CN119106417B - 用于应用程序的安全检测方法、系统及存储介质 - Google Patents
用于应用程序的安全检测方法、系统及存储介质 Download PDFInfo
- Publication number
- CN119106417B CN119106417B CN202411596619.3A CN202411596619A CN119106417B CN 119106417 B CN119106417 B CN 119106417B CN 202411596619 A CN202411596619 A CN 202411596619A CN 119106417 B CN119106417 B CN 119106417B
- Authority
- CN
- China
- Prior art keywords
- application
- suspicious
- monitoring unit
- communication data
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请涉及应用程序检测技术领域,尤其涉及用于应用程序的安全检测方法、系统及存储介质,检测方法包括:S1、第一监测单元确定若干个可疑的第一应用模块,并且第二监测单元确定若干个可疑的第二应用模块;S2、判定模块判定若干个可疑的最终应用模块;S3、检查模块针对每个特征文档,从特征文档中收集若干个特征语句,确定分别与若干个特征语句相对应的若干个特征信息,检查模块还生成若干个检查标准;S4、检查模块使用通过了正确性检验处理的不同的检查标准,针对若干个可疑的最终应用模块中的不同的应用文档进行检查处理,以检查出可疑的应用文档。本申请能自动检查出有安全问题的应用软件,提高应用程序的安全性。
Description
技术领域
本申请涉及应用程序检测技术领域,尤其涉及用于应用程序的安全检测方法、系统及存储介质。
背景技术
随着计算机应用技术的不断发展,应用程序的安全问题越来越受到人们的关注,因此需要一种用于应用程序的安全检测方法来及时的发现可能存在安全缺陷的应用程序,以避免数据被窃取或者篡改。
公开号为CN111382444A的中国专利申请,公开了软件安全检测系统及软件安全检测方法,系统包含软件检测装置以及开放数据检测装置,软件检测装置用以接收软件,对软件进行分类,并以相应于软件的类型的第一程序对软件的原始码进行检测,或软件检测装置以相应于软件的类型的第二程序对软件的至少一参数传递的关系进行检测,若软件的原始码异常或软件的至少一参数传递的关系异常,则软件检测装置输出异常信号。开放数据检测装置用以向数据库取得多个开放数据的多个安全漏洞,并检测软件是否包含这些开放数据的其中一者,若软件包含这些开放数据的其中一者,则开放数据检测装置输出开放原始码提醒信号。此外,公开号为CN111552967A的中国专利申请,公开了一种应用软件安全漏洞检测方法,包括以下步骤:S1、利用钩子技术对应用软件进行的方法或者函数进行挂载;S2、当被挂载的方法或者函数被调用时,触发漏洞检测程序;S3、漏洞检测程序对用户输入数据的传递过程进行分析并检测应用软件的安全漏洞,可以对应用软件进行无感知的测试,不会生成脏数据,测试能力稳定,漏报率低。然而,上述的专利申请的检测方法的前提是已经确定可能安装了问题软件的设备,缺少自动检查出有安全问题的应用软件的方法,还存在不足。
发明内容
本申请在包括多个应用模块的网络系统中确定出可疑的最终应用模块,生成不同的检查标准,对不同的检查标准进行正确性检验处理,使用通过了正确性检验处理的若干个检查标准,针对可疑的最终应用模块中的不同的应用文档进行检查处理,目的是为了自动检查出有安全问题的应用软件。
本申请提供了用于应用程序的安全检测方法,主要包括如下步骤:
S1、设置若干个所述应用模块中的任意两个所述应用模块通过所述监测模块进行通信连接,同时所述第一监测单元持续的获取通信数据,凭借获取到的不同的通信数据确定若干个可疑的第一应用模块,并且所述第二监测单元持续的获取通信数据,依据获取到的不同的通信数据确定若干个可疑的第二应用模块;
S2、基于所述第一监测单元确定的若干个可疑的第一应用模块,以及所述第二监测单元确定的若干个可疑的第二应用模块,所述判定模块判定若干个可疑的最终应用模块;
S3、所述检查模块提前存储不同的特征文档,并且所述检查模块针对每个特征文档,从特征文档中收集若干个特征语句,确定分别与若干个特征语句相对应的若干个特征信息,所述检查模块还根据由不同的特征文档的若干个特征信息组成的全部的特征信息生成若干个检查标准;
S4、所述检查模块针对生成的每个检查标准进行正确性检验处理,并且使用通过了正确性检验处理的不同的检查标准,针对若干个可疑的最终应用模块中的不同的应用文档进行检查处理,以检查出可疑的应用文档。
作为本申请的一种优选技术方案,在所述S1中,所述第一监测单元持续的获取通信数据,凭借获取到的不同的通信数据确定若干个可疑的第一应用模块,包括如下步骤:
S111、所述第一监测单元获取一个通信数据,并且所述第一监测单元判断获取的通信数据是否用于建立通信连接,在是的情况下,针对获取的通信数据进行存储处理,继续下个步骤,在否的情况下,跳转S113;
S112、基于存储的全部的通信数据,所述第一监测单元统计对应的通信起点不相同,而对应的通信终点相同的不同的通信数据的总数量,判断总数量是否大于预设的第一数量阈值,在是的情况下,将不同的通信数据分别对应的若干个应用模块当作若干个可疑的第一应用模块,跳转S114,在否的情况下,跳转所述S111;
