[发明专利]应用程序样本检测方法及装置

说明书

本发明实施例提供一种应用程序样本检测方法及装置。其中，该方法包括：收集应用程序样本；对应用程序样本进行检测，得到检测结果；其中，检测包括盗版检测、静态权限检测、漏洞检测、隐私检测、内容检测、攻陷指标检测和恶意样本检测之中的至少两种。本方法通过对应用程序样本进行多维度检测，可以有效提升检测结果的准确性。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种应用程序样本检测方法及装置。

背景技术

随着互联网技术和移动应用技术的发展，智能手机得到了快速普及。目前智能手机以其日益强大的计算能力、网络传输能力、功能繁多的应用能力极大地改变着人们的生活。与此同时，越来越多的恶意软件正迅速渗透到应用程序市场，企图获取智能手机用户的个人信息或者传播不良信息。因此，移动安全样本检测方法应运而生。

目前移动安全样本检测方法主要通过各大手机应用商店或者市场爬取公开市场手机(Android)样本，并对其进行存储；利用静态特征检测移动安全样本是否是可信的。

现有的移动安全样本检测方法存在一定的缺陷：比如，样本收集的广度不够，只专注于手机样本的收集，忽略了物联网市场样本的收集，同时忽略了维护一些长尾市场的收集；样本收集的信息不足，单纯地对样本进行存储，而未对样本涉及到的开发者信息及下载量等信息进行存储与数据挖掘；又比如，检测的维度比较少，缺乏内容检测和隐私检测，在盗版软件识别方面存在不足；再比如，数据利用方面不足，缺少根据大量陷指标数据与移动高级持续性威胁线索对收集的样本进行监控与挖掘。

发明内容

针对现有技术中的问题，本发明实施例提供一种应用程序样本检测方法及装置。

具体地，本发明实施例提供了以下技术方案：

第一方面，本发明实施例提供了一种应用程序样本检测方法，包括：收集应用程序样本；对所述应用程序样本进行检测，得到检测结果；其中，所述检测包括盗版检测、静态权限检测、漏洞检测、隐私检测、内容检测、攻陷指标数据检测和恶意样本检测之中的至少两种。

进一步地，对所述应用程序样本进行盗版检测，得到检测结果，包括：收集与所述应用程序样本对应的应用程序样本文件信息及概要信息；对所述应用程序样本进行解析，得到解析的应用程序样本文件信息；将收集的应用程序样本文件信息和所述解析的应用程序样本文件信息整合，得到整合的应用程序样本文件信息；根据所述整合的应用程序样本文件信息和对应的概要信息得到白名单信息，所述白名单信息为初步安全的样本信息；根据所述白名单信息对所述应用程序样本进行盗版检测，得到标记盗版的应用程序样本。

进一步地，对所述应用程序样本进行静态权限检测，得到检测结果，包括：对所述应用程序样本的权限进行检测，标记所述权限为高危、中危或低危；根据标记的权限，得到静态权限检测报告。

进一步地，对所述应用程序样本进行漏洞检测，得到检测结果，包括：对所述应用程序样本的漏洞进行检测，标记所述漏洞为高危、中危或低危；根据标记的漏洞，得到漏洞检测报告。

进一步地，所述对所述应用程序样本进行隐私检测，得到检测结果，包括：监控所述应用程序样本是否存在主动获取用户敏感信息的行为；根据所述应用程序样本的行为，得到隐私检测报告。

进一步地，所述对所述应用程序样本进行内容检测，得到检测结果，包括：对所述应用程序样本进行色情软件检测、博彩软件检测和流氓软件检测；根据所述内容检测，得到对应标记的应用程序样本。

进一步地，所述对所述应用程序样本进行攻陷指标检测，得到检测结果，包括：将触发的攻陷指标与已知高级持续性威胁的历史攻陷指标库进行匹配，得到第一已知高级持续性威胁组织；和/或，将触发所述攻陷指标的动态行为与动态高级持续性威胁特征进行匹配，得到第二已知高级持续性威胁组织；根据所述第一已知高级持续性威胁组织和/或所述第二已知高级持续性威胁组织，得到攻陷指标检测报告。