发明创造名称:一种安卓应用的识别方法及装置
外观设计名称:
决定号:192085
决定日:2019-10-11
委内编号:1F269004
优先权日:
申请(专利)号:201410075170.6
申请日:2014-03-03
复审请求人:可牛网络技术(北京)有限公司
无效请求人:
授权公告日:
审定公告日:
专利权人:
主审员:王艳
合议组组长:李圆
参审员:王越
国际分类号:G06F9/44
外观设计分类号:
法律依据:专利法第22条第3款
决定要点
:如果一项权利要求要求保护的技术方案与最接近的现有技术相比存在区别特征,但是现有技术已经给出将上述区别特征应用到最接近的现有技术以解决其存在的技术问题的启示,那么该权利要求所要求保护的技术方案对本领域技术人员来说是显而易见的,从而不具备创造性。
全文:
本复审请求涉及申请号为201410075170.6,名称为“一种安卓应用的识别方法及装置”的发明专利申请(下称本申请)。申请人为可牛网络技术(北京)有限公司。本申请的申请日为2014年03月03日,公开日为2015年09月09日。
经实质审查,国家知识产权局原审查部门于2018年09月04日发出驳回决定,以权利要求1-12不符合专利法第22条第3款的规定为由驳回了本申请,具体是:权利要求1与对比文件1(CN102663286A,公开日为2012年09月12日)相比,区别技术特征在于:对比文件1是识别apk文件是否为病毒文件,本申请为识别apk文件是否为某类应用;将特征值相同的应用归为一类,得到分类结果。但上述区别技术特征是本领域常用技术手段,因此权利要求1不具备创造性。从属权利要求2-6直接或间接引用独立权利要求1,其附加技术特征或为对比文件1所公开,或为本领域常用的技术手段,因此都不具备创造性;权利要求7-12是与方法权利要求1-6对应的产品权利要求,基于相同的理由和证据,权利要求7-12也不具备创造性。
驳回决定所依据的文本为:申请日2014年03月03日提交的说明书摘要、说明书第1-131段、摘要附图、说明书附图;2017年12月22日提交的权利要求第1-12项。
驳回决定所针对的权利要求书如下:
“1. 一种安卓应用的识别方法,其特征在于,包括:
A)提取目标应用的apk文件中至少一种与行为相关的信息;其中,apk为安卓安装包;
B)提取所述信息的操作码,并对所述操作码进行处理,得到特征值;
C)根据预设的分类信息库,将所述特征值与所述分类信息库中已知类别应用的相应特征值作比较;如果所述特征值与所述已知类别的相应特征值相同,则确定所述目标应用与所述已知类别应用为同一类;
所述分类信息库的建立方法包括:
a)选取apk文件中至少一种与行为相关的信息,将所选取的信息设定为分类信息;
b)根据所设定的分类信息,针对目标样本群中的每一个应用样本,提取该应用样本apk文件中分类信息的操作码,并对所述操作码进行处理,得到特征值;
c)将特征值相同的应用归为一类,得到分类结果。
2. 如权利要求1所述的方法,其特征在于,在c)步骤之后,还包括:
d)针对每一类应用,选取一组应用进行分析;如果所述一组应用中包含的应用具有相同的功能,则保存所述分类结果;如果所述一组应用中包含的应用具有不同的功能,则重新选取至少一种与行为相关的信息,并将所述信息设定为分类信息,重复b)到d);其中,所述一组应用中的应用数量不小于预设值。
3. 如权利要求1所述的方法,其特征在于:
所述A)为:从目标应用的apk文件中提取预设的分类信息库的分类信息;
所述B)为:提取所述分类信息的操作码,并对所述操作码进行处理,得到特征值。
4. 如权利要求1所述的方法,其特征在于,所述C)步骤进一步包括:如果所述目标应用的特征值与所述分类信息库中任意已知类别的相应特征值不相 同,则在所述分类信息库中新建一个类别。
5. 如权利要求1所述的方法,其特征在于:
所述C)为:根据预设的病毒信息库,将所述特征值与病毒文件的相应特征值作比较;如果所述特征值与所述病毒文件的相应特征值相同,则确定所述目标应用对应的apk文件为病毒文件。
