[发明专利]APP检测未知行为采集及判断方法

摘要

本发明关于一种APP检测未知态样采集及判断方法，主要在行动应用APP程式安全检测时，针对未知的检测结果，进行双线测试并且将双线测试的结果互相比对，藉由互相比对推论正确收敛结果的一种方法。

主权项

1.一种APP检测未知行为采集及判断方法，其特征在于，以电脑设备与程序进行运作，以一检验双重通道模型，将同一APP进行两组不同检验引擎，使其产出两组结果，再将这两组结果做交叉比对，确认APP是否为恶意APP；包括以下步骤：/n(1)将APP以传输或复制方式放入待测的工作区域或服务器的特定储存区域中；/n(2)经由分析系统A所定义的规范与分析系统B所定义的规范分析APP的动态行为是否为恶意动态行为；/n(3)接收来自步骤(2)的分析结果并进行以下判断工作：/n(A)分析系统A与B所产生的分析安全线索规则集合A′与B′的动态恶意行为吻合及APP的原始出处位置产生交集，也就是分析系统A与分析系统B以不同规则但均检测出同一位置的同一安全问题，亦即落在a区，则利用可信度高的快筛规则进行动态恶意判断；/n(B)分析系统A与B所产生的分析安全线索规则集合A ′ 与B ′ 的静态关键控制码吻合及APP的原始出处位置产生交集，也就是分析系统A与分析系统B以不同规则但均检测出同一位置的同一安全问题，亦即落在b区，则利用可信度高的快筛规则进行静态恶意判断；/n(C)分析系统A与B所产生的分析安全线索规则集合A′与B′的静态关键控制码吻合且动态恶意行为及APP的原始出处位置产生交集，也就是分析系统A与分析系统B以不同规则但均检测出同一位置的同一安全问题，亦即落在e区，则视为依据共同安全线索得到的移动应用安全检测可信结果；/n(D)动态恶意行为或静态关键控制码不吻合时将分析安全线索规则集合A′与B′不吻合的线索如d区与c区，均被视为未检出或规则定义与检测方法设计不良所致，将另以档案或资料库格式独立储存，并标出原始检测规则、该APP吻合规则的位置、以及APP名称、档案范本，以供后续比对判断；/n(E)动态恶意行为及静态关键控制码不吻合时将分析安全线索规则集合A′与B′不吻合的线索如f区，均被视为未检出且规则定义未符合，但几何距离相近，将另以档案或资料库格式独立储存，并标出原始检测规则、该APP吻合规则的位置、以及APP名称、档案范本，并进行人工比对与重复检测确认线索，并且在确认后纳入规则与检测方法。/n