指令时,与风险检测APP通信的服务器执行如图9所示的流程,以检测智能手机中安装的APP是否为欺诈类型的风险应用程序,并将检测结果返回给风险检测APP进行显示。
具体的,服务器获取待进行风险检测的目标APP的安装包文件,然后对获取的安装包文件进行静态特征检测或者动态特征检测,以基于检测结果确定目标APP是否为WebAPP。如果为否,服务器对目标APP进行其它处理,例如可采用除本申请以外的其它风险监测方法对目标APP进行检测。如果为是,则进一步提取目标APP运行时加载的网页所对应的URL。具体的,可以静态地提取网页所对应的URL,也可以动态地提取网页所对应的URL,具体提取网页所对应的URL的过程请参见前述实施例中记载的内容,本处不再对此进行赘述。
再提取得到网页所对应的URL之后,通过进行URL模板检测或者URL内容检测可以检测出目标APP是否为欺诈类型的风险APP。其中,进行URL模板检测具体是检测目标APP加载的网页信息是否与已知的风险网站模板含有的特征信息相匹配,进行URL内容检是检测目标APP加载的图片等资源是否为基于已知的风险网站模板所含有的资源模板上的修改,例如是否修改了图片的颜色等,具体可以通过风险识别模型进行检测。
如果最终检测到目标APP是欺诈类型的风险APP,服务器则将目标APP标记为风险APP,并将检测结果返回给风险检测APP进行显示。如图10所示,风险检测APP的界面中显示有目标APP的图标、名称以及其它信息,用户可以根据这些信息选择将此目标APP移入信任区或者卸载此目标APP。
图11是根据一示例性实施例示出的一种应用程序的风险检测装置。该装置可以配置在图1所示的实施环境中的服务器200中。或者在一些其它的实施环境中,该装置可以配置在安装有应用程序的终端设备中,本处不对此进行限制。
如图11所示,在一示例性实施例中,该装置包括文件获取模块310、文件检测模块330、信息提取模块350、网页检测模块370和风险标记模块390。文件获取模块310用于获取目标应用程序的安装包文件。文件检测模块330用于对对目标应用程序的安装包文件进行特征检测,当检测到安装包文件中含有与网页类型的应用程序相匹配的特征时,确定目标应用程序为网页类型的应用程序。信息提取模块350用于提取目标应用程序的安装包文件中含有的统一资源定位符。网页检测模块370用于根据目标应用程序在运行时所加载的网页信息,对统一资源定位符定位的网页进行检测。风险标记模块370用于在检测到网页为风险网页时,将目标应用程序标记为风险应用程序。
在另一示例性实施例中,文件检测模块330包括文件结构检测单元和静态特征匹配单元。文件结构检测单元用于检测目标应用程序的安装包文件所含有的文件结构。静态特征匹配单元用于在检测到文件结构与静态识别特征相匹配时,确定目标应用程序为网页类型的应用程序,静态识别特征中含有网页类型应用程序的安装包文件含有的通用结构特征。
在另一示例性实施例中,文件检测模块330还包括静态特征生成单元,用于获取多个已知风险的网页类型应用程序的安装包文件,并根据多个已知风险的网页类型应用程序的安装包文件之间所通用的文件结构特征,生成静态识别特征。
在另一示例性实施例中,文件检测模块330包括操作信息获取单元和动态特征识别单元。操作信息获取单元用于检测目标应用程序的安装包文件在运行时所生成的操作信息。动态特征识别单元用于若检测到操作信息与动态识别特征相匹配,则确定目标应用程序为网页类型的应用程序,动态识别特征中含有网页类型应用程序的安装包文件在运行状态下的运行特征。
在另一示例性实施例中,文件检测模块330还包括运行特征组合单元,用于获取网页类型应用程序在运行状态下的多个运行特征,并对网页类型应用程序在运行状态下的多个运行特征进行组合,得到动态识别特征。
在另一示例性实施例中,操作信息获取单元包括操作信息采集子单元和网页操作对比子单元。操作信息采集子单元用于采集目标应用程序的安装包文件在虚拟环境下运行时生成的操作信息。网页操作对比子单元用于在操作信息指示目标应用程序的安装包文件在运行时执行了动态识别特征所对应的网页操作时,确定操作信息与动态识别特征相匹配。
在另一示例性实施例中,信息提取模块350包括正则表达单元和正则匹配单元。正则表达单元用于确定用于匹配统一资源定位符的正则表达式。正则匹配单元用于在对目标应用程序的安装包文件进行全量扫描的过程中,提取与正则表达式相匹配的统一资源定位符。
在另一示例性实施例中,信息提取模块350还包括脚本获取单元和脚本提取单元。脚本获取单元用于获取与目标应用程序对应的包文件生成平台相匹配的脚本文件。脚本提取单元用于基于脚本文件从目标应用程序的安装包文件中的指定文件位置提取统一资源定位符。
在另一示例性实施例中,信息提取模块350还包括操作采集单元和定位符提取单元。操作采集单元用于采集目标应用程序的安装包文件在虚拟环境中运行时所执行的统一资源定位符加载操作。定位符提取单元用于将加载的统一资源定位符提取为目标应用程序的安装包文件中含有的统一资源定位符。
