[发明专利]一种异常应用程序的识别方法及装置

说明书

【技术领域】

本发明涉及互联网络领域，特别是涉及一种异常应用程序的识别方法和装置。

【背景技术】

随着互联网络的不断普及，对网络安全性能提出了很高的要求。

用户在使用计算机登录互联网络后，经常会因为各种各样的原因感染病毒或者木马，现有技术中，对病毒或者木马等异常应用程序的识别方法包括以下两种形式：

第一、特征扫描方式；该方式技术是在人为发现新病毒后，对病毒进行分析，根据病毒的特点提取病毒特征，将提取的病毒特征加入到数据库中。在后续执行查毒程序时，若发现有可疑文件，则将该可疑文件与病毒数据库中的病毒特征进行匹配，以判断该可疑文件是否含有病毒。该方式的缺点是不能识别未知的病毒，而且随着病毒种类的增多，特别是变形病毒和隐藏性病毒的发展，病毒特征数据库越来越庞大，该方式显然不能满足及时快速查杀病毒的要求。

第二、人工规则行为启发式扫描方式，该方式通过人工分析已知的病毒样本，总结病毒样本的行为规则，然后将总结的规则保存到数据库。在发现可疑文件时，将可疑文件的运行行为与预先存储的行为规则进行逐一匹配，如果匹配搭配一致的行为规则，则判定该可疑文件为病毒。该方式能够对一些未知病毒进行识别，但是随着病毒的不断发展，新型病毒层出不穷，病毒行为也千变万化，而通过人工分析病毒行为然后进行总结的方式，显然效率低下，不能满足查杀病毒的要求。

综上，如何能够及时的识别新型病毒，提高病毒的查杀效率，是需要解决的技术问题之一。

【发明内容】

本发明的一个目的在于提供一种异常应用程序的识别方法，旨在能够及时的识别新型病毒，提高病毒的查杀效率。

为达到上述有益技术效果，本发明构造了一种异常应用程序的识别方法，所述方法包括以下步骤：

运行已存储的异常应用程序，获取异常应用程序的动态行为信息；

将获取的异常应用程序的动态行为信息输入至预先设置的检测网络；

通过所述检测网络获取所述动态行为信息的行为规则；

根据获取的行为规则对检测到的应用程序进行识别，以判断检测到的应用程序是否为异常应用程序。

在本发明一实施例中：运行已存储的异常应用程序的步骤之前，所述方法还包括以下步骤：

预先生成一检测网络。

在本发明一实施例中：将获取的异常应用程序的动态行为信息输入至预先设置的检测网络的骤具体包括：

将获取的异常应用程序的动态行为信息转化为行为向量；

将所述行为向量输入至所述检测网络。

在本发明一实施例中：运行已存储的异常应用程序的步骤之前，所述方法还包括以下步骤：

建立动态行为信息监控点；

通过所述动态行为信息监控点获取异常应用程序的动态行为信息。

在本发明一实施例中：所述检测网络为反向传播网络。

本发明的另一个目的在于提供一种异常应用程序的识别装置，旨在能够及时的识别新型病毒，提高病毒的查杀效率。

为达到上述有益技术效果，本发明构造了一种异常应用程序的识别装置，所述装置包括：

动态行为信息获取模块，用于运行已存储的异常应用程序，获取异常应用程序的动态行为信息；

动态行为信息传送模块，用于将获取的异常应用程序的动态行为信息输入至预先设置的检测网络；

行为规则获取模块，用于通过所述检测网络获取所述动态行为信息的行为规则；

识别模块，用于根据获取的行为规则对检测到的应用程序进行识别，以判断检测到的应用程序是否为异常应用程序。

在本发明一实施例中：所述装置还包括：检测网络生成模块，用于预先生成一检测网络。

在本发明一实施例中：所述装置还包括：行为向量转化模块，用于将获取的异常应用程序的动态行为信息转化为行为向量，所述动态行为信息传送模块将所述行为向量输入至所述检测网络。

在本发明一实施例中：所述装置还包括：监控点建立模块，用于建立动态行为信息监控点，所述动态行为信息获取模块通过所述动态行为信息监控点获取异常应用程序的动态行为信息。

在本发明一实施例中：所述检测网络为反向传播网络。

相对于现有技术，本发明预先建立一个检测络，然后运行已存储的异常应用程序，获取异常应用程序的动态行为信息，将获取的动态行为信息输入至检测网络，由所述检测网络总结获取异常应用程序的行为规则，并根据获取的行为规则去识别其它异常应用程序。显然，本发明能够及时的识别新型病毒，提高了病毒的查杀效率。