6. 如权利要求5所述的方法,其特征在于,所述C)进一步包括:如果所述目标应用的特征值与所述病毒信息库中任意病毒文件的相应特征值不同,则判断所述目标应用中是否包含病毒,如果是,则在所述病毒信息库中新建一个病毒类别。
7. 一种安卓应用的识别装置,其特征在于,包括:信息提取模块、操作码处理模块和识别模块;其中,
所述信息提取模块用于提取目标应用的apk文件中至少一种与行为相关的信息,apk为安卓安装包;
所述操作码处理模块用于提取所述信息的操作码,并对所述操作码进行处理,得到特征值;
所述识别模块用于根据预设的分类信息库,将所述特征值与所述分类信息库中已知类别应用的相应特征值作比较;如果所述特征值与所述已知类别的相应特征值相同,则确定所述目标应用与所述已知类别应用为同一类;
所述识别模块使用的分类信息库的建立方法,包括:
a)选取apk文件中至少一种与行为相关的信息,将所选取的信息设定为分类信息;
b)根据所设定的分类信息,针对目标样本群中的每一个应用样本,提取该应用样本apk文件中分类信息的操作码,并对所述操作码进行处理,得到特征值;
c)将特征值相同的应用归为一类,得到分类结果。
8. 如权利要求7所述的装置,其特征在于,所述识别模块使用的分类信息库的建立方法,在c)之后,还包括:
d)针对每一类应用,选取一组应用进行分析;如果所述一组应用中包含的应用具有相同的功能,则保存所述分类结果;如果所述一组应用中包含的应用具有不同的功能,则重新选取至少一种与行为相关的信息,并将所述信息设定为分类信息,重复b)到d);其中,所述一组应用中的应用数量不小于预设值。
9. 如权利要求7所述的装置,其特征在于:
所述信息提取模块具体用于:从目标应用的apk文件中提取预设的分类信息库的分类信息;
所述操作码处理模块具体用于:提取所述分类信息的操作码,并对所述操作码进行处理,得到特征值。
10. 如权利要求7所述的装置,其特征在于,所述识别模块进一步用于:如果所述目标应用的特征值与所述分类信息库中任意已知类别的相应特征值不相同,则在所述分类信息库中新建一个类别。
11. 如权利要求7所述的装置,其特征在于,所述识别模块具体用于:根据预设的病毒信息库,将所述特征值与病毒文件的相应特征值作比较;如果所述特征值与所述病毒文件的相应特征值相同,则确定所述目标应用对应的apk文件为病毒文件。
12. 如权利要求11所述的装置,其特征在于,所述识别模块进一步用于:如果所述目标应用的特征值与所述病毒信息库中任意病毒文件的相应特征值不同,则判断所述目标应用中是否包含病毒,如果是,则在所述病毒信息库中新建一个病毒类别。”
申请人(下称复审请求人)对上述驳回决定不服,于2018年12月18日向国家知识产权局提出了复审请求,同时修改了权利要求书,修改后的权利要求书与申请日提交的权利要求书相同。复审请求人认为:(1)本申请权利要求1方案中,提取的是目标应用的apk文件中至少一种与行为相关的信息,而对比文件1方案中,是获取apk文件中的指定文件,这些特定数据中并不都是与行为相关的。(2)本申请权利要求1方案中,获取与行为相关的信息后,可以提取这些信息的操作码,并且能够根据提取的操作码进行计算,例如哈希值计算,mds值计算等,得到操作码的特征值,而对比文件1的方案中,提取的可执行文件中的特定数据可直接作为病毒特征码,获取的病毒特征码也并不全是与行为相关的,从而,对比文件1中的病毒特征码既不等同于本申请权利要求1中与行为相关的信息对应的操作码,更不等同于本申请权利要求1中根据操作码计算得到的特征值。
复审请求时新修改的权利要求书如下:
“1. 一种安卓应用的识别方法,其特征在于,包括:
A)提取目标应用的apk文件中至少一种与行为相关的信息;其中,apk为安卓安装包;
B)提取所述信息的操作码,并对所述操作码进行处理,得到特征值;
C)根据预设的分类信息库,将所述特征值与所述分类信息库中已知类别应用的相应特征值作比较;如果所述特征值与所述已知类别的相应特征值相同,则确定所述目标应用与所述已知类别应用为同一类。
