[发明专利]恶意程序的检测方法、装置、计算设备及计算机存储介质

说明书

本发明公开了一种恶意程序的检测方法、装置、计算设备及计算机存储介质。其中，方法包括：在运行待检测程序时，监控所述待检测程序的指令特征；所述指令特征至少包含待测方法调用序列，和/或，各个方法所对应的待测指令序列；将所述待测方法调用序列与已知恶意程序的参考方法调用序列进行匹配；和/或，将所述各个方法所对应的待测指令序列与已知恶意程序的参考指令序列进行匹配；根据匹配结果确定所述待检测程序是否为恶意程序。本发明方案从待检测程序的待测方法调用序列和/或待测指令序列的层面对待检测程序是否为恶意程序进行确定，进而可以准确的对包括利用重打包等手段所导致的恶意变种病毒的待检测程序进行病毒检测。

技术领域

本发明涉及应用安全技术领域，具体涉及一种恶意程序的检测方法、装置、计算设备及计算机存储介质。

背景技术

应用程序在为社会提供大量便捷服务的同时，各种安全问题和行业乱象也层出不穷，例如，恶意吸费、短信钓鱼、盗取支付信息、窃取个人隐私、远程控制、消耗流量、系统破坏等行为，这些行为都严重危害到用户的隐私和财产安全，而存在上述危害用户隐私和财产安全行为的程序即为恶意程序。一般的，恶意程序可以指在用户不知情或未授权的情况下，在移动终端系统中安装、运行以达到某些不正当目的程序，或者指具有违反国家相关法律法规行为的程序。

为防止恶意程序危害用户隐私和财产安全，在现有技术中，一般通过如下方案以检测出恶意程序：根据待检测程序的安卓安装包(AndroidPackage，简称APK)的特征参数，如：待检测APK文件的名称、MD5证书等，若待检测APK和已知恶意程序具备相同或者相近的恶意特征参数，则可以判断该待检测APK为恶意程序。例如：某已知恶意程序的APK文件名称为“XX抢红包”，该程序的MD5为YYY，那么，可以根据待检测程序的这些APK特征参数判断待检测APK是否为恶意程序。

然而，现有技术中至少存在如下不足：部分恶意程序将APK特征参数(比如文件名称)修改为不具有明显恶意特征的参数，从而恶意程序产生病毒变种，导致检测人员不易发现该恶意程序，即：并不是所有的恶意程序都会具有如此明显的特征参量；当由于重打包等手段导致发生病毒变种时，待检测恶意程序中的APK特征参数，如：MD5发生变化时，采用现有技术方案不会检测到该待检测APK。因此，现有技术采用的判断方式过于简单，判断结果不准确，容易产生误判。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的恶意程序的检测方法、装置、计算设备及计算机存储介质。

根据本发明的一个方面，提供了一种恶意程序的检测方法，包括：

在运行待检测程序时，监控所述待检测程序的指令特征；所述指令特征至少包含待测方法调用序列，和/或，各个方法所对应的待测指令序列；

将所述待测方法调用序列与已知恶意程序的参考方法调用序列进行匹配；和/或，将所述各个方法所对应的待测指令序列与已知恶意程序的参考指令序列进行匹配；

根据匹配结果确定所述待检测程序是否为恶意程序。

根据本发明的另一方面，提供了一种恶意程序的检测装置，包括：

监控模块，适于在运行待检测程序时，监控所述待检测程序的指令特征；所述指令特征至少包含待测方法调用序列，和/或，各个装置所对应的待测指令序列；

匹配模块，适于将所述装置调用序列与已知恶意程序的参考方法调用序列进行匹配；和/或，将所述各个装置所对应的待测指令序列与已知恶意程序的参考指令序列进行匹配；

确定模块，适于根据匹配结果确定所述待检测程序是否为恶意程序。

根据本发明的又一方面，提供了一种计算设备，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；