在另一示例性实施例中,网页检测模块370包括模板特征获取单元和模板特征对比单元。模板特征获取单元用于获取已知的风险网站模板所含有的模板特征。模板特征对比单元用于将统一资源定位符所定位网页中的网页信息与风险网站模板含有的模板特征进行匹配,如果检测到网页信息与模板特征之间具有一致性,则确定网页为风险网页。
在另一示例性实施例中,模板特征对比单元包括资源获取子单元、分数获取子单元和风险网页判定子单元。资源获取子单元用于获取访问统一资源定位符所加载的资源。分数获取子单元用于将资源输入风险识别模型中,获得风险识别模型输出的资源来源于不同的风险网站模板的可能性分数。风险网页判定子单元用于在可能性分数超过分数阈值时,确定网页为风险网页。
在另一示例性实施例中,模板特征对比单元还包括图片资源获取子单元、图片资源筛选子单元和模型训练子单元。图片资源获取子单元用于获取不同的风险网站模板中含有的图片资源。图片资源筛选子单元用于在不同的风险网站模板所含有的图片资源中筛选图片大小超过图片阈值的图片资源,得到不同的风险网站模板对应的数据集。模型训练子单元用于根据不同的风险网站模板对应的数据集,对风险识别模型进行训练。
需要说明的是,上述实施例所提供的装置与上述实施例所提供的方法属于同一构思,其中各个模块和单元执行操作的具体方式已经在方法实施例中进行了详细描述,此处不再赘述。
本申请的实施例还提供了一种应用程序的风险检测设备,包括处理器和存储器,其中,存储器上存储有计算机可读指令,该计算机可读指令被处理器执行时实现如前所述的应用程序的风险检测方法。
图12是根据一示例性实施例示出的一种应用程序的风险检测设备的结构示意图。
需要说明的是,该应用程序的风险检测设备只是一个适配于本申请的示例,不能认为是提供了对本申请的使用范围的任何限制。该应用程序的风险检测设备也不能解释为需要依赖于或者必须具有图12中示出的示例性的应用程序的风险检测设备中的一个或者多个组件。
如图12所示,在一示例性实施例中,应用程序的风险检测设备包括处理组件801、存储器802、电源组件803、多媒体组件804、音频组件805、传感器组件807和通信组件808。其中,上述组件并不全是必须的,应用程序的风险检测设备可以根据自身功能需求增加其他组件或减少某些组件,本实施例不作限定。
处理组件801通常控制应用程序的风险检测设备的整体操作,诸如与显示、数据通信以及日志数据处理相关联的操作等。处理组件801可以包括一个或多个处理器809来执行指令,以完成上述操作的全部或部分步骤。此外,处理组件801可以包括一个或多个模块,便于处理组件801和其他组件之间的交互。例如,处理组件801可以包括多媒体模块,以方便多媒体组件804和处理组件801之间的交互。
存储器802被配置为存储各种类型的数据以支持在应用程序的风险检测设备的操作,这些数据的示例包括用于在应用程序的风险检测设备上操作的任何应用程序或方法的指令。存储器802中存储有一个或多个模块,该一个或多个模块被配置成由该一个或多个处理器809执行,以完成上述实施例中所描述的应用程序的风险检测方法中的全部或者部分步骤。
电源组件803为应用程序的风险检测设备的各种组件提供电力。电源组件803可以包括电源管理***,一个或多个电源,及其他与为应用程序的风险检测设备生成、管理和分配电力相关联的组件。
多媒体组件804包括在应用程序的风险检测设备和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括TP(Touch Panel,触摸面板)和LCD(LiquidCrystal Display,液晶显示器)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。
音频组件805被配置为输出和/或输入音频信号。例如,音频组件805包括一个麦克风,当应用程序的风险检测设备处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。在一些实施例中,音频组件805还包括一个扬声器,用于输出音频信号。
传感器组件807包括一个或多个传感器,用于为应用程序的风险检测设备提供各个方面的状态评估。例如,传感器组件807可以检测到应用程序的风险检测设备的打开/关闭状态,还可以检测应用程序的风险检测设备的温度变化。
通信组件808被配置为便于应用程序的风险检测设备和其他设备之间有线或无线方式的通信。应用程序的风险检测设备可以接入基于通信标准的无线网络,例如Wi-Fi(Wireless-Fidelity,无线网络)。
可以理解,图12所示的结构仅为示意,应用程序的风险检测设备该可以包括比图12中所示更多或更少的组件,或者具有与图12所示不同的组件。图12中所示的各组件均可以采用硬件、软件或者其组合来实现。
