[发明专利]一种涉诈APP检测系统和方法

说明书

一种涉诈APP检测系统或方法，用于检测运行在智能设备上应用APP是否涉诈，包括：反诈监测模块，反诈监测模块包括：特征数据信息监控模块、屏幕信息监控模块、结果输出模块；特征数据信息监控模块根据AndroidManifest信息、应用名称，找出第一级疑似涉诈APP，第一级疑似涉诈APP与白名单的正版APP签名证书对比分析，确定第二级疑似涉诈APP；对所述界面图像进行图像识别，提取文本信息，对所述文本信息进行分析，得出APP涉诈的可能性高低值；结果输出模块输出涉诈的可能性高的APP清单。通过将“AndrodManifest特征匹配＋应用名称相似度比较+白名单正版APP签名证书信息过滤”技术筛选疑似涉诈APP样本，再利用网页屏幕截图，通过OCR技术从截图中提取文本信息，通过算法研判是否涉诈网页。

技术领域

本申请属计算机安全技术领域，尤其涉及一种涉诈APP检测系统和方法，该检测系统可以是运行特定检测软件的智能手机或智能设备，也可以是特定专门用于检测涉诈APP的系统。

背景技术

AndroidManifest.xml 是每个android程序中必需的文件。它位于整个项目的根目录，描述了package中暴露的组件（activities, services, 等等），他们各自的实现类，各种能被处理的数据和启动位置。 除了能声明程序中的Activities, ContentProviders,Services, 和Intent Receivers，还能指定permissions和instrumentation（安全控制和测试）。

TF-IDF，Term Frequency-Inverse Document Frequency（词频－逆文档频度），主要用来估计一个词在一个文档中的重要程度。

近年来，利用APP进行诈骗已成为电信网络诈骗案件的主要犯罪手段之一。其中，网络兼职刷单、快速贷款等诈骗APP较多，特别是有一些仿冒各大银行和金融平台的APP具有较大迷惑性和欺骗性。

此类涉诈APP，通常使用“第三方移动应用快速开发平台框架代码+集成H5网站域名”实现，开发成本极低。与此同时，此类涉诈APP主要是通过集成的H5网站页面进行诈骗，几乎没有恶意静态代码，没有敏感权限，没有发送短信、读取通讯录等恶意行为，基于静态代码、动态行为分析的常见手机恶意应用检测技术无法有效识别此类涉诈APP。

目前，常见的手机恶意应用检测方法包括：基于静态代码分析方法（比如申请号为“202011536663.7”中国专利申请文件）、基于动态行为分析方法（比如申请号为“201310309568.7”中国专利申请文件）、基于静态代码与动态行为相结合的分析方法（比如申请号为“201910968202.8”中国专利申请文件）等。

基于静态代码分析的恶意移动应用检测技术存在如下缺陷：在检测“第三方移动应用快速开发平台框架代码+集成H5网站域名”的涉诈APP时，只能扫描到第三方移动应用快速开发平台的代码，而这种代码可能在使用同一移动应用快速开发平台的正常应用中存在，最终导致无法提取此类涉诈APP的恶意静态代码特征，无法对此类涉诈APP进行识别与检测。

基于动态行为分析的恶意移动应用检测技术存在如下缺陷：使用“第三方移动应用快速开发平台框架代码+集成H5网站域名”技术开发的涉诈APP，一般通过H5网页进行诈骗。比如虚假贷款诈骗APP，一般通过集成的虚假贷款H5网页诱导受害人上传个人敏感资料，然后以通过集成的聊天网页与受害人进行沟通，再以“贷款需要缴纳保证金”等借口诱导受害人转转付款。这种情况下，涉诈APP没有发送短信、窃取通讯录等恶意行为，最终导致基于动态行为分析的恶意移动应用检测技术无法对此类涉诈APP进行有效检测。

基于静态代码与动态行为相结合的恶意移动应用检测技术存在如下缺陷：在检测“第三方移动应用快速开发平台框架代码+集成H5网站域名”的涉诈APP时，无法提取到静态代码特征、动态行为特征，最终导致无法对此类涉诈APP进行有效检测。

发明内容