[发明专利]恶意应用程序的检测方法、装置、设备及介质

权利要求书

1.一种恶意应用程序的检测方法，其特征在于，包括：

监控所有待检测应用程序的行为；

判断所述待检测应用程序的行为是否为异常行为；

若所述待检测应用程序的行为存在所述异常行为，则将对应的待检测应用程序标记为未知风险应用程序，并解析获得所述未知风险应用程序对应的待检测程序代码；其中，所述待检测程序代码为所述未知风险应用程序执行所述异常行为时所对应的程序代码；

将所述待检测程序代码与预设的恶意代码数据库中的恶意代码进行比对；

当所述待检测程序代码与所述恶意代码数据库中的恶意代码匹配时，则判定所述未知风险应用程序包含所述恶意代码，并确定所述未知应用程序为恶意应用程序。

2.如权利要求1所述的恶意应用程序的检测方法，其特征在于，所述判断所述待检测应用程序的行为是否为异常行为的步骤，包括：

判断所述待检测应用程序的行为是否包含获取权限行为；其中，所述获取权限行为包括：修改内存控制块和总量、盗用截流系统中断、病毒程序和宿主程序切换、对可执行文件做写入操作、搜索应用程序编程接口函数地址、获取所有文件系统的读写权限、获取超级管理员权限；

当所述待检测应用程序的行为包含所述获取权限行为中的至少一种时，判定所述待检测应用程序的行为是异常行为。

3.如权利要求1所述的恶意应用程序的检测方法，其特征在于，所述判断所述待检测应用程序的行为是否为异常行为的步骤，还包括：

判断所述待检测应用程序的行为是否包含监控行为，所述监控行为包括录屏、录音、获取用户输入；

当所述待检测应用程序的行为包含所述异常行为中的至少一种时，获取所述待检测应用程序的后台运行时间；

当所述待检测应用程序的后台运行时间超过预设值时，判定所述待检测应用程序的行为是异常行为。

4.如权利要求1所述的恶意应用程序的检测方法，其特征在于，所述判断所述待检测应用程序的行为是否为异常行为的步骤，还包括：

基于网络检测监视所述待检测应用程序的流量消耗；

当所述待检测应用程序的流量消耗超出预设的流量阈值时，判定所述待检测应用程序的行为是异常行为。

5.如权利要求4所述的恶意应用程序的检测方法，其特征在于，所述基于网络检测监视所述待检测应用程序的流量消耗的步骤，包括：

建立流量联网白名单，所述流量联网白名单内预设有允许联网的应用程序；

统计所有应用程序的联网总流量，生成第一流量，其中，所述所有应用程序中包含所述待检测应用程序；

统计所述流量联网白名单内所有允许联网的应用程序消耗的总流量，生成第二流量；

计算所述第一流量与所述第二流量的差值；

当所述第一流量与所述第二流量的差值大于预设的第一流量差值时，判断所述待检测应用程序的行为存在异常行为风险；

对存在所述异常行为风险的所述待检测应用程序进行监测。

6.如权利要求5所述的恶意应用程序的检测方法，其特征在于，所述建立流量联网白名单，所述流量联网白名单内预设有允许联网的应用程序的步骤之后，还包括：

统计待机和/或休眠状态下所有应用程序的联网总流量，生成第三流量，其中，所述应用程序包含所述待检测应用程序；

统计所述流量联网白名单内具有特定功能性的应用程序所消耗的总流量，生成第四流量；其中，所述特定功能性的应用程序包括用于接收信息的通讯软件和执行下载、缓存任务的应用程序；

计算所述第三流量与所述第四流量的差值；

当所述第三流量与所述第四流量的差值大于预设的第二流量差值时，判断所述待检测应用程序的行为存在异常行为风险；

对存在所述异常行为风险的所述待检测应用程序进行监测。