[发明专利]恶意应用的检测方法、装置、服务器和可读存储介质

说明书

本申请提供一种恶意应用的检测方法、装置、服务器和可读存储介质，其中，该方法包括：响应于客户端上传的二进制文件，对二进制文件进行逆向，确定二进制文件是否逆向得到目标代码，若二进制文件逆向得到目标代码，则根据目标代码和预设恶意代码，获取第一检测结果，若二进制文件逆向得不到目标代码，则获取二进制文件对应的操作码序列，将二进制文件转换为灰度图像，根据预设机器学习算法、灰度图像和操作码序列，计算得到第二检测结果。该技术方案中，通过确定SO文件是否能够逆向，选取对应的检测方式对恶意应用进行检测，能够有效的缩短对目标应用所花费的检测时间，同时能够提高检测的准确性。

技术领域

本申请涉及应用软件检测技术领域，尤其涉及一种恶意应用的检测方法、装置、服务器和可读存储介质。

背景技术

随着移动互联网技术的快速发展，安卓智能终端日益普及，安卓系统也已经逐渐成为了移动终端的较为普及的操作系统，与其他终端操作系统相比，开放式的安卓系统为应用开发者提供了更多的功能接口，这些功能接口在提高了系统的可扩展性，但同时也为恶意软件提供了便利。目前，恶意应用主要将提权、攻击向量代码等恶意行为放在对应的共享对象(shared object，SO)文件内，这些恶意应用会通过窃取短信、银行卡账户密码等用户隐私数据而获得非法利益，对用户财产与隐私构成了严重的威胁，故而需要对SO文件进行分析检测，排查出这些恶意应用。

现有技术中，对SO文件的检测主要是采用启发式扫描的方法，并结合制定的规则对安全性未知的SO文件进行审计，规则通常是根据已有的恶意二进制代码段或常见的恶意行为制定。

但是现有技术中使用制定规则进行审计的前提是SO文件要能够逆向成代码，而恶意应用的开发者往往会利用代码混淆技术将代码进行加密、加壳和自修改，使得SO文件逆向成代码的难度增加，从而导致恶意应用的检测效率变低。

发明内容

本申请提供一种恶意应用的检测方法、装置、服务器和可读存储介质，用于解决现有恶意应用检测方法效率低的问题。

第一方面，本申请实施例提供一种恶意应用的检测方法，应用于服务器，包括：

响应于客户端上传的二进制文件，对所述二进制文件进行逆向，确定所述二进制文件是否逆向得到目标代码，所述二进制文件为根据预设编程语言编写后编译得到，且运行于目标应用程序的原生层中的文件；

若所述二进制文件逆向得到目标代码，则根据所述目标代码，获取第一检测结果，所述第一检测结果用于指示所述目标应用程序为恶意应用程序或非恶意应用程序；

若所述二进制文件逆向得不到所述目标代码，则获取所述二进制文件对应的操作码序列；

将所述二进制文件转换为灰度图像，根据预设机器学习算法、所述灰度图像和所述操作码序列，计算得到第二检测结果，所述第二检测结果用于指示所述目标应用程序为恶意应用程序或非恶意应用程序。

在第一方面的一种可能设计中，所述将所述二进制文件转换为灰度图像，包括：

使用预设第一函数将所述二进制文件转换为十六进制字符串；

对所述十六进制字符串进行字节分割，得到分割之后的字节，根据预设第二函数和所述分割之后的字节，生成目标矩阵；

根据预设第三函数，将所述目标矩阵转换为灰度图像。

在第一方面的另一种可能设计中，所述获取所述二进制文件对应的操作码序列，包括：

将所述二进制文件逆向得到目标指令集；

通过预设计算机编程语言，将所述目标指令集转换为所述操作码序列。

在第一方面的再一种可能设计中，所述根据预设机器学习算法、所述灰度图像和所述操作码序列，计算得到第二检测结果，包括：