[发明专利]用于检测恶意应用的方法及装置在审
| 申请号: | 201611035384.6 | 申请日: | 2016-11-18 |
| 公开(公告)号: | CN108073803A | 公开(公告)日: | 2018-05-25 |
| 发明(设计)人: | 马文翼 | 申请(专利权)人: | 北京京东尚科信息技术有限公司;北京京东世纪贸易有限公司 |
| 主分类号: | G06F21/53 | 分类号: | G06F21/53;G06F21/56 |
| 代理公司: | 北京律智知识产权代理有限公司 11438 | 代理人: | 邢雪红;姜怡 |
| 地址: | 100195 北京市海淀区杏石口路6*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 应用文件 应用 虚拟系统 检测 快速检测 使用系统 运行数据 云端 灵活 申请 部署 分析 | ||
1.一种用于检测恶意应用的方法,其特征在于,包括:
获取待分析的应用文件;
在至少一个虚拟系统上安装并运行所述应用文件,所述至少一个虚拟系统部署在云端;以及
获取所述应用文件的运行数据。
2.如权利要求1所述的方法,其特征在于,还包括:
通过多级分类算法对所述运行数据进行分析,得到恶意应用怀疑程度曲线。
3.如权利要求1所述的方法,其特征在于,获取待分析的应用文件,包括:
获取待分析的所述应用的apk文件。
4.如权利要求1所述的方法,其特征在于,在至少一个虚拟系统上安装并运行所述应用文件,包括:
判断所述应用文件是否已经经过恶意应用检测。
5.如权利要求1所述的方法,其特征在于,获取所述应用文件的运行数据,包括:
通过特征提取工具获取所述应用文件的运行数据。
6.如权利要求5所述的方法,其特征在于,所述特征提取工具包括:Monky、Strace、Netflow、Logcat、sysdump以及wireshark中的至少一种。
7.如权利要求2所述的方法,其特征在于,通过多级分类算法对所述数据进行分析,得到恶意应用怀疑程度曲线,包括:
所述运行数据与训练集数据进行欧式距离相似性测量,得到相似性值;
由所述相似性值与第一预定权重系数,得到恶意应用值;以及
由所述相似性值与第二预定权重系数,得到僵尸网络值。
8.如权利要求7所述的方法,其特征在于,通过多级分类算法对所述数据进行分析,得到恶意应用怀疑程度曲线,包括:
由所述恶意应用值、所述僵尸网络值以及第三预定权重系数,得到恶意应用怀疑程度曲线。
9.如权利要求2所述的方法,其特征在于,还包括:
通过梯度算法与所述恶意应用怀疑程度曲线,确定所述应用所属的恶意应用类型。
10.一种用于检测恶意应用的方法,其特征在于,包括:
获取待分析的应用文件;
发送所述应用文件给服务器,以使得部署在云端的至少一个虚拟系统接收到所述应用文件;以及
获取所述服务器对所述应用的分析结果,并展示所述分析结果。
11.如权利要求10所述的方法,其特征在于,所述应用的文件包括:所述应用的apk文件。
12.一种用于检测恶意应用的装置,其特征在于,包括:
获取应用模块,用于获取待分析的应用文件;
虚拟机模块,用于在至少一个虚拟系统上安装并运行所述应用文件,所述虚拟系统部署在云端;以及
获取数据模块,用于获取所述应用文件的运行数据。
13.如权利要求12所述的装置,其特征在于,还包括:
分析模块,用于通过多级分类算法对所述运行数据进行分析,得到恶意应用怀疑程度曲线;以及
类型模块,用于通过梯度算法与所述恶意应用怀疑程度曲线,确定所述应用所属的恶意应用类型。
14.一种用于检测恶意应用的装置,其特征在于,包括:
获取模块,用于获取待分析的应用文件;
发送模块,用于发送所述应用文件给服务器,以使得部署在云端的至少一个虚拟系统接收到所述应用文件;以及
结果显示模块,用于获取所述服务器对所述应用的分析结果,并展示所述分析结果。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京京东尚科信息技术有限公司;北京京东世纪贸易有限公司,未经北京京东尚科信息技术有限公司;北京京东世纪贸易有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201611035384.6/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种密码输入保护系统和方法
- 下一篇:一种风险识别方法和装置
