恶意应用检测方法、装置、电子设备及存储介质

1.本技术涉及应用检测技术领域，尤其涉及一种恶意应用检测方法、装置、电子设备及存储介质。


背景技术：

2.近年来，恶意加密软件以其破坏性强、获利快的特点吸引了众多犯罪分子。根据cncert(computer network emergency response technical team，国家互联网应急中心)于2020年发布的《2019年中国互联网网络安全形势概述》，可以看出恶意加密软件发展迅速。
3.现有的恶意加密软件检测方法是基于对软件的静态分析和动态分析实现对恶意加密软件的检测。但是，恶意加密软件可以通过加固和混淆来逃避静态分析，还可以通过延迟勒索行为来逃避动态分析。


技术实现要素：

4.有鉴于此，本技术的目的在于提出一种恶意应用检测方法、装置、电子设备及存储介质，用以解决或部分解决上述技术问题。
5.基于上述目的，本技术的第一方面提供了一种恶意应用检测方法，包括：
6.获取访问预定文件夹的应用；
7.对所述应用按照预定范围进行过滤，得到可疑应用集；
8.获取所述可疑应用集中每个应用的属性信息、运行信息和安装信息；
9.基于所述属性信息、所述运行信息和所述安装信息对所述可疑应用集进行排序打分，将打分结果整合形成综合指标集；
10.选择所述综合指标集中的最小值对应的所述应用作为恶意应用，并向物联网设备发送关于所述恶意应用的通知信息。
11.本技术的第二方面提供了一种恶意应用检测装置，包括：
12.获取应用模块，被配置为获取访问预定文件夹的应用；
13.应用过滤模块，被配置为对所述应用按照预定范围进行过滤，得到可疑应用集；
14.信息获取模块，被配置为获取所述可疑应用集中每个应用的属性信息、运行信息和安装信息；
15.排序打分模块，被配置为基于所述属性信息、所述运行信息和所述安装信息对所述可疑应用集进行排序打分，将打分结果整合形成综合指标集；
16.通知信息发送模块，被配置为选择所述综合指标集中的最小值对应的所述应用作为恶意应用，并向物联网设备发送关于所述恶意应用的通知信息。
17.本技术的第三方面提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现第一方面所述的方法。
18.本技术的第四方面提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使计算机执行第一方面所述方法。
19.从上面所述可以看出，本技术提供的恶意应用检测方法、装置、电子设备及存储介质，通过在系统目录树部署空文件夹作为监听文件夹，实现了无需权限的监听文件部署，从而提高了恶意应用检测方法的在不同物联网设备中的适应性，然后通过对系统应用、无写权限应用、无后台服务的应用的过滤，实现了对访问监听文件的初步筛查，增加了恶意应用检测方法的效率，最后通过对过滤后剩余的访问监听文件的应用从不同方面进行可信值计算，将最小可信值对应的应用作为恶意应用，并向物联网发出预警，实现了在文件被加密前或首个文件加密完成之前进行恶意应用定位，提高了物联网设备中文件的安全性。
附图说明
20.为了更清楚地说明本技术或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
21.图1为本技术实施例的恶意应用检测方法的流程示意图；
22.图2为本技术实施例的获取访问预定文件夹的流程示意图；
23.图3为本技术实施例的恶意应用检测装置的结构示意图；
24.图4为本技术实施例的电子设备的硬件结构示意图。
具体实施方式
25.为使本技术的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本技术进一步详细说明。
26.需要说明的是，除非另外定义，本技术实施例使用的技术术语或者科学术语应当为本技术所属领域内具有一般技能的人士所理解的通常意义。本技术实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。
27.近年来，恶意加密软件以其破坏性强、获利快的特点吸引了众多犯罪分子。根据cncert(computer network emergency response technical team，国家互联网应急中心)于2020年发布的《2019年中国互联网网络安全形势概述》，可以看出恶意加密软件发展迅速。恶意加密软件仍然是网络安全的最大威胁。这种恶意软件也为欺诈和数据盗窃创造了机会。恶意加密软件仍然是物联网设备的最大威胁。恶意加密软件使用户无法通过加密文件的方式打开自己的私人文件，从而对用户进行勒索。恶意加密软件在一年内给150多个国家和地区造成了高达80亿美元的损失。尽管攻击者尚未大规模在所有类型的设备上实现物联网勒索软件，但研究证明，恶意加密软件可以很容易的在不同类型的物联网设备上实现，并将在这些设备上迅速传播。
