根據應用程式聲明特徵識別惡意應用程式的方法和裝置製造方法

2023-11-05 11:44:17 2

根據應用程式聲明特徵識別惡意應用程式的方法和裝置製造方法
【專利摘要】本發明提供了一種根據應用程式聲明特徵識別惡意應用程式的方法和裝置，涉及計算機【技術領域】，該方法通過獲取應用程式的安裝包中的清單文件，統計清單文件中記錄的第一清單文件特徵，根據應用程式的第一清單文件特徵確定該應用程式是否為惡意應用程式，該種識別方法，根據惡意程序會在清單文件中聲明其不應具有的特徵進行惡意應用程式的識別，解決用戶在不知情的情況下安裝具有高權限的惡意應用程式的問題，識別時運算量小，速度快。
【專利說明】根據應用程式聲明特徵識別惡意應用程式的方法和裝置

【技術領域】
[0001] 本發明涉及計算機【技術領域】，具體涉及一種根據應用程式聲明特徵識別惡意應用 程序的方法和裝置。

【背景技術】
[0002] 目前，手機、平板電腦等移動終端應用越來越廣。Android是一種基於開源協議的 移動終端作業系統，經過多年的發展，它已經相當成熟並可提供諸多功能。
[0003] 在Android發展的過程中，針對Android的惡意程序也越來越多。目前，對於惡意 程序的識別方法主要通過提取應用程式的可執行代碼特徵，再通過殺毒引擎進行識別，但 是仍然難免存在漏網之魚。
[0004] 為了提高用戶的安全性，Android也提供了一些安全保護機制。例如，規定應用程 序需要在其安裝包中聲明其需要使用作業系統中哪些權限、需要使用作業系統中的哪些服 務，並交給用戶確認。但是一般的用戶在安裝應用程式時，可能不會認真核對，且對於一般 的用戶來說，也難以理解這些聲明信息。
[0005] 而惡意的應用程式，也會利用這一機制，在作業系統中要求較高的權限，進而執行 一些惡意行為。例如，有些惡意應用程式，其功能與發送簡訊無關，卻會在作業系統中要求 發送簡訊的權限，進而發現一些扣費簡訊，導致用戶損失。
[0006] 而在目前階段，並不存在針對這一類惡意應用程式的識別方法。


【發明內容】

[0007] 鑑於上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上 述問題的一種根據應用程式聲明特徵識別惡意應用程式的方法和相應地裝置。
[0008] 依據本發明的一個方面，提供了一種根據應用程式聲明特徵識別惡意應用程式的 方法，包括：
[0009] 獲取應用程式的安裝包中的清單文件；
[0010] 統計所述清單文件中記錄的第一清單文件特徵；
[0011] 根據所述應用程式的第一清單文件特徵確定所述應用程式是否為惡意應用程式。
[0012] 可選地，所述清單文件為manifest文件；
[0013] 所述第一清單文件特徵包括如下特徵的至少一種：
[0014] 包名、權限特徵、服務特徵、activity特徵、provider特徵、版本號、receiver特 徵。
[0015] 可選地，所述應用程式聲明的權限特徵包括所述應用程式聲明的權限以及權限數 量；
[0016] 所述應用程式聲明的服務特徵包括所述應用程式聲明的服務以及服務數量；
[0017] 所述activity特徵包括所述應用程式聲明的activity名稱和activity數量；
[0018] 所述provider特徵包括provider名稱和provider數量；
[0019] 所述receiver特徵包括receiver名稱和數量。
[0020] 可選地，所述統計所述清單文件中記錄的第一清單文件特徵，包括：
[0021] 在所述manifest文件的第一欄位處獲取所述應用程式聲明的包名；
[0022] 在所述manifest文件的第二欄位處獲取所述應用程式聲明的權限，並統計權限 數量；
[0023] 在所述manifest文件的第三欄位處獲取所述應用程式聲明的服務，並統計服務 數量；
[0024] 在所述manifest文件的第四欄位處獲取所述應用程式聲明的activity名稱，並 統計activity數量；
[0025] 在所述manifest文件的第五欄位處獲取所述應用程式聲明的provider名稱，並 統計provider數量；
