可疑病毒应用上传的方法和装置的制造方法
【技术领域】
[0001]本申请涉及计算机技术领域,具体涉及病毒检测技术领域,尤其涉及可疑病毒应用上传的方法和装置。
【背景技术】
[0002]随着互联网技术和终端设备的发展,终端应用的类别和数量也越来越多,例如交友类应用、购物类应用、理财应用等等。这些应用中,具有病毒特征(例如破坏终端功能或数据、获取终端数据或者恶意传播)的应用通常被称为病毒应用。其中,多种病毒应用可以具有相同或相似的病毒特征。为了保护终端功能或数据不被破坏或恶意获取,需要检索出终端上的病毒应用。
[0003]目前的检测病毒应用的方法一般包括:特征代码法、校验和法、行为监测法、软件模拟法。其中特征代码法往往通过抽取病毒特征的病毒特征代码,将被检测应用的代码与病毒特征代码进行比对,当完全一致时,确定应用为病毒应用。这种检测方法无法检测出包含未知病毒特征的病毒应用,容易产生误报或漏报,降低了检测病毒应用的有效性。
【发明内容】
[0004]本申请的目的在于提出一种改进的可疑病毒应用上传的方法和装置,来解决以上【背景技术】部分提到的技术问题。
[0005]—方面,本申请提供了一种可疑病毒应用上传的方法,所述方法包括:获取至少一段可疑病毒特征码,其中,所述可疑病毒特征码包括从病毒应用样本中获取的体现病毒特征的代码;将终端应用的代码与所述可疑病毒特征码进行匹配,如果所述终端应用包含与所述至少一段可疑病毒特征码中任一段可疑病毒特征码的相似度高于相似度阈值的代码,将终端应用确定为可疑病毒应用;检测用户对所述可疑病毒应用的预定操作;响应于预定操作,将所述可疑病毒应用上传。
[0006]在一些实施例中,所述预定操作包括以下至少一项:卸载所述可疑病毒应用的操作、确定将可疑病毒应用上传的操作。
[0007]在一些实施例中,每段可疑病毒特征码具有根据预设的命名规则命名的可疑病毒特征名;以及,所述方法还包括:获取所述可疑病毒应用所匹配的可疑病毒特征码的可疑病毒特征名;将所述可疑病毒特征名上传,以供接收端将所述可疑病毒特征名与特征名列表相匹配,并发送所述特征名列表是否包括所述可疑病毒特征名的响应信息。
[0008]第二方面,本申请提供了一种可疑病毒特征码获取的方法,其特征在于,所述方法包括:获取终端上传的可疑病毒应用,其中,所述可疑病毒应用由所述终端通过以下步骤确定:获取至少一段可疑病毒特征码所述可疑病毒特征码包括从病毒应用样本中获取的体现病毒特征的代码;将终端应用的代码与所述至少一段可疑病毒特征码进行匹配,如果终端应用包含与所述至少一段可疑病毒特征码中任一段可疑病毒特征码的相似度高于相似度阈值的代码,将所述终端应用确定为可疑病毒应用;对所述可疑病毒应用进行反编译,获取所述可疑病毒应用的源代码;从所述源代码获取体现病毒特征的代码作为可疑病毒特征码。
[0009]在一些实施例中,所述方法还包括:接收所述终端发送来的可疑病毒特征名,其中,所述可疑病毒特征名是根据预设的命名规则为可疑病毒特征码命名得到的,所述特征名列表用于记录已获取可疑病毒应用样本的病毒特征码的可疑病毒特征名;将所述可疑病毒特征名与特征名列表相匹配;根据匹配结果向所述终端发送特征名列表是否包括所述可疑病毒特征名的响应信息。
[0010]在一些实施例中,如果根据所述响应信息确定所述特征名列表不包括所述可疑病毒特征名,所述方法还包括:响应于接收到终端上传的可疑病毒应用,将所述可疑病毒特征名加入所述特征名列表。
[0011]第三方面,本申请提供了一种可疑病毒应用上传的装置,所述装置包括:获取单元,配置用于获取至少一段可疑病毒特征码,其中,所述可疑病毒特征码包括从病毒应用样本中获取的体现病毒特征的代码;确定单元,配置用于将终端应用的代码与所述可疑病毒特征码进行匹配,如果所述终端应用包含与所述至少一段可疑病毒特征码中任一段可疑病毒特征码的相似度高于相似度阈值的代码,将终端应用确定为可疑病毒应用;检测单元,配置用于检测用户对所述可疑病毒应用的预定操作;上传单元,配置用于响应于预定操作,将所述可疑病毒应用上传。
[0012]在一些实施例中,所述预定操作包括以下至少一项:卸载所述可疑病毒应用的操作、确定将可疑病毒应用上传的操作。