28.一些研究者提出了一些基于静态分析和动态分析的恶意加密软件检测方法。例如，heldroid通过监视api调用和提取勒索或威胁消息来检测勒索软件。heldroid无法检测通过视频或音频显示勒索信息的勒索软件。恶意加密软件可以通过加固和混淆来逃避静态分析。他们还可以通过延迟勒索行为来逃避动态分析，也就是说，他们在激活文件后不会立即加密文件。据我们所知，这些恶意加密软件检测方法无法阻止勒索软件加密文件，或在其加密文件时警告用户。
29.如图1所示，本实施例的方法包括：
30.步骤101，获取访问预定文件夹的应用。
31.在该步骤中，预定文件夹指的是提前部署的监听文件，获取过程可以通过文件系统监听机制实现。
32.在上述方案中，为了后续恶意应用检测的需要，采用部署空文件夹作为监听文件的方式进行应用获取。这样，实现了无需额外高级权限的应用获取，为后续恶意应用的检测提供了应用数据基础。
33.步骤102，对所述应用按照预定范围进行过滤，得到可疑应用集。
34.在该步骤中，预定范围指的是物联网设备系统操作无关的系统应用、申请读写权限的应用以及具有服务持久化的展示类应用。将物联网设备系统操作无关的系统应用、申请读写权限的应用以及具有服务持久化的展示类应用作为可疑应用，将可疑应用整合形成可疑应用集。
35.在上述方案中，通过对系统应用、无写权限应用、无后台服务的应用的过滤，实现了对访问监听文件的初步筛查，增加了恶意应用检测方法的效率
36.步骤103，获取所述可疑应用集中每个应用的属性信息、运行信息和安装信息。
37.在该步骤中，属性信息指的是应用程序大小、证书是否过期，运行信息指的是激活时间、后台运行时间，安装信息指的是安装时间、更新频次和是否主动安装。
38.在上述方案中，为了后续为可疑应用计算综合指标，对综合指标涉及的属性信息、运行信息和安装信息进行获取。这样，为后续综合指标集的计算提供了信息基础。
39.步骤104，基于所述属性信息、所述运行信息和所述安装信息对所述可疑应用集进行排序打分，将打分结果整合形成综合指标集。
40.在该步骤中，采用不同的等差数列对可疑应用集中的可疑应用进行打分，将每个可疑应用的可信值结果相加得到综合指标集。
41.在上述方案中，为了在可疑应用集中检测出恶意应用，将可疑应用的信息量化为可信值结果。这样，为后续恶意应用的检测提供了数据基础。
42.步骤105，选择所述综合指标集中的最小值对应的所述应用作为恶意应用，并向物联网设备发送关于所述恶意应用的通知信息。
43.在该步骤中，综合指标集中的可信值结果最小的应用指的是访问预定文件夹的应用中恶意应用可能性最大的应用。例如，若该物联网设备具有屏幕显示功能(如android手机、智能相机等)，则在屏幕上不断弹出窗口对用户预警；若该物联网设备不具有屏幕显示功能(如路由器等)，则向设备绑定的手机发送预警短信。
44.在上述方案中，为了对恶意应用实现定位，在访问预定文件夹的可疑应用中获取综合指标集中可信值结果最小的应用。这样，实现了在文件被加密前或首个文件加密完成
之前进行恶意应用定位，提高了物联网设备中文件的安全性。
45.通过上述方案，在系统目录树部署空文件夹作为监听文件夹，实现了无需权限的监听文件部署，从而提高了恶意应用检测方法的在不同物联网设备中的适应性，然后通过对系统应用、无写权限应用、无后台服务的应用的过滤，实现了对访问监听文件的初步筛查，增加了恶意应用检测方法的效率，最后通过对过滤后剩余的访问监听文件的应用从不同方面进行可信值计算，将最小可信值对应的应用作为恶意应用，并向物联网发出预警，实现了在文件被加密前或首个文件加密完成之前进行恶意应用定位，提高了物联网设备中文件的安全性。
46.在一些实施例中，步骤104具体包括：
47.获取所述属性信息中的应用大小信息和证书过期信息；
48.获取所述运行信息中的激活时间信息和后台运行时间信息；
49.获取所述安装信息中的安装时间信息、更新频次信息和主动安装信息；
50.根据所述应用大小信息、所述证书过期信息、所述激活时间信息、所述后台运行时间信息、所述安装时间信息、所述更新频次信息和所述主动安装信息对所述可疑应用集分别进行排序打分，将得到所有打分结果整合形成综合指标集。
51.在上述方案中，由于不同的操作系统提供的工具/命令不会完全一致，以下获取方式均以“通用方式 举例说明”的方式给出，即某一指标获取可通过操作系统自带命令/自带工具获得，具体以xx操作系统为例，该项指标由xx命令/xx工具获得。
52.程序大小：直接通过操作系统相应的查看命令即可，比如openwrt下面用ls-al查看