S113、所述第一监测单元判断获取的通信数据是否用于结束通信连接,在是的情况下,记录获取的通信数据对应的应用模块,跳转所述S111,在否的情况下,直接跳转所述S111;
S114、所述第一监测单元判断是否停止处理,在是的情况下,结束全部步骤,在否的情况下,跳转所述S111。
作为本申请的一种优选技术方案,在所述S1中,所述第二监测单元持续的获取通信数据,依据获取到的不同的通信数据确定若干个可疑的第二应用模块,包括如下步骤:
S121、所述第二监测单元获取一个通信数据,并且所述第二监测单元判断获取的通信数据是否用于建立通信连接,在是的情况下,针对获取的通信数据进行存储处理,继续下个步骤,在否的情况下,重复本步骤;
S122、基于存储的全部的通信数据,所述第二监测单元统计对应的通信起点相同,而对应的通信终点不相同的不同的通信数据的总数量,判断总数量是否大于预设的第二数量阈值,在是的情况下,继续下个步骤,在否的情况下,跳转所述S121;
S123、所述第二监测单元判断不同的通信数据对应的所有的通信终点是否都是明确的,在是的情况下,删除存储的不同的通信数据,跳转所述S121,在否的情况下,将不同的通信数据分别对应的若干个应用模块当作若干个可疑的第二应用模块,继续下个步骤;
S124、所述第二监测单元判断是否停止处理,在是的情况下,结束全部步骤,在否的情况下,跳转所述S121。
作为本申请的一种优选技术方案,所述S2包括如下步骤:
S21、所述判定模块从所述第二监测单元确定的若干个可疑的第二应用模块中选择一个可疑的第二应用模块,继续下个步骤;
S22、所述判定模块判断选择出的可疑的第二应用模块是否同样存在于所述第一监测单元确定的若干个可疑的第一应用模块中,在是的情况下,判定选择出的可疑的第二应用模块为可疑的最终应用模块,继续下个步骤,在否的情况下,直接继续下个步骤;
S23、所述判定模块判断是否停止处理,在是的情况下,结束全部步骤,在否的情况下,跳转所述S21。
作为本申请的一种优选技术方案,在所述S3中,每个特征文档包括不同的数据记录,每个数据记录与一个系统事件相对应,所述检查模块针对每个特征文档,从特征文档中的与预设的不同的系统事件相对应的若干个数据记录中收集若干个特征语句。
作为本申请的一种优选技术方案,在所述S3中,所述检查模块针对每个特征文档,确定分别与若干个特征语句相对应的若干个特征信息,其中,特征信息用来表达在一个系统事件发生的情况下出现相应的特征语句。
作为本申请的一种优选技术方案,在所述S3中,所述检查模块还根据由不同的特征文档的若干个特征信息组成的全部的特征信息生成若干个检查标准,其中,检查标准包括原因特征信息,以及结果特征信息。
作为本申请的一种优选技术方案,在所述S3中,所述检查模块在根据由不同的特征文档的若干个特征信息组成的全部的特征信息生成若干个检查标准之后,针对每个检查标准,先计算原因特征信息与结果特征信息共同对应的特定事件的总个数与原因特征信息单独对应的特定事件的总个数的第一比值,再计算第一比值与结果特征信息单独对应的特定事件的总个数的第二比值,并且存储对应的第二比值大于预设的比值阈值的检查标准。
本申请还提供了用于应用程序的安全检测系统,主要包括如下模块:
监测模块,由第一监测单元和第二监测单元组成,第一监测单元用于持续的获取通信数据,凭借获取到的不同的通信数据确定若干个可疑的第一应用模块,第二监测单元用于持续的获取通信数据,依据获取到的不同的通信数据确定若干个可疑的第二应用模块;
判定模块,用于基于第一监测单元确定的若干个可疑的第一应用模块,以及第二监测单元确定的若干个可疑的第二应用模块判定若干个可疑的最终应用模块;
检查模块,用于提前存储不同的特征文档,针对每个特征文档,从特征文档中收集若干个特征语句,确定分别与若干个特征语句相对应的若干个特征信息,还根据由不同的特征文档的若干个特征信息组成的全部的特征信息生成若干个检查标准,并且用于针对生成的每个检查标准进行正确性检验处理,使用通过了正确性检验处理的不同的检查标准,针对若干个可疑的最终应用模块中的不同的应用文档进行检查处理,以检查出可疑的应用文档;
应用模块,用于被设置为通过监测模块与其他的应用模块进行通信连接。
本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述的用于应用程序的安全检测方法。
本申请至少具有以下有益效果:
在本申请提供的技术方案中,首先第一监测单元持续的获取通信数据,凭借获取到的不同的通信数据确定若干个可疑的第一应用模块,第二监测单元持续的获取通信数据,依据获取到的不同的通信数据确定若干个可疑的第二应用模块;其次基于第一监测单元确定的若干个可疑的第一应用模块,以及第二监测单元确定的若干个可疑的第二应用模块,判定模块判定若干个可疑的最终应用模块;再次检查模块针对每个特征文档,从特征文档中收集若干个特征语句,确定分别与若干个特征语句相对应的若干个特征信息,检查模块还根据由不同的特征文档的若干个特征信息组成的全部的特征信息生成若干个检查标准;最后检查模块使用通过了正确性检验处理的不同的检查标准,针对若干个可疑的最终应用模块中的不同的应用文档进行检查处理,以检查出可疑的应用文档,从而检查出有安全问题的应用软件。本申请不仅能从包括多个不同的应用模块的网络系统中准确的确定出可疑的最终应用模块,而且还能自动的生成正确性高的检查标准,使用通过了正确性检验处理的检查标准对可疑的最终应用模块中的应用文档进行检查,能检查出有安全问题的应用软件,提高应用程序的安全性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以基于这些附图获得其他的附图。