[0026] 在所述manifest文件的第六欄位處獲取所述應用程式聲明的receiver名稱，並 統計receiver數量；
[0027] 在所述manifest文件的第七欄位處獲取所述應用程式聲明的版本號；
[0028] 其中，所述第一欄位為〈package〉，所述第二欄位為〈uses-permission>，所述第 三欄位為〈service〉,所述第四欄位為〈activity〉,所述第五欄位為〈provider〉,所述第六 欄位為〈receiver〉，所述第七欄位為〈version〉。
[0029] 可選地，所述根據所述應用程式的第一清單文件特徵確定所述應用程式是否為惡 意應用程式，包括：
[0030] 在預置的特徵庫中查找與所述應用程式聲明的包名對應的二清單文件特徵的範 圍，並判斷所述應用程式聲明的第一清單文件特徵是否與所述第二清單文件特徵匹配；
[0031] 當所述應用程式聲明的第一清單文件特徵與所述第二清單文件特徵匹配時，判定 所述應用程式為惡意應用程式；
[0032] 當所述應用程式聲明的第一清單文件特徵與所述第二清單文件特徵不匹配時，判 定所述應用程式為非惡意程序。
[0033] 可選地，所述根據所述應用程式的第一清單文件特徵確定所述應用程式是否為惡 意應用程式，包括：
[0034] 通過在本地預置的安全識別庫中查詢是否存在與所述第一清單文件特徵相匹配 的記錄確定所述應用程式是否為惡意應用程式。
[0035] 可選地，確定所述應用程式是否為惡意應用程式之後，所述方法還包括：
[0036] 提示用戶所述應用程式為惡意應用程式，並禁止用戶進行安裝；
[0037] 或，
[0038] 清除所述應用程式。
[0039] 依據本發明的一個方面，還提供了一種根據應用程式聲明特徵識別惡意應用程式 的裝置，包括：
[0040] 文件獲取模塊，適於獲取應用程式的安裝包中的清單文件；
[0041] 信息統計模塊，適於統計所述清單文件中記錄的第一清單文件特徵；
[0042] 識別模塊，適於根據所述應用程式的第一清單文件特徵確定所述應用程式是否為 惡意應用程式。
[0043] 可選地，所述清單文件為manifest文件；
[0044] 所述第一清單文件特徵包括如下特徵的至少一種：
[0045] 包名、權限特徵、服務特徵、activity特徵、provider特徵、版本號、receiver特 徵。
[0046] 可選地，所述應用程式聲明的權限特徵包括所述應用程式聲明的權限以及權限數 量；
[0047] 所述應用程式聲明的服務特徵包括所述應用程式聲明的服務以及服務數量；
[0048] 所述activity特徵包括所述應用程式聲明的activity名稱和activity數量；
[0049] 所述provider特徵包括provider名稱和provider數量；
[0050] 所述receiver特徵包括receiver名稱和數量。
[0051] 可選地，所述信息統計模塊，包括：
[0052] 第一統計單元，適於在所述manifest文件的第一欄位處獲取所述應用程式聲明 的包名；
[0053] 第二統計單元，適於在所述manifest文件的第二欄位處獲取所述應用程式聲明 的權限，並統計權限數量；
[0054] 第三統計單元，適於在所述manifest文件的第三欄位處獲取所述應用程式聲明 的服務，並統計服務數量；
[0055] 第四統計單元，適於在所述manifest文件的第四欄位處獲取所述應用程式聲明 的activity名稱，並統計activity數量；
[0056] 第五統計單元，適於在所述manifest文件的第五欄位處獲取所述應用程式聲明 的provider名稱，並統計provider數量；
[0057] 第六統計單元，適於在所述manifest文件的第六欄位處獲取所述應用程式聲明 的receiver名稱，並統計receiver數量；
[0058] 第七統計單元，適於在所述manifest文件的第七欄位處獲取所述應用程式聲明 的版本號；
