本發明公開了一種應用程序檢測方法及裝置，其中，所述方法包括：在屬于白名單的應用程序運行時，獲取該應用程序的程序特征；根據所述程序特征獲取與所述程序特征對應的應用程序的運行列表；根據所述運行列表監控與所述程序特征對應的應用程序的運行。本實施例中的應用程序檢測方法能夠有效監控白名單中應用程序的運行，進而保證客戶端中程序運行的安全，且保證客戶端的安全。

技術領域

本發明涉及網絡安全技術，具體涉及一種應用程序檢測方法及裝置。

背景技術

傳統的惡意程序防殺主要依賴于特征庫模式，特征庫是由廠商收集到的惡意程序樣本的特征碼組成，而特征碼則是分析工程師從惡意程序中找到和正當軟件的不同之處，截取一段類似于“搜索關鍵詞”的程序代碼。當查殺過程中，引擎會讀取文件并與特征庫中的所有特征碼“關鍵詞”進行匹配，如果發現文件程序代碼被命中，就可以判定該文件程序為惡意程序。

之后又衍生出了在本地啟發式殺毒的方式，是以特定方式實現的動態高度器或反編譯器，通過對有關指令序列的反編譯逐步理解和確定其蘊藏的真正動機。惡意程序和正常程序的區別可以體現在許多方面，比如：通常一個應用程序在最初的指令，是檢查命令行輸入有無參數項、清屏和保存原來屏幕顯示等，而惡意程序通常最初的指令則是直接寫盤操作、解碼指令，或搜索某路徑下的可執行程序等相關操作指令序列。這些顯著的不同之處，一個熟練的程序員在調試狀態下只需一瞥便可一目了然。啟發式代碼掃描技術實際上就是把這種經驗和知識移植到一個查殺病毒軟件中的具體程序體現。

但是上述查殺惡意軟件的方法都是基于惡意行為和/或惡意特征，先對一個程序判定其是否為惡意程序，然后再決定是否進行查殺或清理。這就不可避免導致出現了如下弊端。

第一：惡意程序數量呈幾何級增長，基于這種爆發式的增速，特征庫的生成與更新往往是滯后的，特征庫中惡意程序的特征碼的補充跟不上層出不窮的未知惡意程序；

第二：惡意程序制作者對免殺技術的應用，通過對惡意程序加殼或修改該惡意程序的特征碼的手法越來越多的出現；以及許多木馬程序采用了更多更頻繁快速的自動變形，這些都導致通過惡意行為和/或惡意特征對惡意程序進行判定的難度越來越大，導致較多的惡意程序被確定為白名單，由此，該些惡意程序在設備/客戶端中造成破壞。

鑒于此，如何保證白名單中所有的程序都能夠安全運行成為當前需要解決的技術問題。

發明內容

針對現有技術中的缺陷，本發明提供了一種應用程序檢測方法及裝置，該應用程序檢測方法能夠有效保證客戶端中屬于白名單的應用程序的安全運行，保證客戶端的安全。

第一方面，本發明提供一種應用程序檢測裝置，包括：

程序特征獲取單元，用于在屬于白名單的應用程序運行時，獲取該應用程序的程序特征；

運行列表獲取單元，用于根據所述程序特征獲取與所述程序特征對應的應用程序的運行列表；

監控單元，用于根據所述運行列表監控與所述程序特征對應的應用程序的運行。

可選的，所述運行列表獲取單元，具體用于：

將所述程序特征獲取單元獲取的應用程序的程序特征發送服務器，以使服務器根據預設規則確定與所述程序特征對應的應用程序的運行列表；

接收所述服務器發送的所述應用程序的運行列表。

可選的，所述運行列表獲取單元，具體用于：

將獲取的該應用程序的程序特征和所述客戶端的系統環境信息發送服務器，以使服務器查找與所述系統環境信息匹配的預設規則，根據查找的預設規則確定與所述程序特征對應的應用程序的運行列表。

可選的，所述運行列表獲取單元，具體用于：