图1为本申请实施例中用于应用程序的安全检测方法的一个实施例示意图;
图2为本申请实施例中用于应用程序的安全检测系统的一个实施例示意图。
具体实施方式
为便于理解,下面对本申请实施例的具体流程进行描述,请参阅图1,本申请实施例中的用于应用程序的安全检测方法主要包括如下的步骤:
S1、设置若干个应用模块中的任意两个应用模块通过监测模块进行通信连接,同时第一监测单元持续的获取通信数据,凭借获取到的不同的通信数据确定若干个可疑的第一应用模块,并且第二监测单元持续的获取通信数据,依据获取到的不同的通信数据确定若干个可疑的第二应用模块;
S2、基于第一监测单元确定的若干个可疑的第一应用模块,以及第二监测单元确定的若干个可疑的第二应用模块,判定模块判定若干个可疑的最终应用模块;
S3、检查模块提前存储不同的特征文档,并且检查模块针对每个特征文档,从特征文档中收集若干个特征语句,确定分别与若干个特征语句相对应的若干个特征信息,检查模块还根据由不同的特征文档的若干个特征信息组成的全部的特征信息生成若干个检查标准;
S4、检查模块针对生成的每个检查标准进行正确性检验处理,并且使用通过了正确性检验处理的不同的检查标准,针对若干个可疑的最终应用模块中的不同的应用文档进行检查处理,以检查出可疑的应用文档。
具体地,本申请考虑先在包含不同的应用模块的网络系统中确定可疑的最终应用模块,可疑的最终应用模块指的是可能安装了有安全问题的应用软件的应用模块,再对可疑的最终应用模块中的不同的应用软件进行逐一的安全检查,来确定有安全问题的应用软件,由此提出了S1到S4。
在S1中,设置若干个应用模块中的任意两个应用模块通过监测模块进行通信连接,也就是说任意两个应用模块要想进行数据通信的话都必须由监测模块进行通信数据的转发,在此基础之上,第一监测单元持续的获取通信数据,凭借获取到的不同的通信数据确定若干个可疑的第一应用模块,第二监测单元持续的获取通信数据,依据获取到的不同的通信数据确定若干个可疑的第二应用模块,具体的确定过程都将在下文中被描述。在S2中,判定模块基于第一监测单元确定的若干个可疑的第一应用模块,以及第二监测单元确定的若干个可疑的第二应用模块,判定若干个可疑的最终应用模块,具体的判定过程将在下文中被描述。在S3中,检查模块提前存储不同的特征文档,需要注意的是,特征文档是有安全问题的应用软件的特征文档,特征文档举例如是有安全问题的应用软件的日志文档,之后检查模块针对每个特征文档,从特征文档中收集若干个特征语句,确定分别与若干个特征语句相对应的若干个特征信息,检查模块还根据由不同的特征文档的若干个特征信息组成的全部的特征信息生成若干个检查标准,将在下文中描述S3的详细内容。在S4中,检查模块针对生成的每个检查标准进行正确性检验处理,具体做法是使用每个检查标准对大量的应用文档进行检查处理,大量的应用文档包括多个可疑的应用文档,以及多个正常的应用文档,可疑的应用文档指的是有安全问题的应用软件的应用文档,正常的应用文档指的是没有安全问题的应用软件的应用文档,并且针对全部的可疑的应用文档,先计算检查结果为可疑的应用文档的总个数占可疑的应用文档的总个数的第一比率,再针对全部的正常的应用文档,计算检查结果为可疑的应用文档的总个数占正常的应用文档的总个数的第二比率,需要注意的是,如果一个应用文档满足任意一个检查标准,那么就认为该应用文档是可疑的,若第一比率大于预设的第一比率阈值,同时第二比率小于预设的第二比率阈值,第一比率阈值和第二比率阈值在实际的应用场景下进行设定,那么认为相应的检查标准通过了正确性检验处理。之后检查模块使用通过了正确性检验处理的不同的检查标准,针对若干个可疑的最终应用模块中的不同的应用文档进行检查处理,以检查出可疑的应用文档,可疑的应用文档对应的应用软件就是有安全问题的应用软件。
进一步地,第一监测单元持续的获取通信数据,凭借获取到的不同的通信数据确定若干个可疑的第一应用模块,包括如下步骤:
S111、第一监测单元获取一个通信数据,并且第一监测单元判断获取的通信数据是否用于建立通信连接,在是的情况下,针对获取的通信数据进行存储处理,继续下个步骤,在否的情况下,跳转S113;
S112、基于存储的全部的通信数据,第一监测单元统计对应的通信起点不相同,而对应的通信终点相同的不同的通信数据的总数量,判断总数量是否大于预设的第一数量阈值,在是的情况下,将不同的通信数据分别对应的若干个应用模块当作若干个可疑的第一应用模块,跳转S114,在否的情况下,跳转S111;
S113、第一监测单元判断获取的通信数据是否用于结束通信连接,在是的情况下,记录获取的通信数据对应的应用模块,跳转S111,在否的情况下,直接跳转S111;
S114、第一监测单元判断是否停止处理,在是的情况下,结束全部步骤,在否的情况下,跳转S111。