[0059] 其中，所述第一欄位為〈package〉，所述第二欄位為〈uses-permission>，所述第 三欄位為〈service〉,所述第四欄位為〈activity〉,所述第五欄位為〈provider〉,所述第六 欄位為〈receiver〉，所述第七欄位為〈version〉。
[0060] 可選地，所述識別模塊，包括：
[0061] 識別單元，適於在預置的特徵庫中查找與所述應用程式聲明的包名對應的二清單 文件特徵的範圍，並判斷所述應用程式聲明的第一清單文件特徵是否與所述第二清單文件 特徵匹配；
[0062] 第一判定單元，適於當所述應用程式聲明的第一清單文件特徵與所述第二清單文 件特徵匹配時，判定所述應用程式為惡意應用程式；
[0063] 第二判定單元，適於當所述應用程式聲明的第一清單文件特徵與所述第二清單文 件特徵不匹配時，判定所述應用程式為非惡意程序。
[0064] 可選地，所述識別模塊還具體適於按照如下方式根據所述應用程式的第一清單文 件特徵確定所述應用程式是否為惡意應用程式：
[0065] 通過在本地預置的安全識別庫中查詢是否存在與所述第一清單文件特徵相匹配 的記錄確定所述應用程式是否為惡意應用程式。
[0066] 可選地，所述裝置還包括：
[0067] 查殺模塊，適於提示用戶所述應用程式為惡意應用程式，並禁止用戶進行安裝；
[0068] 或，
[0069] 清除所述應用程式。
[0070] 本發明提供了一種根據應用程式聲明特徵識別惡意應用程式的方法和裝置，通過 獲取應用程式的安裝包中的清單文件，統計清單文件中記錄的第一清單文件特徵，根據應 用程序的第一清單文件特徵確定該應用程式是否為惡意應用程式，該種識別方法，根據惡 意程序會在清單文件中聲明其不應具有的特徵進行惡意應用程式的識別，解決用戶在不知 情的情況下安裝具有高權限的惡意應用程式的問題，識別時運算量小，速度快。
[0071] 上述說明僅是本發明技術方案的概述，為了能夠更清楚了解本發明的技術手段， 而可依照說明書的內容予以實施，並且為了讓本發明的上述和其它目的、特徵和優點能夠 更明顯易懂，以下特舉本發明的【具體實施方式】。
[0072] 根據下文結合附圖對本發明具體實施例的詳細描述，本領域技術人員將會更加明 了本發明的上述以及其他目的、優點和特徵。

【專利附圖】

【附圖說明】
[0073] 通過閱讀下文優選實施方式的詳細描述，各種其他的優點和益處對於本領域普通 技術人員將變得清楚明了。附圖僅用於示出優選實施方式的目的，而並不認為是對本發明 的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中：
[0074] 圖1是本發明一個實施例提供的一種根據應用程式聲明特徵識別惡意應用程式 的方法流程圖；
[0075] 圖2是本發明一個實施例提供的一種根據應用程式聲明特徵識別惡意應用程式 的具體方法流程圖；
[0076] 圖3是本發明一個實施例提供的一種根據應用程式聲明特徵識別惡意應用程式 的裝置結構框圖。

【具體實施方式】
[0077] 下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開 的示例性實施例，然而應當理解，可以以各種形式實現本公開而不應該被這裡闡述的實施 例所限制。相反，提供這些實施例是為了能夠透徹地理解本公開，並且能夠將本公開的範圍 完整的傳達給本領域的技術人員。
[0078] 實施例一
[0079] 本發明實施例提供了一種根據應用程式聲明特徵識別惡意應用程式的方法。其可 以通過對在終端設備上安裝的惡意程序查殺工具進行改進來實現。例如，本實施例中的終 端設備可以為PC (Personal Computer，個人計算機），手機，平板、手持電腦等用戶移動終端 設備。
[0080] 圖1是本實施例提供的一種根據應用程式聲明特徵識別惡意應用程式的方法流 程圖。該方法具體包括步驟S102至步驟S106。
[0081] S102 :獲取應用程式的安裝包中的清單文件。
[0082] S104 :統計清單文件中記錄的第一清單文件特徵。
[0083] S106:根據上述應用程式的第一清單文件特徵確定該應用程式是否為惡意應用程 序。