本申请的另一方面还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如前所述的应用程序的风险检测方法。该计算机可读存储介质可以是上述实施例中描述的应用程序的风险检测设备中所包含的,也可以是单独存在,而未装配入该应用程序的风险检测设备中。
本申请的另一方面还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各个实施例中提供的应用程序的风险检测方法。
上述内容,仅为本申请的较佳示例性实施例,并非用于限制本申请的实施方案,本领域普通技术人员根据本申请的主要构思和精神,可以十分方便地进行相应的变通或修改,故本申请的保护范围应以权利要求书所要求的保护范围为准。
Claims (15)
1.一种应用程序的风险检测方法,其特征在于,包括:
获取目标应用程序的安装包文件;
对所述目标应用程序的安装包文件进行特征检测,当检测到所述安装包文件中含有与网页类型的应用程序相匹配的特征时,确定所述目标应用程序为网页类型的应用程序;
提取所述目标应用程序的安装包文件中含有的统一资源定位符;
根据所述目标应用程序在运行时所加载的网页信息,对所述统一资源定位符定位的网页进行检测;
若检测到所述网页为风险网页,则将所述目标应用程序标记为风险应用程序。
2.根据权利要求1所述的方法,其特征在于,对所述目标应用程序的安装包文件进行特征检测,当检测到所述安装包文件中含有与网页类型的应用程序相匹配的特征时,确定所述目标应用程序为网页类型的应用程序,包括:
检测所述目标应用程序的安装包文件所含有的文件结构;
若检测到所述文件结构与静态识别特征相匹配,则确定所述目标应用程序为网页类型的应用程序,所述静态识别特征中含有网页类型应用程序的安装包文件含有的通用结构特征。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
获取多个已知风险的网页类型应用程序的安装包文件;
根据所述多个已知风险的网页类型应用程序的安装包文件之间所通用的文件结构特征,生成所述静态识别特征。
4.根据权利要求1所述的方法,其特征在于,对所述目标应用程序的安装包文件进行特征检测,当检测到所述安装包文件中含有与网页类型的应用程序相匹配的特征时,确定所述目标应用程序为网页类型的应用程序,包括:
检测所述目标应用程序的安装包文件在运行时所生成的操作信息;
若检测到所述操作信息与动态识别特征相匹配,则确定所述目标应用程序为网页类型的应用程序,所述动态识别特征中含有网页类型应用程序的安装包文件在运行状态下的运行特征。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
获取网页类型应用程序在运行状态下的多个运行特征;
对所述网页类型应用程序在运行状态下的多个运行特征进行组合,得到所述动态识别特征。
6.根据权利要求4所述的方法,其特征在于,检测所述目标应用程序的安装包文件在运行时所生成的操作信息,包括:
采集所述目标应用程序的安装包文件在虚拟环境下运行时生成的操作信息;
如果所述操作信息指示所述目标应用程序的安装包文件在运行时执行了所述动态识别特征所对应的网页操作,则确定所述操作信息与所述动态识别特征相匹配。
7.根据权利要求1所述的方法,其特征在于,根据所述目标应用程序在运行时所加载的网页信息,对所述统一资源定位符定位的网页进行检测,包括:
获取已知的风险网站模板所含有的模板特征;
将所述统一资源定位符所定位网页中的网页信息与所述风险网站模板含有的模板特征进行匹配,如果检测到所述网页信息与所述模板特征之间具有一致性,则确定所述网页为风险网页。
8.根据权利要求7所述的方法,其特征在于,所述网页信息包括所述统一资源定位符指示加载的资源;将所述统一资源定位符所定位的网页信息与所述风险网站模板含有的模板特征进行匹配,包括:
获取访问所述统一资源定位符所加载的资源;
将所述资源输入风险识别模型中,获得所述风险识别模型输出的所述资源来源于不同的风险网站模板的可能性分数;
如果所述可能性分数超过分数阈值,则确定所述网页为风险网页。
9.根据权利要求8所述的方法,其特征在于,所述统一资源定位符指示加载的资源包括图片资源,所述方法还包括:
获取不同的风险网站模板中含有的图片资源;
在不同的风险网站模板所含有的图片资源中筛选图片大小超过图片阈值的图片资源,得到不同的风险网站模板对应的数据集;
根据所述不同的风险网站模板对应的数据集,对所述风险识别模型进行训练。
10.根据权利要求1所述的方法,其特征在于,提取所述目标应用程序的安装包文件中含有的统一资源定位符,包括:
确定用于匹配统一资源定位符的正则表达式;
