[发明专利]一种APP的检测方法、装置、设备及存储介质

权利要求书

1.一种APP的检测方法，其特征在于，包括：

获取沙箱内的检测固件上报的所述沙箱内运行的应用程序APP的运行行为；其中，所述沙箱的系统架构中的至少一层包括所述检测固件，所述检测固件用于实时监控所述运行行为；

检测所述运行行为，得到所述运行行为对应的第一检测结果，发送所述第一检测结果给态势分析系统；

通过所述态势分析系统对所述APP进行动态分析。

2.根据权利要求1所述的方法，其特征在于，所述检测固件包括隐私行为检测固件、网络行为检测固件、文件操作检测固件、短信操作检测固件、命令行检测固件、音视频录制和摄像头检测固件和用户数据读取检测固件中的至少一种；

其中，所述隐私行为检测固件用于实时监控所述APP获取到的用户隐私信息；

所述网络行为检测固件用于实时监控所述APP访问的目的网际互联协议地址和目的端口；

所述文件操作检测固件用于实时监控所述APP的文件操作；

所述短信操作检测固件用于实时监控所述APP的发送短信行为、发送彩信行为以及短信被拦截行为；

所述命令行检测固件用于实时监控所述APP的与所述命令行对应的工具的调用行为；

所述音视频录制和摄像头检测固件用于实时监控所述APP是否存在打开摄像头和录制音视频的行为；

所述用户数据读取检测固件用于实时监控所述APP对用户数据的动态读取状态，以检测所述用户数据是否被窃取。

3.根据权利要求2所述的方法，其特征在于，对于所述检测固件是用户数据读取检测固件的情况，检测所述运行行为，得到第一检测结果，发送所述第一检测结果给态势分析系统固件，包括：

基于修改后的开源项目系统从输入输出函数中获取网络数据包；其中，所述修改后的开源项目系统用于在所述网络数据包经过隧道加密之前截获所述网络数据包；

识别所述网络数据包的类型，根据所述类型识别所述网络数据包的报文数据；

检测所述报文数据中是否存在敏感数据；

将检测结果作为所述运行行为对应的第一检测结果，发送所述第一检测结果给态势分析系统。

4.根据权利要求1所述的方法，其特征在于，在通过所述态势分析系统对所述APP进行动态分析之前，还包括：

检测所述APP的APP包中是否存在加固字段；其中，所述加固字段用于标识所述APP被加固处理过；

若是，对所述APP包进行脱壳操作，生成脱壳后的APP包，返回执行检测所述APP的APP包中是否存在加固字段的步骤，记录所述步骤的执行次数；

对于所述执行次数满足预设条件时生成的目标APP包，当接收到所述目标APP包的解析指令时，解析所述目标APP包的可执行二进制dex文件，以根据解析结果对所述dex文件进行检测，得到第二检测结果，发送所述第二检测结果给态势分析系统。

5.根据权利要求1所述的方法，其特征在于，在通过所述态势分析系统对所述APP进行动态分析之前，还包括：

提取所述APP的静态特征和/或动态特征，根据所述静态特征和/或动态特征构建待检测特征向量；其中，所述静态特征基于所述APP的APP包提取得到，所述动态特征基于所述第一检测结果提取得到；

输入所述待检测特征向量至恶意程序检测模型，通过所述恶意程序检测模型判断所述APP是否为恶意程序，将判断结果作为第三检测结果，发送所述第三检测结果给态势分析系统；

其中，所述恶意程序检测模型基于静态特征样本、动态特征样本和恶意特征样本通过二分类算法、神经网络算法、聚类算法和异常检测算法训练得到。