[发明专利]病毒行为检测方法、装置及计算机可读存储介质在审
| 申请号: | 201811445281.6 | 申请日: | 2018-11-29 |
| 公开(公告)号: | CN109657468A | 公开(公告)日: | 2019-04-19 |
| 发明(设计)人: | 王冬;庞洲;孔庆龙;赵浩亮;史东杰 | 申请(专利权)人: | 北京奇虎科技有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京华沛德权律师事务所 11302 | 代理人: | 房德权 |
| 地址: | 100088 北京市西城区新*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 病毒行为 目标行为 应用程序 预设 移动终端 计算机可读存储介质 计算机存储介质 打桩 应用程序运行 病毒检测 动态行为 运行过程 检测 沙箱 显示屏 扫描 | ||
本发明公开一种病毒行为检测方法、装置及计算机存储介质,所述方法包括:在沙箱环境中运行移动终端中的应用程序,以对所述应用程序进行扫描;根据预设打桩点,获取所述应用程序在运行过程中的目标行为序列基于预设的病毒行为识别模型,对所述目标行为序列进行识别,获得所述目标行为序列的识别结果;将所述识别结果显示在所移动终端的显示屏上。上述方案中,能够获取更多的应用程序运行过程中的动态行为,使得用于进行病毒检测的行为更加多样化,另外,通过预设的病毒行为识别模型来进行目标行为序列的识别,避免了对人为设定规则的依赖,能够使病毒行为识别更加全面。
技术领域
本发明涉及信息安全领域,尤其涉及一种病毒行为检测方法、装置及计算机可读存储介质。
背景技术
随着科学技术的不断发展,移动终端的使用在人们的生活中越来越普遍。由于移动终端,例如手机,存储了用户的很多私人信息,例如账号、密码,如果用户的移动终端中存在病毒程序,在病毒程序运行后会对用户造成极大的损失。
现有技术中,在对移动终端的待检测应用程序进行病毒检测时,通常是采用静态检测方式来实现。静态检测方式是基于待检测应用程序内部文件提取静态特征,并通过检测静态特征是否命中人为设置的病毒特征规律来确定待检测应用程序是否为病毒。由于静态检测依赖于待检测应用程序内部文件,因此提取的特征比较单一,且病毒特征规律是人为设定的,无法覆盖全部的病毒检测范围,容易出现病毒检测的遗漏。
发明内容
本说明书实施例提供及一种病毒行为检测方法、装置及计算机可读存储介质。
第一方面,本说明书实施例提供一种病毒行为检测方法,应用于移动终端,包括:
在沙箱环境中运行所述移动终端中的应用程序,以对所述应用程序进行扫描;
根据预设打桩点,获取所述应用程序在运行过程中的目标行为序列;
在所述移动终端的沙箱环境中运行应用程序;
根据预设打桩点,获取所述应用程序在运行过程中的目标行为序列;
基于预设的病毒行为识别模型,对所述目标行为序列进行识别,获得所述目标行为序列的识别结果;
将所述识别结果显示在所述移动终端的显示屏上。
可选地,在所述根据预设打桩点,获取所述应用程序在运行过程中的目标行为序列之前,所述方法还包括:
将所述应用程序的目标信息发送给服务器,以使所述服务器根据所述目标信息查询应用程序的黑白名单数据库,确定所述应用程序是否为正常应用程序;
在接收到所述服务器的反馈结果为所述应用程序为非正常应用程序时,执行所述根据预设打桩点,获取所述应用程序在运行过程中的目标行为序列的步骤。
可选地,所述在所述移动终端的沙箱环境中运行应用程序之后,所述方法还包括:
在所述应用程序的运行过程中,模拟用户对所述移动终端的操作,以触发所述应用程序的行为。
可选地,所述预设打桩点为通过对所述移动终端的目标系统服务进行打桩处理得到的打桩点。
可选地,所述根据预设打桩点,获取所述应用程序在运行过程中的目标行为序列,包括:
根据预设打桩点,确定所述应用程序在运行过程中调用的N个系统服务,其中,所述N个系统服务为包含在所述目标系统服务中的服务,N为正整数;
根据所述N个系统服务的调用行为,获取所述目标行为序列。
可选地,所述基于预设的病毒行为识别模型,对所述目标行为序列进行识别,获得所述目标行为序列的识别结果,包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京奇虎科技有限公司,未经北京奇虎科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201811445281.6/2.html,转载请声明来源钻瓜专利网。