[0084] 本發明提供了一種根據應用程式聲明特徵識別惡意應用程式的方法，通過獲取應 用程序的安裝包中的清單文件，統計清單文件中記錄的第一清單文件特徵，根據應用程式 的第一清單文件特徵確定該應用程式是否為惡意應用程式，該種識別方法，根據惡意程序 會在清單文件中聲明其不應具有的特徵進行惡意應用程式的識別，解決用戶在不知情的情 況下安裝具有高權限的惡意應用程式的問題，識別時運算量小，速度快。
[0085] 實施例二
[0086] 本實施例為上述實施例一的一種具體應用場景，通過本實施例，能夠更加清楚、具 體地闡述本發明所提供的方法。
[0087] 本實施例所提供的惡意應用程式的識別方法，可通過在移動終端中安裝的惡意程 序查殺軟體實現。通過惡意查殺軟體對移動終端下載、即將安裝或已經安裝的應用程式進 行識別，以提高移動終端的安全性。
[0088] 同時，還可以結合AVE引擎、AVM引擎、雲查殺引擎、機器學習引擎等對手機上已經 安裝的應用程式進行掃描。
[0089] 可以通過多個殺毒引擎進行病毒檢測，驅動多個病毒引擎聯合進行病毒檢測； 將opcode序列與多個病毒引擎的病毒庫文件中的記錄進行匹配，如果匹配成功則判斷 opcode序列包含病毒，多個病毒引擎包括：AVE引擎、AVM引擎、雲查殺引擎、機器學習引擎 等等。
[0090] 病毒引擎可以包括：服務端和客戶端，例如，雲查殺引擎等等包括伺服器端查殺工 具和客戶端查殺工具。服務端通過將opcode序列與病毒庫文件中的記錄匹配進行病毒檢 測，將病毒檢測結果下發到客戶端，並提供修複方案，修複方案包括：文件類型、與文件類型 對應的查殺方法等等，客戶端可以根據修複方案進行查殺病毒。客戶端可以安裝在手機、 PC、PAD等上，通過手機端等上的客戶端查殺引擎，或者是手機端等上的應用分發平臺等工 具，為用戶提供可靠的移動網際網路安全服務。
[0091] 圖2是本發明一個實施例提供的一種根據應用程式聲明特徵識別惡意應用程式 的方法流程圖，該方法包括步驟S201至S207。
[0092] 在步驟S201中，當檢測到預設事件發生時，觸發對於預設應用程式的惡意程序查 殺操作。
[0093] 其中，上述預設事件可以包括，但不限於：
[0094] 當惡意程序查殺軟體的查殺功能或者掃描功能被觸發時。
[0095] 例如，可以是用戶手動激活惡意程序查殺軟體的查殺功能，希望對移動終端中的 惡意應用程式進行查殺或掃描時，開始執行本發明所提供的惡意程序的識別方法。
[0096] 或者，預設事件還可以是：當移動終端下載某一個應用程式的安裝包完成時。
[0097] 例如，惡意程序查殺軟體可以設置為，當檢測到有任意文件下載完成時，均對其進 行惡意程序的掃描，以保證移動終端的作業系統的安全性。
[0098] 又或者，預設事件還可以是：當作業系統中發生異常時，觸發對於惡意程序的查殺 操作。
[0099] 例如，當用戶的移動終端中頻繁的出現廣告彈窗或聯繫人信息被惡意讀取，則說 明作業系統中有惡意程序產生了惡意行為，對用戶造成困擾，這時需要觸發惡意程序查殺 工具的查殺功能。
[0100] 其中，對於識別應用程式是否為惡意應用程式，觸發的可以為對一個特定應用程 序的識別，也可以是對多個應用程式的識別。對於每個應用程式的識別方式相同，本實施例 以對其中任意一個應用程式進行識別的操作。
[0101] 在查殺操作被觸發後，即開始執行惡意應用程式的識別操作，執行步驟S202,按照 應用程式的安裝包的壓縮格式對該安裝包進行解壓。
[0102] 需要說明的是，在安卓作業系統中，對於應用程式的管理均是以apk的形式，在 apk中包含該應用程式的全部信息，下面對apk進行說明：
[0103] 在本發明的實施例中，安裝包會包括如下信息：應用程式的安裝包的包名、版本 號、開發者籤名、An droid組件receiver的特徵，Android組件service的特徵，provider特 徵，Android組件activity的特徵，可執行文件中的指令或字符串，安裝包目錄下各文件的 MD5值，其中，所述可執行文件包括Dex文件，和/或，ELF文件；所述Dex文件包括classes, dex文件，擴展名為.jar的文件，以及，Dex格式的文件。
