本發明實施例提供惡意程序的檢測方法、裝置及相關應用，獲取待檢測程序預設位置的至少一個字符串；按預定義規則對所述字符串進行隨機性計算，生成待檢測程序的隨機值；當待檢測程序的隨機值大于預設閾值時，判斷待檢測程序為惡意程序。本發明技術方案可以準確有效的識別采用隨機字符串來對抗安全軟件的惡意代碼，可以解決傳統查殺依賴特征庫導致的特征庫極度膨脹問題，同時具有較高的處理效率，不依賴具體的特征，能夠有效檢測自動生成的惡意程序。

技術領域

本發明屬于程序檢測領域，特別涉及一種惡意程序的檢測方法、裝置。

背景技術

隨著移動互聯網近幾年的迅猛發展，帶來的是平臺安全問題的與日俱增。尤以Android平臺最為突出，其生態圈繁榮的表象之下，是潛藏著的以巨額利益為驅動的黑色產業鏈。Android整個生態愈發繁榮，相關的黑色產業鏈也愈發猖獗，Android平臺上的病毒也越來越多，數量幾乎成指數級增長。

傳統的惡意程序查殺主要依賴于特征庫模式。特征庫是由廠商收集到的惡意程序樣本的特征碼組成，其中特征碼可以理解為從惡意程序中找到和正常軟件的區別特征代碼。當查殺過程中，引擎會讀取文件并與特征庫中的所有特征碼進行匹配，如果發現文件程序代碼被命中，就可以判定該文件程序為惡意程序。

例如北京奇虎科技有限公司的專利——一種病毒APK的識別方法及裝置(申請號：201210076889.2，公開號：102663286B)采用opcode以及類名函數名作為特征，黑客在免殺時采用混淆方法，相應的特征會變成隨機的字符串，因此會出現大量隨機的字符串代替原來的函數名，進而導致特征庫的膨脹的情況，特征庫體積越大，匹配效率就越低，最終后導致傳統的特征庫失效。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題的一種惡意程序的檢測方法、裝置。

第一方面，本發明實施例提供一種惡意程序的檢測方法，包括：

獲取待檢測程序預設位置的至少一個字符串；

按預定義規則對所述字符串進行隨機性計算，生成待檢測程序的隨機值；

當待檢測程序的隨機值大于預設閾值時，判斷待檢測程序為惡意程序。

進一步的，預設閾值的方法包括：

預定義兩個字符串集合，包括非隨機字符串集合、惡意隨機字符串集合，按照預定義規則分別對所述兩個字符串集合中的所有字符串進行隨機性計算，其中，非隨機字符串集合中的最小隨機值為第一隨機值、惡意隨機字符串集合中的最大隨機值為第二隨機值；當第一隨機值小于第二隨機值時所述閾值為：第二隨機值；或者，第一隨機值與第二隨機值的平均值。

進一步的，預設閾值的方法還包括：

還預定義一正常隨機字符串集合，按照所述預定義規則對該字符串集合中的所有字符串進行隨機性計算，其中最大隨機值為第三隨機值，當第三隨機值大于第一隨機值且小于第二隨機值時，所述閾值為第三隨機值

進一步的，所述獲取待檢測程序預設位置的至少一個字符串的方法包括：在所述待檢測程序的包名、簽名、程序名稱、版本號、文件名稱、文件內容中的至少一種中提取字符串。

進一步的，所述按照預定義規則對所述字符串進行隨機性計算的方法包括：N-Gram算法、信息熵算法。

進一步的，獲取待檢測程序預設位置的至少一個字符串的方法包括：以換行符為標識，一行字符為一個字符串。

進一步的，所述字符為英文、數字、符號中的至少一種或它們的混合。

進一步的，當判斷待檢測程序為惡意程序時，將獲取的待檢測程序預設位置的至少一個字符串加入到惡意隨機字符串集合。

第二方面，本發明實施例提供一種惡意程序的檢測裝置，包括：