在对所述目标应用程序的安装包文件进行全量扫描的过程中,提取与所述正则表达式相匹配的统一资源定位符。
11.根据权利要求1所述的方法,其特征在于,提取所述目标应用程序的安装包文件中含有的统一资源定位符,包括:
获取与所述目标应用程序对应的包文件生成平台相匹配的脚本文件;
基于所述脚本文件从所述目标应用程序的安装包文件中的指定文件位置提取统一资源定位符。
12.根据权利要求1所述的方法,其特征在于,提取所述目标应用程序的安装包文件中含有的统一资源定位符,包括:
采集所述目标应用程序的安装包文件在虚拟环境中运行时所执行的统一资源定位符加载操作;
将加载的所述统一资源定位符提取为所述目标应用程序的安装包文件中含有的统一资源定位符。
13.一种应用程序的风险检测装置,其特征在于,包括:
文件获取模块,用于获取目标应用程序的安装包文件;
文件检测模块,用于对所述目标应用程序的安装包文件进行特征检测,当检测到所述安装包文件中含有与网页类型的应用程序相匹配的特征时,确定所述目标应用程序为网页类型的应用程序;
信息提取模块,用于提取所述目标应用程序的安装包文件中含有的统一资源定位符;
网页检测模块,用于根据所述目标应用程序在运行时所加载的网页信息,对所述统一资源定位符定位的网页进行检测;
风险标记模块,用于在检测到所述网页为风险网页时,将所述目标应用程序标记为风险应用程序。
14.一种应用程序的风险检测设备,其特征在于,包括:
存储器,存储有计算机可读指令;
处理器,读取存储器存储的计算机可读指令,以执行权利要求1-12中的任一项所述的方法。
15.一种计算机可读存储介质,其特征在于,其上存储有计算机可读指令,当所述计算机可读指令被计算机的处理器执行时,使计算机执行权利要求1-12中的任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010823320.2A CN111737692B (zh) | 2020-08-17 | 2020-08-17 | 应用程序的风险检测方法及装置、设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010823320.2A CN111737692B (zh) | 2020-08-17 | 2020-08-17 | 应用程序的风险检测方法及装置、设备、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111737692A true CN111737692A (zh) | 2020-10-02 |
| CN111737692B CN111737692B (zh) | 2020-12-18 |
Family
ID=72658563
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010823320.2A Active CN111737692B (zh) | 2020-08-17 | 2020-08-17 | 应用程序的风险检测方法及装置、设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111737692B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112256286A (zh) * | 2020-10-21 | 2021-01-22 | 北京字节跳动网络技术有限公司 | 一种应用运行的方法、装置及计算机存储介质 |
| CN112486510A (zh) * | 2020-11-04 | 2021-03-12 | 深圳市金百锐通信科技有限公司 | 用于软件安装的方法、装置、终端设备及存储介质 |
| CN112948830A (zh) * | 2021-03-12 | 2021-06-11 | 哈尔滨安天科技集团股份有限公司 | 文件风险识别的方法和装置 |
| CN113254932A (zh) * | 2021-06-16 | 2021-08-13 | 百度在线网络技术(北京)有限公司 | 应用程序的风险检测方法、装置、电子设备和介质 |
| CN114244599A (zh) * | 2021-12-15 | 2022-03-25 | 杭州默安科技有限公司 | 一种干扰恶意程序的方法 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101504673A (zh) * | 2009-03-24 | 2009-08-12 | 阿里巴巴集团控股有限公司 | 一种识别疑似仿冒网站的方法与*** |
| CN103607385A (zh) * | 2013-11-14 | 2014-02-26 | 北京奇虎科技有限公司 | 基于浏览器进行安全检测的方法和装置 |