53.证书信息：应用安装后，用相应工具或者在系统设置中查看，比如可以用androguard查看安卓设备上安装的应用的证书信息。
54.激活时间：从系统日志中获取，比如在安卓系统中，在目录/data/log/android_logs/下可以看到应用的激活时间。
55.后台运行时间：用操作系统提供的进程查看命令查看，比如linux下的ps命令
56.更新频次、安装时间：根据系统提供的工具获取，比如在安卓系统中，通过packagemanager类可以获取到首次安装时间、更新频次。
57.是否主动安装：查看其它应用的运行日志，若其它应用运行日志中不存在当前应用安装日志，则为主动安装，否则为被动安装。
58.通过上述方案，为了后续对可疑应用计算综合指标，对综合指标涉及的属性信息、运行信息和安装信息进行获取。这样，为后续综合指标集的计算提供了信息基础。
59.在一些实施例中，所述根据所述应用大小信息、所述证书过期信息、所述激活时间信息、所述后台运行时间信息、所述安装时间信息、所述更新频次信息和所述主动安装信息对所述可疑应用集分别进行排序打分，将得到所有打分结果整合形成综合指标集，具体包括：
60.基于所述应用大小信息将所述可疑应用集中的应用从大至小排序，按照排序结果对所述可疑应用集中的应用采用第一等差数列进行打分，得到第一可信值结果；
61.基于所述证书过期信息统计所述可疑应用集中的证书过期的应用、无证书的应用和证书安全未过期的应用，得到证书过期的应用集、无证书的应用集和证书安全未过期的
应用集，采用第二等差数列分别对所述证书过期的应用集、所述无证书的应用集和所述证书安全未过期的应用集进行打分，得到第二可信值结果，其中，所述证书过期的应用集中的每个应用的打分结果一致，所述无证书的应用集中的每个应用的打分结果一致，和所述证书安全未过期的应用集中的每个应用的打分结果一致；
62.基于所述激活时间信息将所述可疑应用集中的应用从晚至早排序，按照排序结果对所述可疑应用集中的应用采用所述第一等差数列进行打分，得到第三可信值结果；
63.基于所述后台运行时间信息将所述可疑应用集中的应用从少至多排序，按照排序结果对所述可疑应用集中的应用采用所述第一等差数列进行打分，得到第四可信值结果；
64.基于所述安装时间信息将所述可疑应用集中的应用从晚至早排序，按照排序结果对所述可疑应用集中的应用采用所述第一等差数列进行打分，得到第五可信值结果；
65.基于所述更新频次信息将所述可疑应用集中的应用从少至多排序，按照排序结果对所述可疑应用集中的应用采用第三等差数列进行打分，得到第六可信值结果；
66.基于所述主动安装信息统计所述可疑应用集中的主动安装的应用和被动安装的应用，基于统计结果对被动安装的应用进行打分，得到第七可信值结果；
67.将所述第一可信值结果、所述第二可信值结果、所述第三可信值结果、所述第四可信值结果、所述第五可信值结果、所述第六可信值结果、所述第七可信值结果相加作为所述综合指标集。
68.在上述方案中，对n个可疑应用利用综合指标计算方式进行可信值计算，并识别恶意加密软件在计算开始之前，将每一个可以应用程序的初始值设为0。可以参考下表对综合指标集进行计算。
69.表1 综合指标集计算
70.[0071][0072]
通过上述方案，为了在可疑应用集中检测出恶意应用，将可疑应用的信息量化为可信值结果。这样，为后续恶意应用的检测提供了数据基础。
[0073]
在一些实施例中，步骤101如图2所示，具体包括：
[0074]
步骤1011，获取系统目录树。
[0075]
步骤1012，基于所述目录树通过预定过滤方式获取预定文件夹。
[0076]
步骤1013，采用监听机制对所述预定文件夹进行监控，得到访问所述预定文件夹的应用。
[0077]
在上述方案中，对系统目录进行深度优先遍历或者广度优先遍历，以此得到系统目录树，基于所述目录树通过预定过滤方式获取预定文件夹。记录下所有部署的监控文件，借助inotify(是一个linux内核特性，它监控文件系统，并且及时向专门的应用程序发出相关的事件警告，比如删除、读、写和卸载操作等。)等文件系统监听机制，对所有部署的监听文件夹的“open(文件夹访问)”事件进行监控。
[0078]
通过上述方案，为了后续恶意应用检测的需要，采用部署空文件夹作为监听文件的方式进行应用获取。这样，实现了无需额外高级权限的应用获取，为后续恶意应用的检测提供了应用数据基础。
[0079]
在一些实施例中，步骤1012中的所述预定过滤方式，具体包括：
[0080]
响应于确定所述目录树中包括用户自主存储数据文件夹，将所述用户自主存储数据文件夹作为所述预定文件夹；
[0081]
响应于确定所述目录树中包括隐藏文件夹或系统文件夹，跳过所述隐藏文件和所述系统文件夹继续搜索所述目录树中的其他文件夹；