具体地,在这里对第一监测单元确定若干个可疑的第一应用模块的过程进行介绍,在S111中,第一监测单元获取一个通信数据,判断获取的通信数据是否是用于建立通信连接的,通常情况下在通信数据中包含有不同的标识数据,分别用来表明通信数据的用途,通信起点,以及通信终点等,如果是的话,存储获取的通信数据,继续下个步骤,如果否的话,跳转S113。在S112中,第一监测单元根据存储的全部的通信数据,统计对应的通信起点不相同,而对应的通信终点相同的不同的通信数据的总数量,为了便于理解,举例如通信数据A和通信数据B分别从应用模块A和应用模块B被发送到应用模块C,应用模块A和应用模块B分别为通信起点,应用模块C为通信终点,那么这里的总数量即为2,第一监测单元判断总数量是否大于预设的第一数量阈值,第一数量阈值在实际的应用场景下进行设定,如果是的话,将不同的通信数据分别对应的若干个应用模块当作若干个可疑的第一应用模块,这里的对应指的是与通信数据中的通信起点相对应,跳转S114,如果否的话,跳转S111,这样做是考虑到安装了有安全问题的应用软件的应用模块通常会向一个中心模块发起建立通信连接的申请,中心模块可以是除了自身之外的任意一个应用模块,等待中心模块向其回传确认信息,如果一个应用模块接收到了大量的用于建立通信连接的通信数据,那么其是中心模块的可能性就比较大,可以将向其发送了用于建立通信连接的通信数据的不同的应用模块都认为是可疑的应用模块。在S113中,第一监测单元判断获取的通信数据是否用于结束通信连接,如果是的话,记录获取的通信数据对应的应用模块,记录的应用模块的作用将在下文中出现,跳转S111,如果否的话,直接跳转S111。在S114中,第一监测单元判断是否停止处理,如果是的话,结束全部步骤,如果否的话,跳转S111继续执行。
需要注意的是,通过执行S111到S114,第一监测单元确定了若干个可疑的第一应用模块,但是还应该从这些可疑的第一应用模块中去除那些被记录了的应用模块,这样做是因为安装了有安全问题的应用软件的应用模块通常在向一个中心模块发起了建立通信连接的申请之后,还需要等待中心模块向其回传确认信息,所以其是不会主动结束与中心模块的通信连接的。
进一步地,在S1中,第二监测单元持续的获取通信数据,依据获取到的不同的通信数据确定若干个可疑的第二应用模块,包括如下步骤:
S121、第二监测单元获取一个通信数据,并且第二监测单元判断获取的通信数据是否用于建立通信连接,在是的情况下,针对获取的通信数据进行存储处理,继续下个步骤,在否的情况下,重复本步骤;
S122、基于存储的全部的通信数据,第二监测单元统计对应的通信起点相同,而对应的通信终点不相同的不同的通信数据的总数量,判断总数量是否大于预设的第二数量阈值,在是的情况下,继续下个步骤,在否的情况下,跳转S121;
S123、第二监测单元判断不同的通信数据对应的所有的通信终点是否都是明确的,在是的情况下,删除存储的不同的通信数据,跳转S121,在否的情况下,将不同的通信数据分别对应的若干个应用模块当作若干个可疑的第二应用模块,继续下个步骤;
S124、第二监测单元判断是否停止处理,在是的情况下,结束全部步骤,在否的情况下,跳转S121。
具体地,在这里介绍第二监测单元确定若干个可疑的第二应用模块的过程,在S121中,第二监测单元获取一个通信数据,判断获取的通信数据是否是用于建立通信连接的,如果是的话,针对获取的通信数据进行存储处理,继续下个步骤,如果否的话,重复本步骤。在S122中,第二监测单元根据存储的全部的通信数据,统计对应的通信起点相同,而对应的通信终点不相同的不同的通信数据的总数量,为了便于理解,举例如通信数据D,通信数据E,和通信数据F从应用模块D分别发送到应用模块E,应用模块F,和未知的应用模块,应用模块D为通信起点,应用模块E,应用模块F,和未知的应用模块分别为通信终点,那么这里的总数量为3,判断总数量是否大于预设的第二数量阈值,第二数量阈值在实际的应用场景下进行设定,如果是的话,继续下个步骤,如果否的话,跳转S121,这样做是考虑到安装了有安全问题的应用软件的应用模块在从中心模块接收到确认消息之后,会向大量的其他应用模块发送用于建立通信连接的通信数据,目的是使大量的其他应用模块接收有安全问题的应用软件,因此如果一个应用模块向大量的其他应用模块发送了通信数据,那么其是可疑的应用模块的可能性就较高。在S123中,第二监测单元判断不同的通信数据对应的所有的通信终点是否都是明确的,如果是的话,删除存储的不同的通信数据,跳转S121,如果否的话,将不同的通信数据分别对应的若干个应用模块当作若干个可疑的第二应用模块,这里的对应指的是与通信数据中的通信起点相对应,继续下个步骤,这样做是因为安装了有安全问题的应用软件的应用模块在向其他应用模块发送用于建立通信连接的通信数据时,其他应用模块很可能是未知的,也即通信数据具体要发送给哪个应用模块是不明确的,可以理解为通信数据中的通信终点是空值,因此当不同的通信数据对应的所有的通信终点中存在一个不明确的通信终点时,相应的应用模块是可疑的应用模块的可能性会增加。在S124中,第二监测单元判断是否停止处理,如果是的话,结束全部步骤,如果否的话,跳转S121继续执行。
进一步地,S2包括如下步骤:
S21、判定模块从第二监测单元确定的若干个可疑的第二应用模块中选择一个可疑的第二应用模块,继续下个步骤;
S22、判定模块判断选择出的可疑的第二应用模块是否同样存在于第一监测单元确定的若干个可疑的第一应用模块中,在是的情况下,判定选择出的可疑的第二应用模块为可疑的最终应用模块,继续下个步骤,在否的情况下,直接继续下个步骤;
S23、判定模块判断是否停止处理,在是的情况下,结束全部步骤,在否的情况下,跳转S21。
