(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211198715.3 (22)申请日 2022.09.29 (71)申请人 绿盟科技 集团股份有限公司 地址 100089 北京市海淀区北洼路4 号益泰 大厦5层 申请人 北京神州绿盟科技有限公司 (72)发明人 彭元　冉靖　白无瑕　李云云　 陈凯　李升辉　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 专利代理师 路晓丹 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 高风险APP检测方法、 装置、 电子设备及存储 介质 (57)摘要 本申请公开了一种高风险APP检测方法、 装 置、 电子设备及存储介质， 用以解决现有的高风 险APP检测效率以及检测准确性低的问题。 所述 高风险APP检测方法， 包括： 获取待检测时间周期 内目标账户的网络流量日志； 提取所述网络流量 日志中的统一资源定位符URL； 将所述网络流量 日志中的URL与预设高风险APP指纹特征库中的 高风险APP指纹特征进行匹配， 根据匹配结果确 定所述目标账户使用过的目标高风险APP， 其中， 每一高风险APP指纹特征用于标识相应的高风险 APP， 所述高风险APP指纹特征包括所述高风险 APP包含的URL与权 重的对应关系集 合。 权利要求书2页 说明书11页 附图5页 CN 115499237 A 2022.12.20 CN 115499237 A 1.一种高风险AP P检测方法， 其特 征在于， 包括： 获取待检测时间周期内目标 账户的网络流 量日志； 提取所述网络流 量日志中的统一资源定位符URL； 将所述网络流量日志中的URL与预设高风险APP指纹特征库中的高风险APP指纹特征进 行匹配， 根据匹配结果确定所述目标账户使用过的目标高风险APP， 其中， 每一高风险APP指 纹特征用于标识相应的高风险APP， 所述高风险APP指纹特征包括所述高风险APP包含的URL 与权重的对应关系集 合。 2.如权利要求1所述的方法， 其特 征在于， 所述高风险AP P指纹特征通过以下 方式获得： 获取高风 险APP安装包， 将每一高风 险APP安装包发送至测试终端设备上进行安装， 以 由所述测试终端设备分别对安装后的每一高风险AP P利用预设模拟工具 执行点击操作； 针对每一 高风险APP， 获取所述测试终端设备在针对所述高风险APP执行点击操作过程 中生成的测试URL； 根据各测试URL的数量和 测试URL的总数量确定所述各测试URL的初始权 重； 分别根据所述各测试URL中包含的域名信息与所述各测试URL的属性信息对所述各测 试URL的初始权 重进行调整， 获得 所述各测试URL的目标权 重； 将所述各测试URL与各自目标权重的对应关系生成的集合确定为所述高风 险APP指纹 特征。 3.如权利要求2所述的方法， 其特征在于， 分别根据所述各测试URL中包含的域名信息 与所述各测试URL的属性信息对所述各测试URL的初始权重进行调整， 获得所述各测试URL 的目标权 重， 具体包括： 针对每一测试URL， 若确定所述测试URL包含的域名信息为预设公共域名， 则将所述测 试URL的初始权 重减去第一设定值， 得到所述测试URL的目标权 重； 若确定所述测试URL包含的域名信息为指定高风险域名， 则将所述测试URL的初始权重 加上第二设定值， 得到所述测试URL的目标权 重； 若确定所述测试URL的属性信息为静态URL， 则将所述测试URL的初始权重加上第三设 定值， 得到所述测试URL的目标权 重。 4.如权利要求3所述的方法， 其特 征在于， 还 包括： 获取所述测试终端设备在未对所述高风险AP P执行点击操作之前生成的第一URL； 以及 在获取所述测试终端设备在针对所述高风 险APP执行点击操作过程中生成的测试URL 之后， 还包括： 若确定所述测试URL中包 含所述第一URL， 则将所述第一URL从所述测试URL中剔除。 5.如权利要求3或4所述的方法， 其特征在于， 将所述网络流量日志中的URL与预设高风 险APP指纹特征库中的高风险APP指纹特征进行匹配， 根据匹配结果确定所述目标账户使用 过的目标高风险AP P， 具体包括： 将每一高风险APP指纹特征中的各测试URL分别与 其他各高风险APP指纹特征中的测试 URL进行比对， 分别剔除所述每一高风险APP指纹特征中与其他高风险APP指纹特征中相同 的测试URL及其目标权 重， 得到各 更新后的高风险AP P指纹特征； 针对每一更新后的高风险APP指纹特征， 将所述网络流量日志中的URL分别与所述更新 后的高风险AP P指纹特征中的测试URL取交集；权　利　要　求　书 1/2 页 2 CN 115499237 A 2若确定所述交集中的测试URL的目标权重的和大于预设阈值， 则确定所述目标账户使 用过所述高风险AP P。 6.一种高风险AP P检测装置， 其特 征在于， 包括： 第一获取 单元， 用于获取待检测时间周期内目标 账户的网络流 量日志； 提取单元， 用于提取 所述网络流 量日志中的统一资源定位符URL； 确定单元， 用于将所述网络流量日志中的URL与预设高风险APP指纹特征库中的高风险 APP指纹特征进 行匹配， 根据匹配结果确定所述目标账户使用过的目标高风险APP， 其中， 每 一高风险APP指纹特征用于标识相应的高风险APP， 所述高风险APP指纹特征包括所述高风 险APP包含的URL与权 重的对应关系集 合。 7.如权利要求6所述的装置， 其特 征在于， 所述确定单元， 具体用于通过以下方式获得所述高风 险APP指纹特征： 获取高风险APP 安装包， 将 每一高风险APP安装包发送至测试终端设备上进 行安装， 以由所述测试终端设备 分别对安装后的每一高风险APP利用预设模拟工具执行点击操作； 针对每一高风险APP， 获 取所述测试终端设备在针对 所述高风险APP执行点击操作过程中生 成的测试URL； 根据各测 试URL的数量和测试URL的总数量确定所述各测试URL的初始权重； 分别根据所述各测试URL 中包含的域名信息与所述各测试URL的属性信息对 所述各测试URL的初始权重进 行调整， 获 得所述各测试URL的目标权重； 将所述各测试URL与各自目标权重的对应 关系生成的集合确 定为所述高风险AP P指纹特征。 8.如权利要求7 所述的装置， 其特 征在于， 所述确定单元， 具体用于针对每一测试URL， 若确定所述测试URL包含的域名信息为预 设公共域名， 则将所述测试URL的初始权重减去第一设定值， 得到所述测试URL的目标权重； 若确定所述测试URL包含的域名信息为指 定高风险域名， 则将所述测试URL的初始权重加上 第二设定值， 得到所述测试URL的目标权重； 若确 定所述测试URL的属性信息为静态URL， 则 将所述测试URL的初始权 重加上第三设定值， 得到所述测试URL的目标权 重。 9.一种电子设备， 包括服务器、 存储器及存储在存储器上并可在处理器上运行的计算 机程序， 其特征在于， 所述服务器执行所述计算机程序时实现权利要求1至5任一项所述高 风险APP检测方法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序指令， 其特征在于， 该计算机程 序指令被服 务器执行时实现权利要求1至 5任一项所述高风险AP P检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 115499237 A 3