[0104] 其中，在本實施例中，第一清單文件特徵可以包括上述特徵中的：
[0105] 安裝包的包名、版本號、Android組件receiver的特徵，Android組件service的 特徵，provider特徵，Android組件activity的特徵。
[0106] 1)安裝包的包名
[0107] Android作業系統通過APK的包名（package name)對各個安裝的APK進行管理。 "包名"源自於Java的package的概念，按照Java的package的命名風格，例如某個An droid 安裝包的包名是com. qihoo360. mobiIesafe。Android系統要求每個應用程式都聲明一個 唯一的安裝包的包名。如果要安裝的APK的包名和當前手機上某個已有的應用程式的安裝 包的包名重複了，那麼Android系統會拒絕安裝。Android平臺下的山寨應用程式也需要聲 明一個包名，因此，包名就可以作為識別山寨應用程式的一個特徵。
[0108] 2)開發者籤名
[0109] 出於安全性的目的，Android系統要求每個APK都要包含開發者籤名（digital signature)。Android系統在安裝APK文件的時候會檢查APK內部各文件的開發者籤名是 否與其預先設定的開發者籤名一致，如果不一致，或者沒有開發者籤名，則認為文件已被篡 改，拒絕該APK的安裝和運行。Android平臺下的山寨應用程式也不例外，所以APK文件的 開發者籤名也可以作為識別山寨應用程式的一個特徵。
[0110] 上述應用程式的開發者籤名，也可稱為代碼籤名，是在應用程式上附加一個防偽 和防篡改的開發者籤名來保護應用程式不被惡意修改。如果已安裝的應用程式的開發者籤 名與應用程式的官方的開發者籤名不一致，則可以認為已安裝的應用程式可能被惡意修改 過，該應用程式是山寨應用程式。在提取開發者籤名時，對於安卓應用而言，可以從程序安 裝包中的元信息（META-INF)目錄下提取，META-INF目錄用於存儲包和擴展的配置數據，例 如安全性信息和版本信息，其中開發者籤名就存儲於此。META-INF目錄如下表所示：
[0111]

【權利要求】
1. 一種根據應用程式聲明特徵識別惡意應用程式的方法，包括： 獲取應用程式的安裝包中的清單文件； 統計所述清單文件中記錄的第一清單文件特徵； 根據所述應用程式的第一清單文件特徵確定所述應用程式是否為惡意應用程式。
2. 根據權利要求1所述的方法，其中， 所述清單文件為manifest文件； 所述第一清單文件特徵包括如下特徵的至少一種： 包名、權限特徵、服務特徵、activity特徵、provider特徵、版本號、receiver特徵。
3. 根據權利要求2所述的方法，其中，所述應用程式聲明的權限特徵包括所述應用程 序聲明的權限W及權限數量； 所述應用程式聲明的服務特徵包括所述應用程式聲明的服務W及服務數量； 所述activity特徵包括所述應用程式聲明的activity名稱和activity數量； 所述provider特徵包括provider名稱和provider數量； 所述receiver特徵包括receiver名稱和數量。
4. 根據權利要求3所述的方法，其中，所述統計所述清單文件中記錄的第一清單文件 特徵，包括： 在所述manifest文件的第一欄位處獲取所述應用程式聲明的包名； 在所述manifest文件的第二欄位處獲取所述應用程式聲明的權限，並統計權限數量； 在所述manifest文件的第H欄位處獲取所述應用程式聲明的服務，並統計服務數量； 在所述manifest文件的第四欄位處獲取所述應用程式聲明的activity名稱，並統計 activity 數量； 在所述manifest文件的第五欄位處獲取所述應用程式聲明的provider名稱，並統計 provider 數量； 在所述manifest文件的第六欄位處獲取所述應用程式聲明的receiver名稱，並統計 receiver 數量； 在所述manifest文件的第走欄位處獲取所述應用程式聲明的版本號； 其中，所述第一欄位為〈package〉，所述第二欄位為<uses-permission〉，所述第H字 段為〈service〉，所述第四欄位為〈activity〉，所述第五欄位為〈provider〉，所述第六欄位 為〈receiver〉,所述第走欄位為〈version〉。
