[发明专利]恶意应用的检测方法及装置

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及恶意应用的检测方法及装置。

背景技术

传统恶意应用的检测方式主要是获取恶意应用路径或具体代码块的内容，并与预设特征内容进行匹配，如果匹配成功，则确定为恶意应用。但是，恶意应用的制作者在对恶意应用的不断维护过程中，使用了更多的混淆、加密等对抗处理手段，基于路径的检测方式如果混淆则无法有效检出恶意应用；基于代码块的检测方式，对于加密的字串，检测效果也不太理想。另外，随着信息技术的不断发展，恶意应用的类型日渐丰富，为了提高特定应用的恶意应用检出率，需要研究出更多具有针对性的恶意应用的检测方法及装置。

发明内容

本发明的目的在于提供恶意应用的检测方法及装置，主要针对具有UI界面的安卓应用，能有效避免出现恶意应用无法检出的情况。

为了实现上述目的，本发明公开了一种恶意应用的检测方法，包括以下步骤：

预定义文件内容关键字及敏感权限；

解析应用的布局文件，获取布局文件中控件的文字内容；

当检测到布局文件中控件的文字内容包含所述文件内容关键字时，解析该应用的AndroidManifest.xml 配置文件获取该应用的所有权限，当检测到所述AndroidManifest.xml 配置文件包含所述敏感权限时，则判断该应用为恶意应用。

进一步的，所述文件内容关键字及敏感权限由对多种已知恶意应用的统计结果获得。

进一步的，按照预设的规则更新预定义文件内容关键字及敏感权限。

为了实现上述目的，本发明还公开了一种恶意应用的检测装置，其方案如下：一种恶意应用的检测装置，包括预定义模块、解析模块、判断模块，其中：

所述预定义模块用于预定义文件内容关键字及敏感权限；

所述解析模块用于解析应用的布局文件，获取布局文件中控件的文字内容，所述解析模块还用于解析AndroidManifest.xml配置文件，获取该应用的所有权限；

所述判断模块用于当检测到布局文件中控件的文字内容包含所述文件内容关键字时，根据该应用的所有权限判断所述AndroidManifest.xml 配置文件是否包含所述敏感权限，若包含，则判断该应用为恶意应用。

进一步的，所述预设模块还用于按照预设的规则更新预定义文件内容关键字及敏感权限。

对于大型应用，为了提高检测效率，本发明还公开了另一种恶意应用的检测方法，包括以下步骤：

预定义文件名关键字、文件内容关键字及敏感权限；

解析布局文件，获取布局文件的所有文件名及控件的文字内容；

检测获得的布局文件的文件名是否包含所述文件名关键字，若包含所述文件名关键字，则直接进入与该文件名对应的文件，当检测到该文件包含所述文件内容关键字时，解析该应用的AndroidManifest.xml 配置文件获取该应用的所有权限，当检测到所述AndroidManifest.xml 配置文件包含所述敏感权限时，判断该应用为恶意应用；若不包含所述文件名关键字，则按照预设的规则检测布局文件中控件的文字内容是否包含所述文件内容关键字，当检测到布局文件中控件的文字内容包含所述文件内容关键字时，解析该应用的AndroidManifest.xml 配置文件获取该应用的所有权限，当检测到所述AndroidManifest.xml 配置文件包含所述敏感权限时，则判断该应用为恶意应用。

进一步的，若不包含所述文件名关键字，则遍历布局文件中控件的文字内容检测是否包含所述文件内容关键字。

进一步的，按照预设的规则更新预定义文件名关键字、文件内容关键字及敏感权限。

为了实现上述目的，本发明还公开了一种恶意应用的检测装置，其方案如下：

一种恶意应用的检测装置，包括预定义模块、解析模块、判断模块，其中：所述预定义模块用于预定义文件名关键字、文件内容关键字及敏感权限；

所述解析模块用于解析应用的布局文件，获取布局文件的所有文件名及控件的文字内容，所述解析模块还用于解析AndroidManifest.xml配置文件，获取该应用的所有权限；