检测可疑应用程序的方法及装置制造方法及图纸

本发明专利技术公开了一种检测可疑应用程序的方法及装置，涉及互联网技术领域，其目的在于解决如何在海量的未知应用程序中有效地检测可疑应用程序。本发明专利技术的方法主要包括：获取待测应用程序以及所述待测应用程序访问的域名；根据预设黑名单，判断所述域名是否为恶意域名或者可疑域名；若所述域名为恶意域名或者可疑域名，且所述域名对应的待测应用程序应用于至少两种操作系统，则将所述域名对应的待测应用程序确定为可疑应用程序。本发明专利技术主要适用于检测跨平台可疑应用程序的场景中。

Method and apparatus for detecting suspicious applications

The invention discloses a method and a device for detecting suspicious applications, relating to the field of Internet technology, and the purpose of the invention is to solve the problem of how to effectively detect suspicious applications in a mass of unknown applications. The method of the invention mainly comprises: obtaining the application under test and the test application to access the domain name; according to the preset blacklist, judging whether the domain name is malicious or suspicious domain name domain name; if the domain name is malicious or suspicious domain name domain name, the domain name corresponding to the test application to at least two kinds of operating system, the domain name corresponding to the test application identified as suspicious applications. The invention is mainly applicable to the detection of cross platform suspicious application scenarios.

【技术实现步骤摘要】
检测可疑应用程序的方法及装置
本专利技术涉及互联网
，尤其涉及一种检测可疑应用程序的方法及装置。
技术介绍
随着互联网的高速发展，不同平台的应用程序在种类和数量上都逐渐增多。然而，在这些海量的应用程序中，却伴随着恶意程序。其中，恶意程序也可以称为病毒程序，能够损坏或窃取终端的文件，甚至远程控制终端。因此，确保互联网安全是极其重要的。现有在对应用程序进行安全性检测时，通常先将每个待测应用程序分别与预设程序黑名单进行匹配，若匹配成功，则将对应的应用程序确定为恶意应用程序，若匹配失败，则直接将该应用程序确定为正常应用程序。但是，在日常监控应用程序的过程中专利技术人发现：在实际应用中，黑客们在开发某种恶意功能的应用程序时，往往会同时开发多种版本的应用程序分别应用到多种平台中，从而起到多元化破坏的作用。因此，当具有相同或者相似恶意功能的多个应用程序中的某一应用程序被加入预设程序黑名单，而其他应用程序没有被加入预设程序黑名单中时，现有的检测方法会直接将其他应用程序列为正常应用程序，而不会对他们进行病毒查杀操作，从而给黑客们利用这些应用程序大量破坏用户利益提供了可能。由此可知，如何在海量的未知应用程序中有效地检测出可疑应用程序是亟待解决的。
技术实现思路
有鉴于此，本专利技术提供一种检测可疑应用程序的方法及装置，其目的在于解决如何在海量的未知应用程序中有效地检测可疑应用程序。一方面，本专利技术提供了检测可疑应用程序的方法，所述方法包括：获取待测应用程序以及所述待测应用程序访问的域名；根据预设黑名单，判断所述域名是否为恶意域名或者可疑域名；若所述域名为恶意域名或者可疑域名，且所述域名对应的待测应用程序应用于至少两种操作系统，则将所述域名对应的待测应用程序确定为可疑应用程序。另一方面，本专利技术提供了一种检测可疑应用程序的装置，所述装置包括：获取单元，用于获取待测应用程序以及所述待测应用程序访问的域名；判断单元，用于根据预设黑名单，判断所述获取单元获得的所述域名是否为恶意域名或者可疑域名；确定单元，用于当所述判断单元的判断结果为所述域名为恶意域名或者可疑域名，且所述域名对应的待测应用程序应用于至少两种操作系统时，将所述域名对应的待测应用程序确定为可疑应用程序。借由上述技术方案，本专利技术提供的检测可疑应用程序的方法及装置，能够在获取待测应用程序以及待测应用程序访问的域名后，根据预设黑名单，分别判断每个域名是否为恶意域名或者可疑域名；当确定某域名为恶意域名或者可疑域名，并且该域名对应的待测应用程序应用于至少两种操作系统时，可以确定存在不同操作系统下的应用程序访问同一个恶意服务器或者可疑服务器的现象，从而可以确定该服务器很可能在利用不同的应用程序同时损坏或窃取不同操作系统的终端中文件，进而将该域名对应的所有待测应用程序均确定为可疑应用程序，以便后续通过病毒查杀的方式进行二次确认。由此可知，与现有技术中单独针对某个应用程序进行检测相比，本专利技术能够通过对多个操作系统下的应用程序进行综合检测，从中识别出隐藏的可疑应用程序，从而提高了检测可疑应用程序的有效性。上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本专利技术的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：图1示出了本专利技术实施例提供的一种检测可疑应用程序的方法的流程图；图2示出了本专利技术实施例提供的一种检测可疑应用程序的装置的组成框图；图3示出了本专利技术实施例提供的另一种检测可疑应用程序的装置的组成框图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。本专利技术实施例提供了一种检测可疑应用程序的方法，如图1所示，该方法主要包括：101、获取待测应用程序以及所述待测应用程序访问的域名。其中，待测应用程序为未知应用程序。当从各种操作系统下的终端中获取其安装的各个未知应用程序后，为了避免这些未知应用程序对终端造成威胁，可以分别获取各个未知应用程序以及每个未知应用程序所访问的服务器的域名，以便后续利用域名判断对应的未知应用程序是否为可疑应用程序。在实际应用中，获取待测应用程序所访问服务器的域名的具体实现方式可以为：获取所述待测应用程序的日志信息；对所述日志信息进行解析，获得所述待测应用程序访问的域名。安全检测设备可以从安装有待测应用程序的各个终端侧获取待测应用程序在运行过程中产生的日志信息，然后对这些日志信息进行逐条解析，从中获取待测应用程序所访问的域名。102、根据预设黑名单，判断所述域名是否为恶意域名或者可疑域名。在实际应用中，安全检测设备可以将每次查杀出来的病毒存入病毒库中，将每个恶意应用程序存入预设程序黑名单中，将每个恶意服务器的域名存入预设域名黑名单中，以便后续根据预设程序黑名单以及预设域名黑名单检测出恶意程序，并根据病毒库对检测出的恶意程序进行病毒查杀操作。本步骤中的预设黑名单包括预设域名黑名单和预设程序黑名单。当安全检测设备获得各个待测应用程序以及每个待测应用程序访问的域名后，可以先根据域名对各个待测应用程序进行分类，使得同一域名对应的待测应用程序分为同一类，然后根据预设黑名单中的预设域名黑名单判断每个域名是否为恶意域名，若某域名不是恶意域名，则再根据预设程序黑名单判断该域名是否为可疑域名，以便后续根据域名判断结果来确定对应的待测应用程序是否为可疑应用程序。103、若所述域名为恶意域名或者可疑域名，且所述域名对应的待测应用程序应用于至少两种操作系统，则将所述域名对应的待测应用程序确定为可疑应用程序。由于黑客们在开发某种恶意功能的应用程序时，往往会同时编写多种版本的恶意应用程序分别应用到多种平台中，从而起到多元化破坏的作用，所以当安全检测设备确定某域名为恶意域名或者可疑域名时，需要先判断一下该域名对应的待测应用程序是否存在应用于至少两种操作系统的现象，若存在，则很有可能是黑客使用同一个恶意服务器或者可疑服务器来损坏或窃取不同操作系统的终端中的文件。因此，可以将该域名对应的所有待测应用程序均确定为可疑应用程序，以便后续重点对这些应用程序进行病毒查杀操作。示例性的，若域名1为恶意域名，且该域名对应的待测应用程序依次为Windows系统下的应用程序1、安卓系统下的应用程序2、Linux操作系统下的应用程序3，则可以确定应用程序1、应用程序2以及应用程序3均为可疑应用程序。需要补充的是，当预设程序黑名单中含有访问过某域名的恶意应用程序时，若该域名对应的待测应用程序为一个，且待测应用程序所应用的操作系统与恶意应用程序不同，则很有可能是黑客利用该恶意应用程序以及待待测应用程序同时窃取或损坏不同操作系统的终端中的文件，因此，可以将该待测应用程序直接确定为可疑应用程序。本专利技术实施例本文档来自技高网...