[0082]
响应于确定所述目录树中包括与用户个人存储无关的文件夹，跳过所述与用户个人存储无关的文件夹继续搜索所述目录树中的其他文件夹。
[0083]
在上述方案中，用户个人存储数据文件可以包括图像文件夹、文档文件夹和视频文件夹。例如，在linux系统中，用户账号、密码等私密数据文件主要放在/tmp,/usr,/etc目录下，将预定文件夹设置为/tmp,/usr,/etc。
[0084]
通过上述方案，对系统应用、无写权限应用、无后台服务的应用进行过滤，实现了对访问监听文件的初步筛查，增加了恶意应用检测方法的效率。
[0085]
在一些实施例中，步骤1013，具体包括：
[0086]
在所述目录树中的所述预定文件夹和所述预定文件夹的子文件夹中生成空文件夹作为监控文件。
[0087]
在上述方案中，例如，生成如下空文件夹作为监听文件夹/tmpp,/usrr,/etcc,/tmpp/configg/,/usrr/dataa/。其中，/etcc为/etc的监控文件夹，保护passwd.db文件；/tmpp、/tmp/configg/为/tmp、/tmp/config的监控文件夹，保护1.png与2.txt文件；/usrr、/usr/dataa/为/usr、/usr/data的监控文件夹，保护3.txt与4.txt文件。
[0088]
通过上述方案，在系统目录树部署空文件夹作为监听文件夹，实现了无需权限的监听文件部署，从而提高了恶意应用检测方法的在不同物联网设备中的适应性
[0089]
在一些实施例中，步骤102具体包括：
[0090]
将物联网设备系统操作无关的系统应用、申请读写权限的应用以及具有服务持久化的展示类应用作为所述可疑应用，将所述可疑应用整合形成所述可疑应用集。
[0091]
通过上述方案，对系统应用、无写权限应用、无后台服务的应用的过滤，实现了对访问监听文件的初步筛查，增加了恶意应用检测方法的效率。
[0092]
需要说明的是，本技术实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本技术实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。
[0093]
需要说明的是，上述对本技术的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
[0094]
基于同一发明构思，与上述任意实施例方法相对应的，本技术还提供了一种恶意应用检测装置。
[0095]
基于同一发明构思，在上述各个实施例方法对应实施方案的基础上，可以有如下具体实现情况。
[0096]
将恶意应用检测方法应用于装载有openwrt操作系统的小米路由器的步骤如下，恶意应用检测方法不限于应用于小米路由器，也可以应用于其他物联网设备。
[0097]
一、部署监听文件
[0098]
在路由器系统中，主要包含以下文件夹：
[0099]
/tmp,/bin,/sys,/etc,/usr,/var
[0100]
由于用户账号、密码等私密数据文件主要放在/tmp,/usr,/etc目录下，所以先对所有目录做一次过滤，选择出常用的存放私密数据的文件目录与目录结构(对应本技术中的预定文件夹)。
[0101]
部署监听文件夹，包括在同级目录部署和在子目录下部署，最终产生如下监听文件夹：
[0102]
/tmpp,/usrr,/etcc,/tmpp/configg/,/usrr/dataa/
[0103]
其中，/etcc为/etc的监控文件夹，保护passwd.db文件；/tmpp、/tmp/configg/为/tmp、/tmp/config的监控文件夹，保护1.png与2.txt文件；/usrr、/usr/dataa/为/usr、/usr/data的监控文件夹，保护3.txt与4.txt文件。
[0104]
二、对监听文件进行监控
[0105]
获取到所有访问监听文件的应用，作为一个观察集合。同时将集合中以下几类应用排除：
[0106]
1.系统应用
[0107]
2.无写文件操作权限的应用
[0108]
3.无后台服务的应用
[0109]
过滤掉以上几类应用后，得到一个可疑应用集，假设这个集合中存在的恶意应用名称为umgr。
[0110]
三、识别恶意应用并进行预警
[0111]
利用可疑应用集合每一个应用的以下几类信息做可信值计算，得到名称为umgr的应用就是可疑应用集合中可信值最低的应用，判定为umgr为恶意应用。同时，在该恶意应用对文件加密前或对第一个文件完成加密前向绑定该路由器的用户手机发送预警短信，使用户能及时处理、文件得到保护。
[0112]
参考图3，所述恶意应用检测装置，包括：
[0113]