具体地,在这里介绍如何根据第二监测单元确定的若干个可疑的第二应用模块,以及第一监测单元确定的若干个可疑的第一应用模块确定若干个可疑的最终应用模块,在S21中,判定模块从第二监测单元确定的若干个可疑的第二应用模块中选择一个可疑的第二应用模块,继续下个步骤。在S22中,判定模块判断选择出的可疑的第二应用模块是否同样存在于第一监测单元确定的若干个可疑的第一应用模块中,如果是的话,判定选择出的可疑的第二应用模块为可疑的最终应用模块,继续下个步骤,如果否的话,直接继续下个步骤。在S23中,判定模块判断是否停止处理,如果是的话,结束全部步骤,如果否的话,跳转S21继续执行。通过以上方法将同时被第二监测单元和第一监测单元确定是可疑的应用模块作为可疑的最终应用模块,能确保可疑的最终应用模块的准确性。需要注意的是,在以上方法中先从第二监测单元确定的若干个可疑的第二应用模块中进行选择,再判断选择出的可疑的第二应用模块是否同样存在于第一监测单元确定的若干个可疑的第一应用模块中,因为安装了有安全问题的应用软件的应用模块总是先向中心模块发送用于建立通信连接的通信数据,之后才向大量的其他应用模块发送用于建立通信连接的通信数据,所以以上做法比先从第一监测单元确定的若干个可疑的第一应用模块中进行选择,再判断选择出的可疑的第一应用模块是否同样存在于第二监测单元确定的若干个可疑的第二应用模块中的做法的执行效率高。
进一步地,在S3中,每个特征文档包括不同的数据记录,每个数据记录与一个系统事件相对应,检查模块针对每个特征文档,从特征文档中的与预设的不同的系统事件相对应的若干个数据记录中收集若干个特征语句。
具体地,在每个特征文档中包括有不同的数据记录,每个数据记录与一个系统事件相对应,为了便于理解举例如,一个数据记录为“复制文件名为data的文件”,其对应的系统事件为复制事件,在此基础之上,检查模块针对每个特征文档,从特征文档中的与预设的不同的系统事件相对应的若干个数据记录中收集若干个特征语句,特征语句指的是数据记录中的关键数据,接着上述举例,例如从数据记录“复制文件名为data的文件”收集的特征语句为文件名“data”,预设的不同的系统事件可以包括复制事件,通信事件,删除事件等。
进一步地,在S3中,检查模块针对每个特征文档,确定分别与若干个特征语句相对应的若干个特征信息,其中,特征信息用来表达在一个系统事件发生的情况下出现相应的特征语句。
具体地,检查模块针对每个特征文档,确定分别与若干个特征语句相对应的若干个特征信息,特征信息主要用来表达在一个系统事件发生的情况下同时出现相应的特征语句,接着上述举例,例如与特征语句“data”相对应的特征信息为“在复制事件发生时出现文件名data”。
进一步地,在S3中,检查模块还根据由不同的特征文档的若干个特征信息组成的全部的特征信息生成若干个检查标准,其中,检查标准包括原因特征信息,以及结果特征信息。
具体地,基于不同的特征文档的若干个特征信息共同构成的全部的特征信息,检查模块生成若干个检查标准,具体可以依靠现有技术来实现,检查标准由原因特征信息,以及结果特征信息组成。为了便于理解,接着上述举例,假设还有一个数据记录为“向通信地址为172.16.254.1的通信目的地发送文件”,该数据记录对应的是通信事件,从该数据记录中收集的特征语句为通信地址“172.16.254.1”,与该特征语句相对应的特征信息为“在通信事件发生时出现通信地址172.16.254.1”,例如检查模块生成的一个检查标准可以由上述两个特征信息形成,包括的原因特征信息为“在复制事件发生时出现文件名data”,包括的结果特征信息为“在通信事件发生时出现通信地址172.16.254.1”,这个检查标准代表如果把在复制事件发生时出现文件名data作为前提,那么会发生在通信事件发生时出现通信地址172.16.254.1。
进一步地,在S3中,检查模块在根据由不同的特征文档的若干个特征信息组成的全部的特征信息生成若干个检查标准之后,针对每个检查标准,先计算原因特征信息与结果特征信息共同对应的特定事件的总个数与原因特征信息单独对应的特定事件的总个数的第一比值,再计算第一比值与结果特征信息单独对应的特定事件的总个数的第二比值,并且存储对应的第二比值大于预设的比值阈值的检查标准。
具体地,在基于由不同的特征文档的若干个特征信息组成的全部的特征信息生成若干个检查标准之后,检查模块还对生成的若干个检查标准进行筛选,具体做法是针对每个检查标准,使用检查标准对大量的可疑的应用文档进行检查处理,可疑的应用文档指的是有安全问题的应用软件的应用文档,如果在应用文档中存在与检查标准相对应的特定事件,那么就认为应用文档满足检查标准,在检查模块进行的所有的检查处理都结束之后,先计算原因特征信息与结果特征信息共同对应的特定事件也即与检查标准相对应的特定事件的总个数与原因特征信息单独对应的特定事件的总个数的第一比值,再计算第一比值与结果特征信息单独对应的特定事件的总个数的第二比值,检查模块对生成的若干个检查标准中的对应的第二比值大于预设的比值阈值的检查标准进行存储处理,比值阈值在实际的应用场景下进行设定。通过以上方法,能保证用于检查可疑的应用文档的检查标准的正确性。
上面对本申请实施例中用于应用程序的安全检测方法进行了描述,下面对本申请实施例中用于应用程序的安全检测系统及进行描述,请参阅图2,本申请实施例中用于应用程序的安全检测系统包括如下的模块:
监测模块,由第一监测单元和第二监测单元组成,第一监测单元用于持续的获取通信数据,凭借获取到的不同的通信数据确定若干个可疑的第一应用模块,第二监测单元用于持续的获取通信数据,依据获取到的不同的通信数据确定若干个可疑的第二应用模块;
判定模块,用于基于第一监测单元确定的若干个可疑的第一应用模块,以及第二监测单元确定的若干个可疑的第二应用模块判定若干个可疑的最终应用模块;
