[发明专利]一种应用程序传播过程的跟踪方法和装置

权利要求书

1.一种应用程序传播过程的跟踪方法，包括：

第一特征服务端接收多个特征终端分别向第一特征服务端发送的对应用程序的安全性的鉴定请求，所述第一特征服务端为基于内网对多个特征终端进行安全管理的服务端；

对所述应用程序的安全性进行鉴定并记录各鉴定请求对应的鉴定信息，所述鉴定信息包括所述应用程序的程序标识、以及发送与所述鉴定信息对应的鉴定请求的特征终端的终端标识和传输所述鉴定请求的时间信息；

当鉴定所述应用程序的安全性为危险文件时，根据所述应用程序的程序标识查找针对所述应用程序的鉴定信息；

根据查找得到的鉴定信息中所述特征终端的终端标识和传输所述鉴定请求的时间信息，对所述应用程序在内网中的传播过程进行跟踪。

2.如权利要求1所述的方法，所述应用程序的程序标识为所述应用程序的可执行文件的哈希值，或唯一标识所述应用程序的发布者的数字证书信息。

3.如权利要求1所述的方法，当查找的鉴定信息包括多个时，所述根据查找得到的鉴定信息中特征终端的终端标识和/或第一特征服务端接收到鉴定请求的时间信息，对应用程序在内网中的传播过程进行跟踪的步骤包括：

提取多个鉴定信息中分别包括时间信息，所述时间信息根据所述第一特征服务端接收到所述鉴定请求的时间或所述特征终端发送所述鉴定请求的时间生成；

在提取的多个时间信息中，查找距离当前时间最远的时间信息；

提取查找的时间信息对应的特征终端的终端标识，作为所述应用程序最早存在的特征终端的终端标识。

4.如权利要求1所述的方法，所述对应用程序的安全性进行鉴定的步骤包括：

所述第一特征服务端对所述应用程序的安全性进行鉴定；

当鉴定所述应用程序的安全性为未知文件时，进一步请求第二特征服务端对所述应用程序的安全性进行鉴定，并接收所述第二特征服务端鉴定的所述应用程序的安全性，所述第二特征服务端为设置在互联网中通过互联网可访问的服务端。

5.如权利要求1所述的方法，当鉴定所述应用程序的安全性为危险文件时，还包括：

进一步请求并接收所述特征终端上报所述应用程序的文件来源、所述应用程序的相关文件在所述特征终端的保存路径或所述应用程序的相关文件在所述特征终端的创建时间中的至少一种信息；

或，向所述特征终端发送通知所述应用程序的安全性的消息，所述特征终端接收到所述消息后，主动上报所述应用程序的文件来源、所述应用程序的相关文件在所述特征终端的保存路径或所述应用程序的相关文件在所述特征终端的创建时间中的至少一种信息。

6.如权利要求5所述的方法，所述文件传播来源包括所述特征终端在内网或互联网中下载的应用程序、所述特征终端从本地存储介质转移的应用程序，或所述特征终端从外接存储介质转移的应用程序。

7.如权利要求4所述的方法，还包括：

所述第一特征服务端记录所述应用程序对应的安全性。

8.如权利要求1所述的方法，还包括：

向内网中的至少一个特征终端发送对所述应用程序对应的可执行文件的获取请求，所述获取请求携带所述应用程序的程序标识，所述可执行文件记录所述应用程序运行时的操作行为；

接收某个特征终端依据所述程序标识查找的所述应用程序对应的可执行文件。