获取应用模块301，被配置为获取访问预定文件夹的应用。
[0114]
应用过滤模块302，被配置为对所述应用按照预定范围进行过滤，得到可疑应用集。
[0115]
信息获取模块303，被配置为获取所述可疑应用集中每个应用的属性信息、运行信息和安装信息。
[0116]
排序打分模块304，被配置为基于所述属性信息、所述运行信息和所述安装信息对所述可疑应用集进行排序打分，将打分结果整合形成综合指标集。
[0117]
通知信息发送模块305，被配置为选择所述综合指标集中的最小值对应的所述应用作为恶意应用，并向物联网设备发送关于所述恶意应用的通知信息。
[0118]
在一些实施例中，应用过滤模块302具体被配置为：
[0119]
将物联网设备系统操作无关的系统应用、申请读写权限的应用以及具有服务持久化的展示类应用作为所述可疑应用，将所述可疑应用整合形成所述可疑应用集。
[0120]
在一些实施例中，排序打分模块304包括：
[0121]
属性信息获取单元，被配置为获取所述属性信息中的应用大小信息和证书过期信息；
[0122]
运行信息获取单元，被配置为获取所述运行信息中的激活时间信息和后台运行时间信息；
[0123]
安装信息获取单元，被配置为获取所述安装信息中的安装时间信息、更新频次信息和主动安装信息；
[0124]
排序打分单元，被配置为根据所述应用大小信息、所述证书过期信息、所述激活时间信息、所述后台运行时间信息、所述安装时间信息、所述更新频次信息和所述主动安装信息对所述可疑应用集分别进行排序打分，将得到所有打分结果整合形成综合指标集。
[0125]
在一些实施例中，排序打分单元具体用于：
[0126]
基于所述应用大小信息将所述可疑应用集中的应用从大至小排序，按照排序结果对所述可疑应用集中的应用采用第一等差数列进行打分，得到第一可信值结果；
[0127]
基于所述证书过期信息统计所述可疑应用集中的证书过期的应用、无证书的应用
和证书安全未过期的应用，得到证书过期的应用集、无证书的应用集和证书安全未过期的应用集，采用第二等差数列分别对所述证书过期的应用集、所述无证书的应用集和所述证书安全未过期的应用集进行打分，得到第二可信值结果，其中，所述证书过期的应用集中的每个应用的打分结果一致，所述无证书的应用集中的每个应用的打分结果一致，和所述证书安全未过期的应用集中的每个应用的打分结果一致；
[0128]
基于所述激活时间信息将所述可疑应用集中的应用从晚至早排序，按照排序结果对所述可疑应用集中的应用采用所述第一等差数列进行打分，得到第三可信值结果；
[0129]
基于所述后台运行时间信息将所述可疑应用集中的应用从少至多排序，按照排序结果对所述可疑应用集中的应用采用所述第一等差数列进行打分，得到第四可信值结果；
[0130]
基于所述安装时间信息将所述可疑应用集中的应用从晚至早排序，按照排序结果对所述可疑应用集中的应用采用所述第一等差数列进行打分，得到第五可信值结果；
[0131]
基于所述更新频次信息将所述可疑应用集中的应用从少至多排序，按照排序结果对所述可疑应用集中的应用采用第三等差数列进行打分，得到第六可信值结果；
[0132]
基于所述主动安装信息统计所述可疑应用集中的主动安装的应用和被动安装的应用，基于统计结果对被动安装的应用进行打分，得到第七可信值结果；
[0133]
将所述第一可信值结果、所述第二可信值结果、所述第三可信值结果、所述第四可信值结果、所述第五可信值结果、所述第六可信值结果、所述第七可信值结果相加作为所述综合指标集。
[0134]
在一些实施例中，获取应用模块301包括：
[0135]
获取目录树单元，被配置为获取系统目录树。
[0136]
过滤目录树单元，被配置为基于所述目录树通过预定过滤方式获取预定文件夹。
[0137]
监控文件单元，被配置为采用监听机制对所述预定文件夹进行监控，得到访问所述预定文件夹的应用。
[0138]
在一些实施例中，过滤目录树单元具体被配置为：
[0139]
响应于确定所述目录树中包括用户自主存储数据文件夹，将所述用户自主存储数据文件夹作为所述预定文件夹；
[0140]
响应于确定所述目录树中包括隐藏文件夹或系统文件夹，跳过所述隐藏文件和所述系统文件夹继续搜索所述目录树中的其他文件夹；
[0141]
响应于确定所述目录树中包括与用户个人存储无关的文件夹，跳过所述与用户个人存储无关的文件夹继续搜索所述目录树中的其他文件夹。
[0142]
在一些实施例中，监控文件单元具体被配置为：
[0143]
在所述目录树中的所述预定文件夹和所述预定文件夹的子文件夹中生成空文件夹作为监控文件。
[0144]
