发明名称 |
一种恶意应用检测方法和系统 |
摘要 |
本发明涉及一种恶意应用检测方法和系统。所述方法包括:S1、对接收到的待检测的应用程序进行静态代码扫描,基于权限申请、函数调用、信息输出三个维度分析该应用程序是否存在满足恶意行为信息库中的任一恶意行为信息的恶意行为,若存在恶意行为,则将该应用程序标注为疑似恶意应用,若不存在恶意行为,则将该应用程序标注为正常应用;S2、将标注为疑似恶意应用的应用程序与恶意应用样本库中的恶意应用样本之间进行基于应用名称、包名、签名证书、目录结构、文本文件、图像文件的相似度分析,并将相似度符合设定值的应用程序标注为恶意应用。本发明避免了通过虚拟机加载应用执行并分析的性能瓶颈,有效减少误报率,提升识别的准确性。 |
申请公布号 |
CN106557695A |
申请公布日期 |
2017.04.05 |
申请号 |
CN201510621631.X |
申请日期 |
2015.09.25 |
申请人 |
卓望数码技术(深圳)有限公司 |
发明人 |
周建宁;沈岩;王巍;刘志诚 |
分类号 |
G06F21/56(2013.01)I |
主分类号 |
G06F21/56(2013.01)I |
代理机构 |
深圳市顺天达专利商标代理有限公司 44217 |
代理人 |
李琴 |
主权项 |
一种恶意应用检测方法,其特征在于,包括如下步骤:S1、对接收到的待检测的应用程序进行静态代码扫描,基于权限申请、函数调用、信息输出三个维度分析该应用程序是否存在满足恶意行为信息库中的任一恶意行为信息的恶意行为,若存在恶意行为,则将该应用程序标注为疑似恶意应用,若不存在恶意行为,则将该应用程序标注为正常应用;S2、将标注为疑似恶意应用的应用程序与恶意应用样本库中的恶意应用样本之间进行基于应用名称、包名、签名证书、目录结构、文本文件、图像文件的相似度分析,并将相似度符合设定值的应用程序标注为恶意应用。 |
地址 |
518057 广东省深圳市南山区高新技术产业园南区深港产学研基地大楼西座六楼南翼 |