【技术保护点】
一种检测可疑应用程序的方法，其特征在于，所述方法包括：获取待测应用程序以及所述待测应用程序访问的域名；根据预设黑名单，判断所述域名是否为恶意域名或者可疑域名；若所述域名为恶意域名或者可疑域名，且所述域名对应的待测应用程序应用于至少两种操作系统，则将所述域名对应的待测应用程序确定为可疑应用程序。

【技术特征摘要】
1.一种检测可疑应用程序的方法，其特征在于，所述方法包括：获取待测应用程序以及所述待测应用程序访问的域名；根据预设黑名单，判断所述域名是否为恶意域名或者可疑域名；若所述域名为恶意域名或者可疑域名，且所述域名对应的待测应用程序应用于至少两种操作系统，则将所述域名对应的待测应用程序确定为可疑应用程序。2.根据权利要求1所述的方法，其特征在于，根据预设黑名单，判断所述域名是否为恶意域名或者可疑域名包括：将所述域名与预设域名黑名单进行匹配；若所述域名在所述预设域名黑名单中，则将所述域名确定为恶意域名；若所述域名不在所述预设域名黑名单中，则查找预设程序黑名单中是否含有访问过所述域名的恶意应用程序；若所述预设程序黑名单中含有访问过所述域名的恶意应用程序，则将所述域名确定为可疑域名。3.根据权利要求2所述的方法，其特征在于，若所述预设程序黑名单中含有访问过所述域名的恶意应用程序，则所述方法还包括：若所述域名对应的待测应用程序为一个，且所述待测应用程序所应用的操作系统与所述恶意应用程序不同，则将所述域名对应的待测应用程序确定为可疑应用程序。4.根据权利要求2所述的方法，其特征在于，将所述域名与预设域名黑名单进行匹配包括：查找所述域名是否在预设域名白名单中；若所述域名不在所述预设域名白名单中，则将所述域名与预设域名黑名单进行匹配。5.根据权利要求2所述的方法，其特征在于，若所述预设程序黑名单中含有访问过所述域名的恶意应用程序，则在确定所述域名对应的待测应用程序为可疑应用程序之后，所述方法还包括：通过将所述恶意应用程序与所述可疑应用程序进行对比分析，判断所述可疑应用程序是否为恶意应用程序。6....

【专利技术属性】
技术研发人员：田阗，边亮，
申请(专利权)人：北京奇虎科技有限公司，奇智软件北京有限公司，
类型：发明
国别省市：北京,11