安装量等级设置方法、应用识别方法、装置、设备及介质与流程

本公开涉及互联网安全，尤其涉及一种安装量等级设置方法、应用识别方法、装置、设备及计算机可读存储介质。

背景技术：

1、当前移动终端对于威胁应用的判别主要集中于是已知应用识别和未知应用识别的两个方向，已知应用识别是通过尽可能广泛的收集恶意样本(样本包括但不限于apk样本，即android application package-android应用程序包、代码、网络行为等)，从而形成黑白名单样本库，以是否符合黑白名单样本库中的条件作为已知应用识别的手段。

2、但是，随着目前市场上恶意入侵方和安全防御方的对抗手段越来越隐蔽和高级，安全防御方对于黑白名单样本库的丰富速度已经远远无法跟上恶意入侵方往移动互联网投放恶意样本的速度，恶意入侵方只需要稍稍改动一下样本的特征，即可略过黑白名单样本库对已知威胁的检测，可见安全防御方进行恶意防御的速度显然无法追逐上恶意入侵方进行恶意入侵的速度。

3、需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现思路

1、本公开的目的在于提供一种安装量等级设置方法、应用识别方法、装置、设备及计算机可读存储介质，至少能够在不建立应用黑白名单样本库的前提下，实现威胁应用的识别。

2、本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

3、根据本公开的一个方面，提供一种安装量等级设置方法，上述安装量等级设置方法包括：

4、根据指定区域内用户终端的已安装应用信息，确定上述指定区域内所有应用关于安装量的排列顺序；

5、根据上述所有应用的总个数和上述排列顺序，将上述所有应用划分为m个应用集合，m为大于1的整数；

6、按照上述排列顺序分别为m个上述应用集合设置安装量等级值，不同应用集合对应的安装量等级值不同。

7、可选地，上述根据指定区域内用户终端的已安装应用信息，确定上述指定区域内所有应用关于安装量的排列顺序的步骤之前，上述安装量等级设置方法还包括：确定上述指定区域的终端标识数据库；从上述终端标识数据库中获取每个上述用户终端携带的有效标识；根据每个上述用户终端携带的有效标识，确定每个上述用户终端的唯一设备标识；根据上述唯一标识获取上述指定区域内的所有用户终端。

8、可选地，每个上述安装量等级值对应一个预设应用划分公式，上述根据上述所有应用的总个数和上述排列顺序，将上述所有应用划分为m个应用集合的步骤包括：根据上述总个数和每个上述安装量等级值对应的预设应用划分公式，确定每个上述安装量等级值对应的上述应用集合中需包括的应用数量；按照上述排列顺序，从所有应用中分批次选取上述应用数量且不重复的应用；将每批次所选取的应用作为一组，得到m个应用集合。

9、可选地，上述按照上述排列顺序分别为m个上述应用集合设置安装量等级值的步骤之后，上述安装量等级设置方法还包括：获取目标应用的安装包名，将上述安装包名与上述目标应用所在目标应用集合对应的安装量等级值进行关联，得到上述目标应用对应的应用识别模型；和/或，获取上述目标应用的证书哈希值，将上述证书哈希值与上述目标应用所在目标应用集合对应的安装量等级值进行关联，得到上述目标应用对应的应用识别模型；其中，上述目标应用为上述所有应用中的任一个，上述目标应用集合中包含上述目标应用。

10、可选地，上述按照上述排列顺序分别为m个上述应用集合设置安装量等级值的步骤之后，上述安装量等级设置方法还包括：每间隔预设时长统计一次上述指定区域内上述所有应用的最新安装量，得到上述所有应用关于上述最新安装量的最新排列顺序；根据上述最新安装量和上述最新排列顺序，更新每个上述应用集合对应的安装量等级值。

11、根据本公开的另一个方面，提供一种应用识别方法，上述应用识别方法包括：

12、获取目标终端中的待识别应用；

13、获取上述待识别应用所在的目标应用集合对应的预设安装量等级值；其中，上述目标应用集合和上述预设安装量等级值通过上述的安装量等级设置方法得到；

14、根据所述预设安装量等级值所属的等级区间，确定所述待识别应用的风险等级。

15、可选地，上述获取上述待识别应用所在的目标应用集合对应的预设安装量等级值的步骤包括：获取上述待识别应用的安装包名和/或证书哈希值；从预先构建的所有预设应用集合中选取包括上述安装包名和/或上述证书哈希值的预设应用集合，得到上述目标应用集合；获取上述目标应用集合对应的预设安装量等级值。

16、可选地，上述根据所述预设安装量等级值所属的等级区间，确定所述待识别应用的风险等级的步骤之后，上述应用识别方法还包括：获取上述威胁应用在预设历史时间段内的历史安装量等级值；在所述历史安装量等级值在预设等级区间的情况下，确定所述目标终端为测试终端。

17、根据本公开的再一个方面，提供一种安装量等级设置装置，上述安装量等级设置装置包括：

18、应用排序模块，用于根据指定区域内用户终端的已安装应用信息，确定上述指定区域内所有应用关于安装量的排列顺序；

19、应用划分模块，用于根据上述所有应用的总个数和上述排列顺序，将上述所有应用划分为m个应用集合，m为大于1的整数；

20、等级设置模块，用于按照上述排列顺序分别为m个上述应用集合设置安装量等级值，不同应用集合对应的安装量等级值不同。

21、根据本公开的又一个方面，提供一种应用识别装置，上述应用识别装置包括：

22、应用获取模块，用于获取目标终端中的待识别应用；

23、集合选取模块，用于获取上述待识别应用所在的目标应用集合对应的预设安装量等级值；其中，上述目标应用集合和上述预设安装量等级值通过上述的安装量等级设置方法得到；

24、应用检测模块，用于根据所述预设安装量等级值所属的等级区间，确定所述待识别应用的风险等级。

25、根据本公开的又一个方面，提供一种电子设备，上述电子设备包括存储器、处理器以及存储在上述存储器中并可在上述处理器上运行的计算机程序，上述处理器执行上述计算机程序时实现如上述实施例中上述的安装量等级设置方法或上述的应用识别方法。

26、根据本公开的又一个方面，提供一种计算机可读存储介质，其上存储有计算机程序，上述计算机程序被处理器执行时实现如上述实施例中上述的安装量等级设置方法或上述的应用识别方法。

27、本公开的实施例所提供的安装量等级设置方法、应用识别方法、装置、设备及计算机可读存储介质，具备以下技术效果：

28、本公开通过根据指定区域内用户终端的已安装应用信息，确定指定区域内所有应用关于安装量的排列顺序，根据所有应用的总个数和排列顺序，将所有应用划分为多个应用集合，按照排列顺序分别为多个应用集合设置大小不同的安装量等级值的技术方案，能够实现在不建立应用黑白名单样本库的前提下，采用为应用集合设置的安装量等级值对威胁应用进行识别，减少了威胁应用识别前的准备工作的工作量。

29、应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。