[发明专利]根据应用程序声明特征识别恶意应用程序的方法和装置

说明书

技术领域

本发明涉及计算机技术领域，具体涉及一种根据应用程序声明特征识别恶意应用程序的方法和装置。

背景技术

目前，手机、平板电脑等移动终端应用越来越广。Android是一种基于开源协议的移动终端操作系统，经过多年的发展，它已经相当成熟并可提供诸多功能。

在Android发展的过程中，针对Android的恶意程序也越来越多。目前，对于恶意程序的识别方法主要通过提取应用程序的可执行代码特征，再通过杀毒引擎进行识别，但是仍然难免存在漏网之鱼。

为了提高用户的安全性，Android也提供了一些安全保护机制。例如，规定应用程序需要在其安装包中声明其需要使用操作系统中哪些权限、需要使用操作系统中的哪些服务，并交给用户确认。但是一般的用户在安装应用程序时，可能不会认真核对，且对于一般的用户来说，也难以理解这些声明信息。

而恶意的应用程序，也会利用这一机制，在操作系统中要求较高的权限，进而执行一些恶意行为。例如，有些恶意应用程序，其功能与发送短信无关，却会在操作系统中要求发送短信的权限，进而发现一些扣费短信，导致用户损失。

而在目前阶段，并不存在针对这一类恶意应用程序的识别方法。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种根据应用程序声明特征识别恶意应用程序的方法和相应地装置。

依据本发明的一个方面，提供了一种根据应用程序声明特征识别恶意应用程序的方法，包括：

获取应用程序的安装包中的清单文件；

统计所述清单文件中记录的第一清单文件特征；

根据所述应用程序的第一清单文件特征确定所述应用程序是否为恶意应用程序。

可选地，所述清单文件为manifest文件；

所述第一清单文件特征包括如下特征的至少一种：

包名、权限特征、服务特征、activity特征、provider特征、版本号、receiver特征。

可选地，所述应用程序声明的权限特征包括所述应用程序声明的权限以及权限数量；

所述应用程序声明的服务特征包括所述应用程序声明的服务以及服务数量；

所述activity特征包括所述应用程序声明的activity名称和activity数量；

所述provider特征包括provider名称和provider数量；

所述receiver特征包括receiver名称和数量。

可选地，所述统计所述清单文件中记录的第一清单文件特征，包括：

在所述manifest文件的第一字段处获取所述应用程序声明的包名；

在所述manifest文件的第二字段处获取所述应用程序声明的权限，并统计权限数量；

在所述manifest文件的第三字段处获取所述应用程序声明的服务，并统计服务数量；

在所述manifest文件的第四字段处获取所述应用程序声明的activity名称，并统计activity数量；

在所述manifest文件的第五字段处获取所述应用程序声明的provider名称，并统计provider数量；

在所述manifest文件的第六字段处获取所述应用程序声明的receiver名称，并统计receiver数量；

在所述manifest文件的第七字段处获取所述应用程序声明的版本号；

其中，所述第一字段为<package>，所述第二字段为<uses-permission>，所述第三字段为<service>，所述第四字段为<activity>，所述第五字段为<provider>，所述第六字段为<receiver>，所述第七字段为<version>。

可选地，所述根据所述应用程序的第一清单文件特征确定所述应用程序是否为恶意应用程序，包括：

在预置的特征库中查找与所述应用程序声明的包名对应的二清单文件特征的范围，并判断所述应用程序声明的第一清单文件特征是否与所述第二清单文件特征匹配；

当所述应用程序声明的第一清单文件特征与所述第二清单文件特征匹配时，判定所述应用程序为恶意应用程序；

当所述应用程序声明的第一清单文件特征与所述第二清单文件特征不匹配时，判定所述应用程序为非恶意程序。