为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本技术时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
[0145]
上述实施例的装置用于实现前述任一实施例中相应的恶意应用检测方法，并且具有相应的方法实施例的有益效果，在此不再赘述。
[0146]
基于同一发明构思，与上述任意实施例方法相对应的，本技术还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理
器执行所述程序时实现上任意一实施例所述的恶意应用检测方法。
[0147]
图4示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
[0148]
处理器1010可以采用通用的cpu(central processing unit，中央处理器)、微处理器、应用专用集成电路(application specific integrated circuit，asic)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。
[0149]
存储器1020可以采用rom(read only memory，只读存储器)、ram(random access memory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。
[0150]
输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。
[0151]
通信接口1040用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如usb、网线等)实现通信，也可以通过无线方式(例如移动网络、wifi、蓝牙等)实现通信。
[0152]
总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
[0153]
需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。
[0154]
上述实施例的电子设备用于实现前述任一实施例中相应的恶意应用检测方法，并且具有相应的方法实施例的有益效果，在此不再赘述。
[0155]
基于同一发明构思，与上述任意实施例方法相对应的，本技术还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行如上任一实施例所述的恶意应用检测方法。
[0156]
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。
[0157]
上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施
例所述的恶意应用检测方法，并且具有相应的方法实施例的有益效果，在此不再赘述。
[0158]
所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本技术的范围(包括权利要求)被限于这些例子；在本技术的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本技术实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。
[0159]
另外，为简化说明和讨论，并且为了不会使本技术实施例难以理解，在所提供的附图中可以示出或可以不示出与集成电路(ic)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本技术实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本技术实施例的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本技术的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本技术实施例。因此，这些描述应被认为是说明性的而不是限制性的。
[0160]
尽管已经结合了本技术的具体实施例对本技术进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态ram(dram))可以使用所讨论的实施例。
[0161]
本技术实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本技术实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本技术的保护范围之内。