恶意包名检测方法、恶意应用检测方法及相应装置制造方法及图纸

本发明专利技术实施例公开了一种恶意包名检测方法、恶意应用检测方法及相应装置，涉及网络安全技术领域。其中恶意包名检测方法包括：获取应用的包名的所有分句；当判断任一分句为不可读时，确定出所述包名为随机；当判断所有分句均为可读时，确定出所述包名为非随机。本方法创新性地根据包名的随机性与恶意应用的相互依赖关系，利用包名的分句可读性来能判断出包名是否随机，判断准确度高达99.98％，且方法简单，检测速度快，耗费时间短，对于海量日志数据可以做到实时消费，且对被检测为随机生成的包名，再进行逆向代码分析确定恶意应用，可以大大节省人工逆向代码分析的工作，恶意应用检测针对性更强、准确率更高。

Malicious package name detection method, malicious application detection method and corresponding devices

The embodiment of the invention discloses a malicious packet name detection method, a malicious application detection method and a corresponding device, which relates to the technical field of network security. The malicious packet name detection method includes: obtaining all clauses of the applied packet name; determining that the packet name is random when any clause is unreadable; determining that all clauses are readable, determining that the packet name is non random. According to the relationship between the randomness of package name and the mutual dependence of malicious application, this method can judge whether the package name is random by using the sentence readability of package name, and the accuracy is as high as 99.98%. Moreover, this method is simple, fast and time-consuming. For massive log data, it can achieve real-time consumption, and for the package name that is detected as randomly generated, it can carry out reverse generation Code analysis to determine malicious applications can greatly save the work of artificial reverse code analysis, and malicious application detection is more targeted and accurate.

【技术实现步骤摘要】
恶意包名检测方法、恶意应用检测方法及相应装置
本专利技术涉及网络安全
，特别涉及恶意包名检测方法、恶意应用检测方法、相关装置、计算机设备和计算机存储程序。
技术介绍
随着智能手机的快速普及，人们进入了移动互联网的时代，移动应用产业得到了快速的增长。由于移动应用可从移动终端获得大量的敏感信息，且其本身能通过移动市场及广告商产生高利润，移动应用频频遭到了黑客的攻击，移动应用安全事件频发。鱼龙混杂的第三方应用市场，海量的移动应用缺乏集中有效的安全审查等，都导致大量的恶意移动应用被发布在移动应用市场。如何从海量的移动应用中精确地识别出可能会给移动终端带来安全隐患的恶意应用，成为移动应用安全研究的重要问题之一。鉴别恶意应用，传统的方法是人工对应用进行安全性逆向代码分析，这种方法在海量应用情形下不仅需要耗费大量的时间，人工逆向代码分析工作量大，且检测针对性弱，准确度低，对于流式日志数据也不能进行实时消费。
技术实现思路
本专利技术实施例提供了一种恶意包名检测方法、恶意应用检测方法、相关装置、计算机设备和计算机存储程序，用以解决现有技术中所存在的上述技术问题。第一方面，本专利技术实施例提供了一种恶意包名检测方法。具体地，所述恶意包名检测方法包括：获取应用的包名的所有分句；当判断任一分句为不可读时，确定出所述包名为随机；当判断所有分句均为可读时，确定出所述包名为非随机。第二方面，本专利技术实施例提供了一种恶意包名检测装置。具体地，所述恶意包名检测装置，包括：分句获取模块，用于获取应用的包名的所有分句；包名特性确定模块，用于当判断任一分句为不可读时，确定出所述包名为随机，且当判断所有分句均为可读时，确定出所述包名为非随机。第三方面，本专利技术实施例提供了一种恶意应用检测方法。具体地，所述恶意应用检测方法包括：通过第一方面所述度恶意包名检测方法对应用的包名进行检测；若包名检测结果为非随机，则确定出所述应用为正常应用；若包名检测结果为随机，则对所述应用进一步进行恶意性检测。第四方面，本专利技术实施例提供了一种恶意应用检测装置。具体地，所述恶意应用检测装置包括：包名检测装置，用于通过第一方面所述的恶意包名检测方法对应用的包名进行检测；正常应用确定模块，用于若包名检测结果为非随机，则确定出所述应用为正常应用；应用检测模块，用于若包名检测结果为随机，则对所述应用进一步进行恶意性检测。第三方面，本专利技术实施例提供了一种计算机设备。具体地，所述计算机设备，包括：处理器；以及用于存放计算机程序的存储器，其特征在于，所述处理器用于执行所述存储器上所存放的计算机程序，以实现第一方面所述的恶意包名检测方法或第三方面所述的恶意应用检测方法。第三方面，本专利技术实施例提供了一种计算机存储介质。具体地，所述计算机存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现第一方面所述的恶意包名检测方法或第三方面所述的恶意应用检测方法。本实施例专利技术人对海量已知应用的包名进行特征分析，创新性地得出包名的随机性与恶意应用的相互依赖关系，另外由于包名的字符串越长，可读性越差，因此利用包名的分句可读性来能判断出包名是否随机(恶意)。本申请实施例恶意包名检测方法及装置、计算机设备和计算机存储程序经过大量实验验证，包名恶性判断的准确度高达99.98％，且方法简单，检测速度快，耗费时间短，对于海量日志数据可以做到实时消费。另外，本申请实施例恶意应用检测方法及装置、计算机设备和计算机存储程序对被检测为随机生成的包名，再进行逆向代码分析确定恶意应用，可以大大节省人工逆向代码分析的工作，恶意应用检测针对性更强、准确率更高。本专利技术的这些方面或其他方面在以下实施例的描述中会更加简明易懂。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述中所需要使用的附图作一简单的介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术方法实施例1的恶意包名检测方法的流程图；图2是图1所示实施例中判断某一分句是否可读的流程图；图3是图2所示实施例中判断某一分词是否可读的流程图；图4是图2所示实施例中判断某一分词是否可读的流程图；图5是图4所示实施例中构建分词白名单的流程图；图6是本专利技术方法实施例2的恶意应用检测方法的流程图；图7是本专利技术装置实施例1的恶意包名检测装置的示意图；图8为图7所述装置中包名特性确定模块的详细示意图；图9为图8所示装置中分句特性确定模块的详细示意图；图10为图7所示装置的其他组成模块的示意图；图11为本专利技术装置实施例2的恶意应用检测装置的示意图具体实施方式【方法实施例1】图1是根据本专利技术方法实施例1的恶意包名检测方法的流程图。参见图1，在本实施例中，所述方法包括：步骤S11，获取应用的包名的所有分句；步骤S12，当判断任一分句为不可读时，确定出该包名为随机；步骤S13，当判断所有分句均为可读时，确定出该包名为非随机。本实施例专利技术人对海量已知应用的包名进行特征分析，创新性地得出包名的随机性与恶意应用的相互依赖关系，另外由于包名的字符串越长，可读性越差，因此利用包名的分句可读性来能判断出包名是否随机(恶意)。本方法经过大量实验验证，包名恶性判断的准确度高达99.98％，且方法简单，检测速度快，耗费时间短，对于海量日志数据可以做到实时消费。另外，对被检测为随机生成的包名，再进行逆向代码分析确定恶意应用，可以大大节省人工逆向代码分析的工作，恶意应用检测针对性更强、准确率更高。较佳地，步骤S11具体为：根据大写字母、标点符号和数字将所述包名分成多个分句。其中大写字母，比如“A”至“Z”，标点符号，比如“.”、“-”、“_”、“@”、“#”、“\”、“,”、“/”)，数字，比如“0”至“9”，把一个包名(可以用P表示)分成多个分句(可以用C1，C2，…，Ci，…，Cn表示，n为自然数)。本实施例中，通过将没有实际含义的上述大写字母、标点符号和数字这些特殊字符对包名进行分句，可以最大化的保证包名的真实性。另外，对于频繁切换大小写、穿插数字来躲避检测的包名，通过该分句手段，使得本方法判断得尤为精准。进一步地，参考图2，该方法中判断某一分句是否可读，包括：步骤S21，获取某一分句的所有分词；步骤S22，当判断任一分词为可读时，确定出该某一分句为可读；步骤S23，当判断所有分词均为不可读时，确定出该某一分句为不可读。本实施例在确定分句的可读性时，可以利用该分句的分词的可读性来判断。并且判断规则经过大量实验验证，分句可读性判断的准确度高达99.98％。本文档来自技高网...