检查模块,用于提前存储不同的特征文档,针对每个特征文档,从特征文档中收集若干个特征语句,确定分别与若干个特征语句相对应的若干个特征信息,还根据由不同的特征文档的若干个特征信息组成的全部的特征信息生成若干个检查标准,并且用于针对生成的每个检查标准进行正确性检验处理,使用通过了正确性检验处理的不同的检查标准,针对若干个可疑的最终应用模块中的不同的应用文档进行检查处理,以检查出可疑的应用文档;
应用模块,用于被设置为通过监测模块与其他的应用模块进行通信连接。
本申请还提供一种计算机可读存储介质,该计算机可读存储介质可以为非易失性计算机可读存储介质,该计算机可读存储介质也可以为易失性计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在计算机上运行时,使得计算机执行用于应用程序的安全检测方法的步骤。
所属领域的技术人员可以清楚地了解到,为描述的方便及简洁,上述描述的系统,以及模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神及范围。
Claims (8)
1.用于应用程序的安全检测方法,应用于应用程序的安全检测系统,所述安全检测系统包括监测模块,判定模块,检查模块,以及若干个应用模块,所述监测模块又包括第一监测单元和第二监测单元,其特征在于,所述方法包括如下步骤:
S1、设置若干个所述应用模块中的任意两个所述应用模块通过所述监测模块进行通信连接,同时所述第一监测单元持续的获取通信数据,凭借获取到的不同的通信数据确定若干个可疑的第一应用模块,并且所述第二监测单元持续的获取通信数据,依据获取到的不同的通信数据确定若干个可疑的第二应用模块;
S2、基于所述第一监测单元确定的若干个可疑的第一应用模块,以及所述第二监测单元确定的若干个可疑的第二应用模块,所述判定模块判定若干个可疑的最终应用模块;
S3、所述检查模块提前存储不同的特征文档,并且所述检查模块针对每个特征文档,从特征文档中收集若干个特征语句,确定分别与若干个特征语句相对应的若干个特征信息,所述检查模块还根据由不同的特征文档的若干个特征信息组成的全部的特征信息生成若干个检查标准;
S4、所述检查模块针对生成的每个检查标准进行正确性检验处理,并且使用通过了正确性检验处理的不同的检查标准,针对若干个可疑的最终应用模块中的不同的应用文档进行检查处理,以检查出可疑的应用文档;
所述S1中,所述第一监测单元持续的获取通信数据,凭借获取到的不同的通信数据确定若干个可疑的第一应用模块,包括如下步骤:
S111、所述第一监测单元获取一个通信数据,并且所述第一监测单元判断获取的通信数据是否用于建立通信连接,在是的情况下,针对获取的通信数据进行存储处理,继续下个步骤,在否的情况下,跳转S113;
S112、基于存储的全部的通信数据,所述第一监测单元统计对应的通信起点不相同,而对应的通信终点相同的不同的通信数据的总数量,判断总数量是否大于预设的第一数量阈值,在是的情况下,将不同的通信数据分别对应的若干个应用模块当作若干个可疑的第一应用模块,跳转S114,在否的情况下,跳转所述S111;
S113、所述第一监测单元判断获取的通信数据是否用于结束通信连接,在是的情况下,记录获取的通信数据对应的应用模块,跳转所述S111,在否的情况下,直接跳转所述S111;
S114、所述第一监测单元判断是否停止处理,在是的情况下,结束全部步骤,在否的情况下,跳转所述S111;
在所述S1中,所述第二监测单元持续的获取通信数据,依据获取到的不同的通信数据确定若干个可疑的第二应用模块,包括如下步骤:
S121、所述第二监测单元获取一个通信数据,并且所述第二监测单元判断获取的通信数据是否用于建立通信连接,在是的情况下,针对获取的通信数据进行存储处理,继续下个步骤,在否的情况下,重复本步骤;
S122、基于存储的全部的通信数据,所述第二监测单元统计对应的通信起点相同,而对应的通信终点不相同的不同的通信数据的总数量,判断总数量是否大于预设的第二数量阈值,在是的情况下,继续下个步骤,在否的情况下,跳转所述S121;
S123、所述第二监测单元判断不同的通信数据对应的所有的通信终点是否都是明确的,在是的情况下,删除存储的不同的通信数据,跳转所述S121,在否的情况下,将不同的通信数据分别对应的若干个应用模块当作若干个可疑的第二应用模块,继续下个步骤;
S124、所述第二监测单元判断是否停止处理,在是的情况下,结束全部步骤,在否的情况下,跳转所述S121。
2.根据权利要求1所述的用于应用程序的安全检测方法,其特征在于,所述S2包括如下步骤:
S21、所述判定模块从所述第二监测单元确定的若干个可疑的第二应用模块中选择一个可疑的第二应用模块,继续下个步骤;
S22、所述判定模块判断选择出的可疑的第二应用模块是否同样存在于所述第一监测单元确定的若干个可疑的第一应用模块中,在是的情况下,判定选择出的可疑的第二应用模块为可疑的最终应用模块,继续下个步骤,在否的情况下,直接继续下个步骤;
S23、所述判定模块判断是否停止处理,在是的情况下,结束全部步骤,在否的情况下,跳转所述S21。
3.根据权利要求1所述的用于应用程序的安全检测方法,其特征在于,在所述S3中,每个特征文档包括不同的数据记录,每个数据记录与一个系统事件相对应,所述检查模块针对每个特征文档,从特征文档中的与预设的不同的系统事件相对应的若干个数据记录中收集若干个特征语句。
4.根据权利要求3所述的用于应用程序的安全检测方法,其特征在于,在所述S3中,所述检查模块针对每个特征文档,确定分别与若干个特征语句相对应的若干个特征信息,其中,特征信息用来表达在一个系统事件发生的情况下出现相应的特征语句。