| CN104598513A (zh) * | 2014-11-03 | 2015-05-06 | 腾讯科技(成都)有限公司 | 一种基于网页框架的数据流控制方法和*** |
| CN104766008A (zh) * | 2014-01-07 | 2015-07-08 | 腾讯科技(深圳)有限公司 | 应用程序安装包的安全检测方法及服务器 |
| CN105867935A (zh) * | 2016-04-13 | 2016-08-17 | 周奇 | 应用程序的管理方法及装置 |
| CN106131016A (zh) * | 2016-07-13 | 2016-11-16 | 北京知道创宇信息技术有限公司 | 恶意url检测干预方法、***及装置 |
| CN106162648A (zh) * | 2015-04-17 | 2016-11-23 | 上海墨贝网络科技有限公司 | 一种应用安装包的行为检测方法、服务器及*** |
| CN106502879A (zh) * | 2015-09-07 | 2017-03-15 | ***通信集团公司 | 一种实现应用程序安全性检测的方法及装置 |
| CN107622200A (zh) * | 2016-07-14 | 2018-01-23 | 腾讯科技(深圳)有限公司 | 应用程序的安全性检测方法及装置 |
| CN109981604A (zh) * | 2019-03-07 | 2019-07-05 | 北京华安普特网络科技有限公司 | 一种快速检测网页黑链的方法 |
-
2020
- 2020-08-17 CN CN202010823320.2A patent/CN111737692B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101504673A (zh) * | 2009-03-24 | 2009-08-12 | 阿里巴巴集团控股有限公司 | 一种识别疑似仿冒网站的方法与*** |
| CN103607385A (zh) * | 2013-11-14 | 2014-02-26 | 北京奇虎科技有限公司 | 基于浏览器进行安全检测的方法和装置 |
| CN104766008A (zh) * | 2014-01-07 | 2015-07-08 | 腾讯科技(深圳)有限公司 | 应用程序安装包的安全检测方法及服务器 |
| CN104598513A (zh) * | 2014-11-03 | 2015-05-06 | 腾讯科技(成都)有限公司 | 一种基于网页框架的数据流控制方法和*** |
| CN106162648A (zh) * | 2015-04-17 | 2016-11-23 | 上海墨贝网络科技有限公司 | 一种应用安装包的行为检测方法、服务器及*** |
| CN106502879A (zh) * | 2015-09-07 | 2017-03-15 | ***通信集团公司 | 一种实现应用程序安全性检测的方法及装置 |
| CN105867935A (zh) * | 2016-04-13 | 2016-08-17 | 周奇 | 应用程序的管理方法及装置 |
| CN106131016A (zh) * | 2016-07-13 | 2016-11-16 | 北京知道创宇信息技术有限公司 | 恶意url检测干预方法、***及装置 |
| CN107622200A (zh) * | 2016-07-14 | 2018-01-23 | 腾讯科技(深圳)有限公司 | 应用程序的安全性检测方法及装置 |
| CN109981604A (zh) * | 2019-03-07 | 2019-07-05 | 北京华安普特网络科技有限公司 | 一种快速检测网页黑链的方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112256286A (zh) * | 2020-10-21 | 2021-01-22 | 北京字节跳动网络技术有限公司 | 一种应用运行的方法、装置及计算机存储介质 |
| CN112256286B (zh) * | 2020-10-21 | 2023-05-05 | 抖音视界有限公司 | 一种应用运行的方法、装置及计算机存储介质 |
| CN112486510A (zh) * | 2020-11-04 | 2021-03-12 | 深圳市金百锐通信科技有限公司 | 用于软件安装的方法、装置、终端设备及存储介质 |
| CN112948830A (zh) * | 2021-03-12 | 2021-06-11 | 哈尔滨安天科技集团股份有限公司 | 文件风险识别的方法和装置 |
| CN112948830B (zh) * | 2021-03-12 | 2023-11-10 | 安天科技集团股份有限公司 | 文件风险识别的方法和装置 |