【技术保护点】
1.一种恶意包名检测方法，包括：/n获取应用的包名的所有分句；/n当判断任一分句为不可读时，确定出所述包名为随机；/n当判断所有分句均为可读时，确定出所述包名为非随机。/n

【技术特征摘要】
1.一种恶意包名检测方法，包括：
获取应用的包名的所有分句；
当判断任一分句为不可读时，确定出所述包名为随机；
当判断所有分句均为可读时，确定出所述包名为非随机。


2.如权利要求1所述的恶意包名检测方法，其特征在于，所述获取应用的包名的所有分句，包括：
根据大写字母、标点符号和数字将所述包名分成多个分句。


3.如权利要求1或2所述的恶意包名检测方法，其特征在于，判断某一分句是否可读，包括：
获取所述某一分句的所有分词；
当判断任一分词为可读时，确定出所述某一分句为可读；
当判断所有分词均为不可读时，确定出所述某一分句为不可读。


4.如权利要求3所述的恶意包名检测方法，其特征在于，所述获取所述某一分句的所有分词，包括：
以N为窗口，在所述某一分句上滑动，进行N-gram分词，其中N为自然数。


5.如权利要求4所述的恶意包名检测方法，其特征在于，判断某一分词是否可读，包括：
当判断所述某一分词满足第一设定条件时，确定出所述某一分词为可读，其中，所述第一设定条件为所述某一分词符合所属语言所对应的语法规则，或者，所述第一设定条件为所述某一分词不符合所属语言所对应的语法规则但与分词白名单匹配；
当判断所述某一分词满足第二设定条件时，确定出所述某一分词为不可读，其中，所述第二设定条件为所述某一分词不符合所属语言所对应的语法规则，或者，所述第二设定条件为所述某一分词不符合所属语言所对应的语法规则且与所述分词白名单不匹配。


6.如权利要求5所述的恶意包名检测方法，其特征在于，还包括：
对海量应用的包名的每个分词，根据包含在海量应用中的包名个数进行计数；
判断计数排序靠前的分词是否可读；
当所述计数排序靠前的分词为可读时，根据所述计数排序靠前的分词构建所述分词白名单。


7.一种恶意包名检测装置，包括：
分句获取模块，用于获取应用的包名的所有分句；
包名特性确定模块，用于当判断任一分句为不可读时，确定出所述包名为随机，且当判断所有分句均为可读时，确定出所述包名为非随机。


8.如权利要求7所述的恶意包名检测装置，其特征在于，所述分句获取模块具体用于根据大写字母、标点符号和数字将所述包名分成多个分句。


9.如权利要求7或8所述的恶意包名检测装置，其特征在于，所述包名特性确定模块包括：
分词获取单元，用于获取所述某一分句的所有分词；
分句特性确定单元，用于当判断任一分词为可读时，确定出所述某一分句为可读，且当判断所...

【专利技术属性】
技术研发人员：张路，潘宣辰，
申请(专利权)人：武汉安天信息技术有限责任公司，
类型：发明
国别省市：湖北;42