5.根据权利要求4所述的用于应用程序的安全检测方法,其特征在于,在所述S3中,所述检查模块还根据由不同的特征文档的若干个特征信息组成的全部的特征信息生成若干个检查标准,其中,检查标准包括原因特征信息,以及结果特征信息。
6.根据权利要求5所述的用于应用程序的安全检测方法,其特征在于,在所述S3中,所述检查模块在根据由不同的特征文档的若干个特征信息组成的全部的特征信息生成若干个检查标准之后,针对每个检查标准,先计算原因特征信息与结果特征信息共同对应的特定事件的总个数与原因特征信息单独对应的特定事件的总个数的第一比值,再计算第一比值与结果特征信息单独对应的特定事件的总个数的第二比值,并且存储对应的第二比值大于预设的比值阈值的检查标准。
7.用于应用程序的安全检测系统,用于实现如权利要求1-6任意一项的所述方法,其特征在于,包括如下模块:
监测模块,由第一监测单元和第二监测单元组成,第一监测单元用于持续的获取通信数据,凭借获取到的不同的通信数据确定若干个可疑的第一应用模块,第二监测单元用于持续的获取通信数据,依据获取到的不同的通信数据确定若干个可疑的第二应用模块;
判定模块,用于基于第一监测单元确定的若干个可疑的第一应用模块,以及第二监测单元确定的若干个可疑的第二应用模块判定若干个可疑的最终应用模块;
检查模块,用于提前存储不同的特征文档,针对每个特征文档,从特征文档中收集若干个特征语句,确定分别与若干个特征语句相对应的若干个特征信息,还根据由不同的特征文档的若干个特征信息组成的全部的特征信息生成若干个检查标准,并且用于针对生成的每个检查标准进行正确性检验处理,使用通过了正确性检验处理的不同的检查标准,针对若干个可疑的最终应用模块中的不同的应用文档进行检查处理,以检查出可疑的应用文档;
应用模块,用于被设置为通过监测模块与其他的应用模块进行通信连接。
8.一种计算机可读存储介质,所述计算机可读存储介质上存储有指令,其特征在于,所述指令被处理器执行时实现如权利要求1-6中任一项所述的用于应用程序的安全检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202411596619.3A CN119106417B (zh) | 2024-11-11 | 2024-11-11 | 用于应用程序的安全检测方法、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202411596619.3A CN119106417B (zh) | 2024-11-11 | 2024-11-11 | 用于应用程序的安全检测方法、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN119106417A CN119106417A (zh) | 2024-12-10 |
| CN119106417B true CN119106417B (zh) | 2025-03-11 |
Family
ID=93721569
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202411596619.3A Active CN119106417B (zh) | 2024-11-11 | 2024-11-11 | 用于应用程序的安全检测方法、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN119106417B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103368904A (zh) * | 2012-03-27 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 移动终端、可疑行为检测及判定系统和方法 |
| CN107808094A (zh) * | 2016-09-08 | 2018-03-16 | 卡巴斯基实验室股份制公司 | 检测文件中的恶意代码的系统和方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102638617B (zh) * | 2012-03-30 | 2013-12-18 | 中国科学技术大学苏州研究院 | 用于安卓手机的基于入侵检测的主动响应系统 |
| CN103902914B (zh) * | 2013-09-17 | 2017-06-23 | 北京安天网络安全技术有限公司 | 一种针对高级可持续威胁的溢出漏洞检测方法及系统 |
| US9710752B2 (en) * | 2014-09-11 | 2017-07-18 | Qualcomm Incorporated | Methods and systems for aggregated multi-application behavioral analysis of mobile device behaviors |
| RU2595511C2 (ru) * | 2014-12-05 | 2016-08-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ ограничения работы доверенных приложений при наличии подозрительных приложений |
| CN105791236B (zh) * | 2014-12-23 | 2019-03-12 | 北京网御星云信息技术有限公司 | 一种木马通信通道检测方法及系统 |
