[发明专利]应用程序检测方法及装置

说明书

本发明公开了一种应用程序检测方法及装置，其中，所述方法包括：在属于白名单的应用程序运行时，获取该应用程序的程序特征；根据所述程序特征获取与所述程序特征对应的应用程序的运行列表；根据所述运行列表监控与所述程序特征对应的应用程序的运行。本实施例中的应用程序检测方法能够有效监控白名单中应用程序的运行，进而保证客户端中程序运行的安全，且保证客户端的安全。

技术领域

本发明涉及网络安全技术，具体涉及一种应用程序检测方法及装置。

背景技术

传统的恶意程序防杀主要依赖于特征库模式，特征库是由厂商收集到的恶意程序样本的特征码组成，而特征码则是分析工程师从恶意程序中找到和正当软件的不同之处，截取一段类似于“搜索关键词”的程序代码。当查杀过程中，引擎会读取文件并与特征库中的所有特征码“关键词”进行匹配，如果发现文件程序代码被命中，就可以判定该文件程序为恶意程序。

之后又衍生出了在本地启发式杀毒的方式，是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。恶意程序和正常程序的区别可以体现在许多方面，比如：通常一个应用程序在最初的指令，是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，而恶意程序通常最初的指令则是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术实际上就是把这种经验和知识移植到一个查杀病毒软件中的具体程序体现。

但是上述查杀恶意软件的方法都是基于恶意行为和/或恶意特征，先对一个程序判定其是否为恶意程序，然后再决定是否进行查杀或清理。这就不可避免导致出现了如下弊端。

第一：恶意程序数量呈几何级增长，基于这种爆发式的增速，特征库的生成与更新往往是滞后的，特征库中恶意程序的特征码的补充跟不上层出不穷的未知恶意程序；

第二：恶意程序制作者对免杀技术的应用，通过对恶意程序加壳或修改该恶意程序的特征码的手法越来越多的出现；以及许多木马程序采用了更多更频繁快速的自动变形，这些都导致通过恶意行为和/或恶意特征对恶意程序进行判定的难度越来越大，导致较多的恶意程序被确定为白名单，由此，该些恶意程序在设备/客户端中造成破坏。

鉴于此，如何保证白名单中所有的程序都能够安全运行成为当前需要解决的技术问题。

发明内容

针对现有技术中的缺陷，本发明提供了一种应用程序检测方法及装置，该应用程序检测方法能够有效保证客户端中属于白名单的应用程序的安全运行，保证客户端的安全。

第一方面，本发明提供一种应用程序检测装置，包括：

程序特征获取单元，用于在属于白名单的应用程序运行时，获取该应用程序的程序特征；

运行列表获取单元，用于根据所述程序特征获取与所述程序特征对应的应用程序的运行列表；

监控单元，用于根据所述运行列表监控与所述程序特征对应的应用程序的运行。

可选的，所述运行列表获取单元，具体用于：

将所述程序特征获取单元获取的应用程序的程序特征发送服务器，以使服务器根据预设规则确定与所述程序特征对应的应用程序的运行列表；

接收所述服务器发送的所述应用程序的运行列表。

可选的，所述运行列表获取单元，具体用于：

将获取的该应用程序的程序特征和所述客户端的系统环境信息发送服务器，以使服务器查找与所述系统环境信息匹配的预设规则，根据查找的预设规则确定与所述程序特征对应的应用程序的运行列表。

可选的，所述运行列表获取单元，具体用于：