本發明公開了一種應用程序的防御方法、裝置和可讀介質，屬于安全檢測技術領域，本發明提供的方法及裝置中，通過獲取系統的敏感應用程序接口API的調用情況以確定是否有應用程序執行了敏感行為，在敏感API被調用時獲取調用該敏感API的應用程序，并基于敏感API的調用情況以及調用敏感API的應用程序生成敏感行為記錄；基于生成的敏感行為記錄，調用預設的安全性檢測觸發條件來確定應用程序是否符合設置的安全性檢測觸發條件，且在確定出應用程序滿足安全性檢測觸發條件時，立即觸發對應用程序進行安全性檢測的流程，不需要用戶或安全軟件主動觸發檢測，采用本發明提供的方法實時性更強且低時延，能夠及時且快速的檢測出執行惡意行為的惡意應用程序。

技術領域

本發明涉及安全檢測技術領域，尤其涉及一種應用程序的防御方法、裝置和可讀介質。

背景技術

隨著計算機技術的發展，應用程序越來越多，而這些應用程序中不免存在一些惡意應用程序，這些惡意應用程序一旦安裝到用戶終端上，可能會導致用戶的敏感數據受到威脅，因此，對用戶終端上安裝的應用程序的安全性檢測，有效防御惡意應用程序是十分重要的。

現有技術根據檢測時機的不同，提供了三種檢測方案，參考圖1所示，一種是在應用程序安裝時，利用安全軟件對應用程序進行靜態掃描和檢測，另一種是在安全軟件內設置定時掃描機制，定時對終端上安裝的全部應用程序進行靜態掃描和檢測，再者就是用戶使用安全軟件時，通過界面交互主動觸發安全軟件對終端上安裝的應用程序進行靜態掃描和檢測。

發明人發現，現有技術提供的三種方法，需要安全軟件或者用戶主動參與才能觸發掃描和檢測，會導致防御效果具有一定的時延，此外，當惡意應用程序發生了變種(例如批量重打包和批量混淆等)，采用現有技術提供的方法不一定能快速識別出這類惡意應用程序。

因此，如何及時地對應用程序進行安全性檢測，進而有效識別出惡意應用程序是值得考慮的問題之一。

發明內容

本發明實施例提供一種應用程序的防御方法、裝置和可讀介質，用以及時地對應用程序進行安全性檢測。

第一方面，本發明實施例提供一種應用程序的防御方法，包括：

獲取系統的敏感應用程序接口API的調用情況，以確定是否有應用程序執行了敏感行為；

當所述敏感API被調用時，獲取調用所述敏感API的應用程序；

根據所述敏感API的調用情況以及調用所述敏感API的應用程序生成敏感行為記錄；

基于所述敏感行為記錄，調用預設的安全性檢測觸發條件以確定所述應用程序是否滿足安全性檢測觸發條件；

在所述應用程序滿足所述安全性檢測觸發條件時，對所述應用程序進行安全性檢測。

通過設置安全性檢測觸發條件，在生成應用程序的敏感行為記錄后，可以及時地基于生成的敏感行為記錄確定應用程序是否符合設置的安全性檢測觸發條件，從而及時有效地對應用程序進行安全性檢測。

第二方面，本發明實施例提供一種應用程序的防御裝置，包括：

事件監控模塊，用于獲取系統的敏感應用程序接口API的調用情況，以確定是否有應用程序執行了敏感行為；當所述敏感API被調用時，獲取調用所述敏感API的應用程序；根據所述敏感API的調用情況以及調用所述敏感API的應用程序生成敏感行為記錄；

向量生成模塊，用于基于所述敏感行為記錄，調用預設的安全性檢測觸發條件以確定所述應用程序是否滿足安全性檢測觸發條件；

檢測模塊，用于在所述向量生成模塊確定出所述應用程序滿足所述安全性檢測觸發條件時，則對所述應用程序進行安全性檢測。