| US9800590B1 (en) * | 2015-06-25 | 2017-10-24 | Symantec Corporation | Systems and methods for threat detection using a software program update profile |
| CN106445781B (zh) * | 2016-09-27 | 2019-03-26 | 北京航空航天大学 | 基于消息传递的hpc大规模并行程序异常的检测系统 |
| CN114282278A (zh) * | 2021-12-27 | 2022-04-05 | 北京安天网络安全技术有限公司 | 移动存储设备安全事件取证方法、装置及电子设备 |
| CN114579966A (zh) * | 2022-03-10 | 2022-06-03 | 李海军 | 基于互联网的数据采集方法和可读存储介质系统 |
| CN116610567A (zh) * | 2023-05-08 | 2023-08-18 | 中国工商银行股份有限公司 | 应用程序异常的预警方法、装置、处理器以及电子设备 |
| CN117220942A (zh) * | 2023-09-11 | 2023-12-12 | 江苏安恒网络安全有限公司 | 一种病毒防护方法、装置、电子设备及存储介质 |
-
2024
- 2024-11-11 CN CN202411596619.3A patent/CN119106417B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103368904A (zh) * | 2012-03-27 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 移动终端、可疑行为检测及判定系统和方法 |
| CN107808094A (zh) * | 2016-09-08 | 2018-03-16 | 卡巴斯基实验室股份制公司 | 检测文件中的恶意代码的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN119106417A (zh) | 2024-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107241229B (zh) | 一种基于接口测试工具的业务监控方法及装置 | |
| CN111522711B (zh) | 一种数据监控处理系统、方法、执行端、监控端及电子设备 | |
| CN113114680B (zh) | 用于文件上传漏洞的检测方法和检测装置 | |
| CN111459782A (zh) | 监控业务系统的方法、装置、云平台系统和服务器 | |
| CN111371623B (zh) | 业务性能和安全的监测方法、装置、存储介质及电子设备 | |
| CN107239381A (zh) | 崩溃信息的处理方法、装置及系统 | |
| US8327189B1 (en) | Diagnosing an incident on a computer system using a diagnostics analyzer database | |
| CN119106417B (zh) | 用于应用程序的安全检测方法、系统及存储介质 | |
| CN108804914A (zh) | 一种异常数据检测的方法及装置 | |
| CN112948262A (zh) | 一种系统测试方法、装置、计算机设备和存储介质 | |
| CN114327981B (zh) | 一种功能安全机制的安全校验系统、方法及装置 | |
| CN113590047B (zh) | 数据库的筛查方法、装置、电子设备及存储介质 | |
| CN115834188A (zh) | 一种漏洞扫描监控方法、系统、电子设备及存储介质 | |
| CN116069591A (zh) | 一种接口性能监控方法、装置、设备以及存储介质 | |
| CN115941438A (zh) | 故障信息的处理方法及装置、存储介质及电子装置 | |
| JP6330280B2 (ja) | アラート出力装置、アラート出力方法、及び、アラート出力プログラム | |
| CN107749838A (zh) | 一种检测网络劫持的方法及装置 | |
| CN114154167A (zh) | 一种安全检测模型测试方法、装置、电子设备及存储介质 | |
| CN111708689A (zh) | 一种修改ab实验的方法、装置及电子设备 | |
| CN112799957A (zh) | 基于用户行为的故障处理方法、系统、设备和介质 | |
| CN114900444B (zh) | 数据监控方法、装置、电子设备及存储介质 | |
| CN117150506B (zh) | 一种漏洞全生命周期管理运营系统及方法 | |
| CN118796575B (zh) | 接口审计方法、装置、电子设备及存储介质 | |
| CN116432240B (zh) | 内网终端敏感数据的检测方法、装置、服务器及系统 | |
| CN116991724A (zh) | 基于监控日志的接口测试方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |