[发明专利]可疑病毒应用上传的方法和装置

说明书

本申请公开了一种可疑病毒应用上传的方法和装置。所述方法的一具体实施方式包括：获取至少一段可疑病毒特征码，其中，所述可疑病毒特征码包括从病毒应用样本中获取的体现病毒特征的代码；将终端应用的代码与所述可疑病毒特征码进行匹配，如果所述终端应用包含与所述至少一段可疑病毒特征码中任一段可疑病毒特征码的相似度高于相似度阈值的代码，将终端应用确定为可疑病毒应用；检测用户对所述可疑病毒应用的预定操作；响应于预定操作，将所述可疑病毒应用上传。该实施方式可以提高检测病毒应用的有效性。

技术领域

本申请涉及计算机技术领域，具体涉及病毒检测技术领域，尤其涉及可疑病毒应用上传的方法和装置。

背景技术

随着互联网技术和终端设备的发展，终端应用的类别和数量也越来越多，例如交友类应用、购物类应用、理财应用等等。这些应用中，具有病毒特征(例如破坏终端功能或数据、获取终端数据或者恶意传播)的应用通常被称为病毒应用。其中，多种病毒应用可以具有相同或相似的病毒特征。为了保护终端功能或数据不被破坏或恶意获取，需要检索出终端上的病毒应用。

目前的检测病毒应用的方法一般包括：特征代码法、校验和法、行为监测法、软件模拟法。其中特征代码法往往通过抽取病毒特征的病毒特征代码，将被检测应用的代码与病毒特征代码进行比对，当完全一致时，确定应用为病毒应用。这种检测方法无法检测出包含未知病毒特征的病毒应用，容易产生误报或漏报，降低了检测病毒应用的有效性。

发明内容

本申请的目的在于提出一种改进的可疑病毒应用上传的方法和装置，来解决以上背景技术部分提到的技术问题。

一方面，本申请提供了一种可疑病毒应用上传的方法，所述方法包括：获取至少一段可疑病毒特征码，其中，所述可疑病毒特征码包括从病毒应用样本中获取的体现病毒特征的代码；将终端应用的代码与所述可疑病毒特征码进行匹配，如果所述终端应用包含与所述至少一段可疑病毒特征码中任一段可疑病毒特征码的相似度高于相似度阈值的代码，将终端应用确定为可疑病毒应用；检测用户对所述可疑病毒应用的预定操作；响应于预定操作，将所述可疑病毒应用上传。

在一些实施例中，所述预定操作包括以下至少一项：卸载所述可疑病毒应用的操作、确定将可疑病毒应用上传的操作。

在一些实施例中，每段可疑病毒特征码具有根据预设的命名规则命名的可疑病毒特征名；以及，所述方法还包括：获取所述可疑病毒应用所匹配的可疑病毒特征码的可疑病毒特征名；将所述可疑病毒特征名上传，以供接收端将所述可疑病毒特征名与特征名列表相匹配，并发送所述特征名列表是否包括所述可疑病毒特征名的响应信息。

第二方面，本申请提供了一种可疑病毒特征码获取的方法，其特征在于，所述方法包括：获取终端上传的可疑病毒应用，其中，所述可疑病毒应用由所述终端通过以下步骤确定：获取至少一段可疑病毒特征码所述可疑病毒特征码包括从病毒应用样本中获取的体现病毒特征的代码；将终端应用的代码与所述至少一段可疑病毒特征码进行匹配，如果终端应用包含与所述至少一段可疑病毒特征码中任一段可疑病毒特征码的相似度高于相似度阈值的代码，将所述终端应用确定为可疑病毒应用；对所述可疑病毒应用进行反编译，获取所述可疑病毒应用的源代码；从所述源代码获取体现病毒特征的代码作为可疑病毒特征码。

在一些实施例中，所述方法还包括：接收所述终端发送来的可疑病毒特征名，其中，所述可疑病毒特征名是根据预设的命名规则为可疑病毒特征码命名得到的，所述特征名列表用于记录已获取可疑病毒应用样本的病毒特征码的可疑病毒特征名；将所述可疑病毒特征名与特征名列表相匹配；根据匹配结果向所述终端发送特征名列表是否包括所述可疑病毒特征名的响应信息。

在一些实施例中，如果根据所述响应信息确定所述特征名列表不包括所述可疑病毒特征名，所述方法还包括：响应于接收到终端上传的可疑病毒应用，将所述可疑病毒特征名加入所述特征名列表。