2. 根据权利要求1所述的方法,其特征在于,所述分类信息库的建立方法包括:
a)选取apk文件中至少一种与行为相关的信息,将所选取的信息设定为分类信息;
b)根据所设定的分类信息,针对目标样本群中的每一个应用样本,提取该应用样本apk文件中分类信息的操作码,并对所述操作码进行处理,得到特征值;
c)将特征值相同的应用归为一类,得到分类结果。
3. 如权利要求2所述的方法,其特征在于,在c)步骤之后,还包括:
d)针对每一类应用,选取一组应用进行分析;如果所述一组应用中包含的应用具有相同的功能,则保存所述分类结果;如果所述一组应用中包含的应用具有不同的功能,则重新选取至少一种与行为相关的信息,并将所述信息设定为分类信息,重复b)到d);其中,所述一组应用中的应用数量不小于预设值。
4. 如权利要求2或3所述的方法,其特征在于:
所述A)为:从目标应用的apk文件中提取预设的分类信息库的分类信息;
所述B)为:提取所述分类信息的操作码,并对所述操作码进行处理,得到特征值。
5. 如权利要求1所述的方法,其特征在于,所述C)步骤进一步包括:如果 所述目标应用的特征值与所述分类信息库中任意已知类别的相应特征值不相同,则在所述分类信息库中新建一个类别。
6. 如权利要求1所述的方法,其特征在于:
所述C)为:根据预设的病毒信息库,将所述特征值与病毒文件的相应特征值作比较;如果所述特征值与所述病毒文件的相应特征值相同,则确定所述目标应用对应的apk文件为病毒文件。
7. 如权利要求6所述的方法,其特征在于,所述C)进一步包括:如果所述目标应用的特征值与所述病毒信息库中任意病毒文件的相应特征值不同,则判断所述目标应用中是否包含病毒,如果是,则在所述病毒信息库中新建一个病毒类别。
8. 一种安卓应用的识别装置,其特征在于,包括:信息提取模块、操作码处理模块和识别模块;其中,
所述信息提取模块用于提取目标应用的apk文件中至少一种与行为相关的信息,apk为安卓安装包;
所述操作码处理模块用于提取所述信息的操作码,并对所述操作码进行处理,得到特征值;
所述识别模块用于根据预设的分类信息库,将所述特征值与所述分类信息库中已知类别应用的相应特征值作比较;如果所述特征值与所述已知类别的相应特征值相同,则确定所述目标应用与所述已知类别应用为同一类。
9. 如权利要求8所述的装置,其特征在于,所述识别模块使用的分类信息库的建立方法,包括:
a)选取apk文件中至少一种与行为相关的信息,将所选取的信息设定为分类信息;
b)根据所设定的分类信息,针对目标样本群中的每一个应用样本,提取该应用样本apk文件中分类信息的操作码,并对所述操作码进行处理,得到特征值;
c)将特征值相同的应用归为一类,得到分类结果。
10. 如权利要求9所述的装置,其特征在于,所述识别模块使用的分类信息库的建立方法,在c)之后,还包括:
d)针对每一类应用,选取一组应用进行分析;如果所述一组应用中包含的应用具有相同的功能,则保存所述分类结果;如果所述一组应用中包含的应用具有不同的功能,则重新选取至少一种与行为相关的信息,并将所述信息设定为分类信息,重复b)到d);其中,所述一组应用中的应用数量不小于预设值。
11. 如权利要求9或10所述的装置,其特征在于:
所述信息提取模块具体用于:从目标应用的apk文件中提取预设的分类信息库的分类信息;
所述操作码处理模块具体用于:提取所述分类信息的操作码,并对所述操作码进行处理,得到特征值。
12. 如权利要求8所述的装置,其特征在于,所述识别模块进一步用于:如果所述目标应用的特征值与所述分类信息库中任意已知类别的相应特征值不相同,则在所述分类信息库中新建一个类别。
13. 如权利要求8所述的装置,其特征在于,所述识别模块具体用于:根据预设的病毒信息库,将所述特征值与病毒文件的相应特征值作比较;如果所述特征值与所述病毒文件的相应特征值相同,则确定所述目标应用对应的apk文件为病毒文件。
14. 如权利要求13所述的装置,其特征在于,所述识别模块进一步用于:如果所述目标应用的特征值与所述病毒信息库中任意病毒文件的相应特征值不同,则判断所述目标应用中是否包含病毒,如果是,则在所述病毒信息库中新建一个病毒类别。”
