[发明专利]一种应用的识别方法和装置

说明书

本发明公开了一种应用的识别方法和装置，建立合法应用列表和非法应用列表；并分别确定合法应用列表和非法应用列表中各应用的基本信息和特征信息；根据待识别应用的基本信息与合法应用列表和非法应用列表中各应用的基本信息是否匹配，确定所述待识别应用的合法性；所述待识别应用基本信息与合法应用列表和非法应用列表中各应用的基本信息均不匹配时，根据所述待识别应用的基本信息和/或特征信息，以及所述合法应用列表和/或非法应用列表中各应用的基本信息和/或特征信息，按照预设规则确定所述待识别应用的合法性。本发明还公开了一种应用的识别装置。

技术领域

本发明涉及移动应用安全领域，尤其涉及一种应用的识别方法和装置。

背景技术

移动互联网应用快速普及，同时，面临的安全威胁也日益严峻；尤其是近年来移动支付业务飞跃发展，巨大的利益空间促使非法组织通过模仿、二次打包、篡改植入等方式发布非法应用。所谓非法应用，通常称为山寨应用，是指对官方应用进行篡改或模仿后重新发布的伪装应用，诱骗终端用户下载使用，达到破坏或获取非法利益的目的，可能对正版应用的开发者、运营者及终端用户的利益造成严重侵害。

公开数据显示，2015年移动应用的非法制作情况十分猖獗，尤其是Android类应用；平均每款正版应用对应92个盗版APP，其中每款软件类应用对应100个盗版，每款游戏类应用对应66个盗版；与2014年相比，这项数据平均增长了3.5倍；应用的知名度越高，下载量越大，对应的非法应用数量越多；造成该问题的主要原因在于：

1、缺乏完整有效的官方应用白名单特征库，导致非法应用监测无据可依，缺少分析基准；

2、现有非法应用的监测分析技术方法在实际业务运用中存在不足，目标范围太广，现阶段采用的技术方案需要投入的网络资源、硬件设备资源较大；

3、不能清除用户终端上已装非法应用，缺少非法应用的抑制手段。

通过对现有技术的文献检索发现，现有技术中一类技术方案多是通过网络爬虫的方式，从应用发布商城、网络论坛、网页等渠道爬取应用信息，下载应用样本，每次对下载后的应用样本进行解包、特征信息提取、归类、存储。当有官方正版应用需要监测是否存在非法应用时，将正版应用的特征信息提取出来，通过算法规则与已存储的样本库对比分析，发现非法应用或疑似非法应用。此类技术方案需要有较大的网络和硬件设备资源支撑，现阶段国内排名前十的主流的应用发布商城上应用样本数量均超过30万款，如果按平均每款应用20MB大小计算，则需要的应用样本存储空间至少为5.7TB，加上应用解包及特征信息的存储，则单个应用商城上的应用存储空间至少需要12TB；此外，还需要较大的带宽资源才能完成应用的快速更新爬取，因此，实现非法应用识别发现的建设成本较高。

另一类技术方案是先爬取应用发布网页信息，获取应用的基本信息如名称、描述、版本、类别、作者等信息归类后入库；当有官方正版应用需要监测盗版时，先对正版应用的基本特征信息提取，与应用信息库数据对比分析，得出需要进一步对比分析的应用集合，然后再由爬虫引擎将应用从互联网下载至本地，之后提取下载应用的特征信息，通过算法规则分析出非法应用和疑似非法应用。此类方案较前面一类方案在资源上有较大节省，但实效性较差，由于没有建立统一的正版应用白名单库，在比对分析时仍存在数据遗漏的现象。

综上，现有非法应用识别方法的不足之处在于：

1、分析范围从互联网入口，通过网络爬虫的方式从海量应用集合中根据算法规则寻找非法应用，由于目标体量大，需要投入的资源成本高，且非法应用的识别覆盖率不高；

2、在识别算法方面，现有技术方案基于应用二进制文件特征或名称分词相似度或基本属性比对等方案；未对应用的内容特征做关联分析，识别的准确率存在不足；

3、现有非法应用识别的技术方案是针对具体某一款正版应用，从海量的未知应用中根据算法规则进行匹配得出非法应用集合；此方案一方面识别耗时的周期长，另外无法针对智能终端上所有已安装应用进行一次性批量识别分析；