[发明专利]一种恶意应用程序检测方法、装置、电子设备和介质

说明书

本公开涉及一种恶意应用程序检测方法、装置、电子设备和介质。其中，恶意应用程序检测方法，包括：实时监控进程的内存值；将所述内存值发送至应用检测端，以使所述应用检测端基于所述内存值确定第一预设时间内内存值变化异常的目标进程，并将所述目标进程对应的应用程序确定为恶意应用程序，其中，所述第一预设时间包括目标应用程序安装成功的时刻，所述目标应用程序包括病毒应用程序或多个非病毒应用程序。本公开实施例通过对进程内存值的检测，实现了对恶意应用程序的准确定位。

技术领域

本公开涉及计算机技术领域，尤其涉及一种恶意应用程序检测方法、装置、电子设备和介质。

背景技术

随着通信技术的发展，移动终端，如智能手机、平板电脑等设备的应用也越来越为普遍。但是，由于安卓系统的开放性和碎片化，也带来了一些信息安全的问题。

目前，一些恶意软件或恶意软件开发工具包会静默强制安装一些应用到用户手机。例如，第三方应用程序接入了恶意软件时，一般会通过系统漏洞来提安装权限，然后静默安装恶意渠道的应用程序(如病毒应用程序)。又如，系统应用程序接入了恶意软件开发工具包时，因系统应用程序具有安装权限，所以恶意软件开发工具包中存在的恶意代码便可以启动安装动作，从而安装恶意渠道的应用程序。因为第三方应用程序和系统应用程序较多，特别是系统应用程序具有安装权限，所以对于如何定位到某个第三方应用程序或系统应用程序存在恶意行为是比较困难的。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种恶意应用程序检测方法、装置、电子设备和介质。

本公开提供了一种恶意应用程序检测方法，包括：

实时监控进程的内存值；

将所述内存值发送至应用检测端，以使所述应用检测端基于所述内存值确定第一预设时间内内存值变化异常的目标进程，并将所述目标进程对应的应用程序确定为恶意应用程序，其中，所述第一预设时间包括目标应用程序安装成功的时刻，所述目标应用程序包括病毒应用程序或多个非病毒应用程序。

可选的，所述应用检测端设置在移动终端或服务器中。

可选的，当所述应用检测端设置在服务器中时，在实时监控进程的内存值之前，还包括：

向所述应用检测端发送监控请求；

接收所述应用检测端响应于所述监控请求返回的开关状态，其中所述开关状态包括开或关；

当所述开关状态为开时，实时监控进程的内存值；

当所述开关状态为关时，不监控进程的内存值。

可选的，所述开关状态基于预设管理应用程序的应用版本、终端型号和系统固件的版本号中的一个或多个进行配置。

可选的，所述恶意应用程序检测方法还包括：

实时监听所述目标应用程序安装成功的广播；

当监听到所述目标应用程序安装成功的广播时，基于预设应用黑名单判断所述目标应用程序是否为病毒应用程序，其中，所述预设应用黑名单包括一个或多个病毒应用程序的标识信息；

当所述目标应用程序为病毒应用程序时，将所述目标应用程序的相关信息发送至所述应用检测端，以使所述应用检测端在接收到所述目标应用程序的相关信息后，基于所述内存值确定第一预设时间内内存值变化异常的目标进程。

可选的，在基于预设应用黑名单判断所述目标应用程序是否为病毒应用程序之前，还包括：

在触发应用黑名单获取事件时，从服务器获取所述预设应用黑名单。

可选的，所述恶意应用程序检测方法还包括：