[发明专利]恶意应用程序的检测方法、装置、设备及介质

说明书

本申请提供的恶意应用程序的检测方法、装置、设备及介质，可监视所有应用程序的行为是否为异常行为，当应用程序存在异常行为时，则会先将有异常行为的应用程序标记为未知风险应用程序，并解析获得所述未知风险应用程序对应的待检测程序代码，再将解析出来的待检测程序代码与预设的恶意代码数据库中的恶意代码进行比对，如果能匹配得上，则判定未知风险应用程序包含所述恶意代码，并确定所述未知应用程序为恶意应用程序，此方法经过两次判断，可提高判定时的准确率，减小误报率，可以解决现有技术中采用对应用包进行反编译来应用申请的系统权限，并根据权限危险级别判定应用是否为恶意行为的方式无法检测未知的恶意代码，导致误报率高的问题。

技术领域

本申请涉及智能设备恶意程序检测领域，具体涉及一种恶意应用程序的检测方法、装置、设备及介质。

背景技术

近年来，智能设备经过不断发展扩大，已成为人类日常生活的不可或缺的一部分。在众多智能设备中，Android系统凭借其免费和开源功能成为速度最快的智能手机操作系统，Android平台下丰富的软件应用给人们的生活带来了极大的便利。

然而，混杂在正常应用软件中的恶意软件数量也以惊人的速度不断增长，Android平台上的安全问题也越来越严重，现如今一般是对Android应用包反编译获取AndroidManifest.xml文件，从中提取出应用申请的系统权限；然后，根据权限危险级别设置为有危险的apk，但是无法检测未知的恶意代码，因此，误报率高。

发明内容

本申请提供一种恶意应用程序的检测方法、装置、设备及介质，旨在解决现有技术中采用对应用包进行反编译来应用申请的系统权限，并根据权限危险级别判定应用是否为恶意行为的方式，无法检测未知的恶意代码，导致误报率高的问题。

为了解决上述技术问题，第一方面，本申请提供了恶意应用程序的检测方法，包括：

监控所有待检测应用程序的行为；

判断所述待检测应用程序的行为是否为异常行为；

若所述待检测应用程序的行为存在所述异常行为，则将对应的待检测应用程序标记为未知风险应用程序，并解析获得所述未知风险应用程序对应的待检测程序代码；其中，所述待检测程序代码为所述未知风险应用程序执行所述异常行为时所对应的程序代码；

将所述待检测程序代码与预设的恶意代码数据库中的恶意代码进行比对；

当所述待检测程序代码与所述恶意代码数据库中的恶意代码匹配时，则判定所述未知风险应用程序包含所述恶意代码，并确定所述未知风险应用程序为恶意应用程序。

优选的，所述判断所述待检测应用程序的行为是否为异常行为的步骤，包括：

判断所述待检测应用程序的行为是否包含获取权限行为；其中，所述获取权限行为包括：修改内存控制块和总量、盗用截流系统中断、病毒程序和宿主程序切换、对可执行文件做写入操作、搜索应用程序编程接口函数地址、获取所有文件系统的读写权限、获取超级管理员权限；

当所述待检测应用程序的行为包含所述获取权限行为中的至少一种时，判定所述待检测应用程序的行为是异常行为。

优选的，所述判断所述待检测应用程序的行为是否为异常行为的步骤，还包括：

判断所述待检测应用程序的行为是否包含监控行为，所述监控行为包括录屏、录音、获取用户输入；

当所述待检测应用程序的行为包含所述异常行为中的至少一种时，获取所述待检测应用程序的后台运行时间；

当所述待检测应用程序的后台运行时间超过预设值时，判定所述待检测应用程序的行为是异常行为。

优选的，所述判断所述待检测应用程序的行为是否为异常行为的步骤，还包括：