| CN113254932A (zh) * | 2021-06-16 | 2021-08-13 | 百度在线网络技术(北京)有限公司 | 应用程序的风险检测方法、装置、电子设备和介质 |
| CN113254932B (zh) * | 2021-06-16 | 2024-02-27 | 百度在线网络技术(北京)有限公司 | 应用程序的风险检测方法、装置、电子设备和介质 |
| CN114244599A (zh) * | 2021-12-15 | 2022-03-25 | 杭州默安科技有限公司 | 一种干扰恶意程序的方法 |
| CN114244599B (zh) * | 2021-12-15 | 2023-11-24 | 杭州默安科技有限公司 | 一种干扰恶意程序的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111737692B (zh) | 2020-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111737692B (zh) | 应用程序的风险检测方法及装置、设备、存储介质 | |
| CN107659570B (zh) | 基于机器学习与动静态分析的Webshell检测方法及*** | |
| CN102254111B (zh) | 恶意网站检测方法及装置 | |
| Karami et al. | Carnus: Exploring the Privacy Threats of Browser Extension Fingerprinting. | |
| CN106295333B (zh) | 用于检测恶意代码的方法和*** | |
| CN109862003B (zh) | 本地威胁情报库的生成方法、装置、***及存储介质 | |
| CN107688743B (zh) | 一种恶意程序的检测分析方法及*** | |
| CN104486140A (zh) | 一种检测网页被劫持的装置及其检测方法 | |
| WO2014049504A1 (en) | Detecting malicious advertisements using source code analysis | |
| CN113489713A (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN103986731A (zh) | 通过图片匹配来检测钓鱼网页的方法及装置 | |
| CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
| Sjösten et al. | Essentialfp: Exposing the essence of browser fingerprinting | |
| Li et al. | Large-scale third-party library detection in android markets | |
| CN114157568B (zh) | 一种浏览器安全访问方法、装置、设备及存储介质 | |
| CN113869789A (zh) | 一种风险监控的方法、装置、计算机设备及存储介质 | |
| CN103390129A (zh) | 检测统一资源定位符安全性的方法和装置 | |
| CN109684844B (zh) | 一种webshell检测方法、装置以及计算设备、计算机可读存储介质 | |
| US10275596B1 (en) | Activating malicious actions within electronic documents | |
| US20240054210A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
| Tian et al. | FrameHanger: Evaluating and classifying iframe injection at large scale | |
| CN116932381A (zh) | 小程序安全风险自动化评估方法及相关设备 | |
| CN112351008B (zh) | 网络攻击分析方法、装置、可读存储介质及计算机设备 | |
| CN107908961B (zh) | 基于虚拟化的恶意网页检测方法、设备及存储介质 | |
| CN115495737A (zh) | 恶意程序失效方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40030753 Country of ref document: HK |