[0013]在一些实施例中,每段可疑病毒特征码具有根据预设的命名规则命名的可疑病毒特征名;以及,所述装置还包括:特征名获取单元,配置用于获取所述可疑病毒应用所匹配的可疑病毒特征码的可疑病毒特征名;特征名上传单元,配置用于将所述可疑病毒特征名上传,以供接收端将所述可疑病毒特征名与特征名列表相匹配,并发送所述特征名列表是否包括所述可疑病毒特征名的响应信息。
[0014]第四方面,本申请提供了一种可疑病毒特征码获取的装置,所述装置包括:样本获取单元,配置用于获取终端上传的可疑病毒应用,其中,所述可疑病毒应用由所述终端通过以下步骤确定:获取至少一段可疑病毒特征码,所述可疑病毒特征码包括从病毒应用样本中获取的体现病毒特征的代码;将终端应用的代码与所述至少一段可疑病毒特征码进行匹配,如果终端应用包含与所述至少一段可疑病毒特征码中任一段可疑病毒特征码的相似度高于相似度阈值的代码,将所述终端应用确定为可疑病毒应用;反编译单元,配置用于对所述可疑病毒应用进行反编译,获取所述可疑病毒应用的源代码;特征码获取单元,配置用于从所述源代码获取体现病毒特征的代码作为可疑病毒特征码。
[0015]在一些实施例中,所述装置还包括:特征名接收单元,配置用于接收所述终端发送来的可疑病毒特征名,其中,所述可疑病毒特征名是根据预设的命名规则为可疑病毒特征码命名得到的,所述特征名列表用于记录已获取可疑病毒应用样本的病毒特征码的可疑病毒特征名;特征名匹配单元,配置用于将所述可疑病毒特征名与特征名列表相匹配;发送单元,配置用于根据匹配结果发送特征名列表是否包括所述可疑病毒特征名的响应信息。
[0016]在一些实施例中,所述装置还包括添加单元,如果根据所述响应信息确定所述特征名列表不包括所述可疑病毒特征名,所述添加单元配置用于响应于接收到终端上传的可疑病毒应用,将所述可疑病毒特征名加入所述特征名列表。
[0017]第五方面,本申请还提供了一种检测可疑病毒应用的系统,所述系统包括终端设备和后台服务器,所述终端设备包括第三方面或第三方面的任一种可疑病毒应用上传的装置,所述后台服务器包括第四方面或第四方面的任一种可疑病毒特征码获取的装置。
[0018]本申请提供的可疑病毒应用上传的方法和装置及可疑病毒特征码获取的方法和装置,通过获取至少一段可疑病毒特征码,接着将终端应用的代码与可疑病毒特征码进行匹配,如果终端应用包含与至少一段可疑病毒特征码中任一段可疑病毒特征码的相似度高于相似度阈值的代码,将终端应用确定为可疑病毒应用,然后检测用户对可疑病毒应用的预定操作,响应于检测到用户的预定操作,将可疑病毒应用上传,接着对所上传的可疑病毒应用进行反编译,获取可疑病毒应用的源代码,并从源代码获取体现病毒特征的代码作为可疑病毒特征码,循环执行上述方案,可以将包含与原可疑病毒特征码不完全一致的可疑病毒应用检测出来,从而不断丰富和更新可疑病毒特征码,提高检测病毒应用的有效性。
【附图说明】
[0019]通过阅读参照以下附图所作的对非限制性实施例的详细描述,本申请的其它特征、目的和优点将会变得更明显:
[0020]图1示出了可以应用本申请实施例的示例性系统架构;
[0021]图2是根据本申请的可疑病毒应用上传的方法的一个实施例的流程图;
[0022]图3是根据本申请的可疑病毒特征码获取的方法的一个应用场景的流程图;
[0023]图4是根据本申请的可疑病毒特征码获取的方法的实施例的流程图;
[0024]图5是示出了使用图2给出的实施例的方法的终端设备和使用图4给出的实施例的方法的后台服务器的交互流程示意图;
[0025]图6是根据本申请的可疑病毒应用上传的装置的一个实施例的结构示意图;
[0026]图7是根据本申请的可疑病毒特征码获取的装置的一个实施例的结构示意图;
[0027]图8示出了适于用来实现本申请实施例的各装置的计算机系统的结构示意图。
【具体实施方式】
[0028]下面结合附图和实施例对本申请作进一步的
文档序号 :
【 9471857 】
技术研发人员:周志勇,周远
技术所有人:百度在线网络技术(北京)有限公司
备 注:该技术已申请专利,仅供学习研究,如用于商业用途,请联系技术所有人。
声 明 :此信息收集于网络,如果你是此专利的发明人不想本网站收录此信息请联系我们,我们会在第一时间删除
技术研发人员:周志勇,周远
技术所有人:百度在线网络技术(北京)有限公司
备 注:该技术已申请专利,仅供学习研究,如用于商业用途,请联系技术所有人。
声 明 :此信息收集于网络,如果你是此专利的发明人不想本网站收录此信息请联系我们,我们会在第一时间删除