5. 根據權利要求4所述的方法，其中，所述根據所述應用程式的第一清單文件特徵確 定所述應用程式是否為惡意應用程式，包括： 在預置的特徵庫中查找與所述應用程式聲明的包名對應的二清單文件特徵的範圍，並 判斷所述應用程式聲明的第一清單文件特徵是否與所述第二清單文件特徵匹配； 當所述應用程式聲明的第一清單文件特徵與所述第二清單文件特徵匹配時，判定所述 應用程式為惡意應用程式； 當所述應用程式聲明的第一清單文件特徵與所述第二清單文件特徵不匹配時，判定所 述應用程式為非惡意程序。
6. -種根據應用程式聲明特徵識別惡意應用程式的裝置，包括： 文件獲取模塊，適於獲取應用程式的安裝包中的清單文件； 信息統計模塊，適於統計所述清單文件中記錄的第一清單文件特徵； 識別模塊，適於根據所述應用程式的第一清單文件特徵確定所述應用程式是否為惡意 應用程式。
7. 根據權利要求6所述的裝置，其中， 所述清單文件為manifest文件； 所述第一清單文件特徵包括如下特徵的至少一種： 包名、權限特徵、服務特徵、activity特徵、provider特徵、版本號、receiver特徵。
8. 根據權利要求7所述的裝置，其中，所述應用程式聲明的權限特徵包括所述應用程 序聲明的權限W及權限數量； 所述應用程式聲明的服務特徵包括所述應用程式聲明的服務W及服務數量； 所述activity特徵包括所述應用程式聲明的activity名稱和activity數量； 所述provider特徵包括provider名稱和provider數量； 所述receiver特徵包括receiver名稱和數量。
9. 根據權利要求8所述的裝置，其中，所述信息統計模塊，包括： 第一統計單元，適於在所述manifest文件的第一欄位處獲取所述應用程式聲明的包 名； 第二統計單元，適於在所述manifest文件的第二欄位處獲取所述應用程式聲明的權 限，並統計權限數量； 第H統計單元，適於在所述manifest文件的第H欄位處獲取所述應用程式聲明的服 務，並統計服務數量； 第四統計單元，適於在所述manifest文件的第四欄位處獲取所述應用程式聲明的 activity名稱，並統計activity數量； 第五統計單元，適於在所述manifest文件的第五欄位處獲取所述應用程式聲明的 provider名稱，並統計provider數量； 第六統計單元，適於在所述manifest文件的第六欄位處獲取所述應用程式聲明的 receiver名稱，並統計receiver數量； 第走統計單元，適於在所述manifest文件的第走欄位處獲取所述應用程式聲明的版 本號； 其中，所述第一欄位為〈package〉，所述第二欄位為<uses-permission〉，所述第H字 段為〈service〉，所述第四欄位為〈activity〉，所述第五欄位為〈provider〉，所述第六欄位 為〈receiver〉,所述第走欄位為〈version〉。
10. 根據權利要求9所述的裝置，其中，所述識別模塊，包括： 識別單元，適於在預置的特徵庫中查找與所述應用程式聲明的包名對應的二清單文件 特徵的範圍，並判斷所述應用程式聲明的第一清單文件特徵是否與所述第二清單文件特徵 匹配； 第一判定單元，適於當所述應用程式聲明的第一清單文件特徵與所述第二清單文件特 徵匹配時，判定所述應用程式為惡意應用程式； 第二判定單元，適於當所述應用程式聲明的第一清單文件特徵與所述第二清單文件特 徵不匹配時，判定所述應用程式為非惡意程序。
【文檔編號】G06F21/56GK104462971SQ201410788239
【公開日】2015年3月25日 申請日期:2014年12月17日 優先權日:2014年12月17日
【發明者】程文坤 申請人:北京奇虎科技有限公司, 奇智軟體（北京）有限公司