经形式审查合格,国家知识产权局于2018年12月21日依法受理了该复审请求,并将其转送至原审查部门进行前置审查。
原审查部门在前置审查意见书中认为:对比文件1公开了(参见说明书第[0026]段):病毒特征码包括:头部信息特征码、常量特征码、操作 数特征码、指令特征码、指令特征码序列、类名函数名特征码;所述可执行文件中的操作指令包括操作码和操作数两部分。因此对比文件1的特定数据也提取了至少一种与行为相关的信息,且均有特征码。因此,修改后的权利要求相对于对比文件1,仍然不具有创造性。因而坚持驳回决定。
随后,国家知识产权局成立合议组对本案进行审理。
合议组于2019年05月16日向复审请求人发出复审通知书,指出:权利要求1-14不具备创造性,具体为:独立权利要求1、8和对比文件1的区别技术特征为:对所述操作码进行处理,得到特征值。但该区别技术特征是本领域的公知常识,因此权利要求1、8都不具备创造性。直接或间接引用独立权利要求1和8的从属权利要求2-7、9-14也都不具备创造性。对于复审请求人在提出复审请求时的意见陈述,合议组认为:对于上述意见(1),对比文件1中公开了:所述特定数据包括可执行文件的头部信息、可执行文件常量池中的常量,和/或,可执行文件中的操作指令。可见,对比文件1公开了特定数据仅包括可执行文件中的操作指令这一技术方案;对于上述意见(2),对比文件1已经公开了直接取操作码作为病毒特征码的技术方案,而其他的对于操作码的计算都是一种现有的对于数据转换的处理方式,是本领域的公知常识。因此,经陈述后,本申请仍然不具备创造性
复审请求人于2019年06月24日提交了意见陈述书,但未修改申请文件。复审请求人认为:对比文件1的方案是为了精准的识别病毒,因此对比文件1提取指定文件的与病毒相关的特征数据,只要是能够识别病毒的特征数据,均将其作为病毒特征码,而本申请仅提取目标应用的apk文件中与行为相关的信息,从而解决了由于两个文件的md5值不同而被识别为不同的应用的问题。对比文件1提取的特征数据中虽然包含与行为相关的操作指令,但是对比文件1的出发点并不是与行为相关的信息,因此,对比文件1是将所有与病毒相关的信息均作为病毒特征码进行病毒的识别,那么在未接触本申请的前提下,本领域技术人员不会发现现有的技术问题,更不会联系到仅仅提取出与行为相关的信息所对应的操作码或者特征值,以进行基于应用软件功能的安装报的分类,因此本申请的权利要求1相对于对比文件1具备创造性。
在上述程序的基础上,合议组认为本案事实已经清楚,可以作出审查决定。
二、决定的理由
审查文本的认定
复审请求人在答复复审通知书时未修改申请文件,因此,本复审决定和复审通知书所针对的文本相同,即:2018年12月18日提交的权利要求第1-14项,申请日2014年03月03日提交的说明书摘要、说明书第1-131段、摘要附图、说明书附图图1-6。
专利法第22条第3款
专利法第22条第3款规定:“创造性,是指与现有技术相比,该发明具有突出的实质性特点和显著的进步,该实用新型具有实质性特定和进步。”
如果一项权利要求要求保护的技术方案与最接近的现有技术相比存在区别特征,但是现有技术已经给出将上述区别特征应用到最接近的现有技术以解决其存在的技术问题的启示,那么该权利要求所要求保护的技术方案对本领域技术人员来说是显而易见的,从而不具备创造性。
本复审决定和驳回决定、复审通知书所引用的对比文件相同,即:
对比文件1:CN102663286A,公开日为2012年09月12日。
2-1、独立权利要求1不具备专利法第22条第3款所规定的创造性
独立权利要求1请求保护一种安卓应用的识别方法,对比文件1公开了一种病毒APK的识别方法,包括(参见说明书第18-38段):检测目标Android安装包APK中的指定文件,所述指定文件包括可执行文件,提取所述可执行文件中的特定数据,所述特定数据包括可执行文件的头部信息、可执行文件常量池中的常量,和/或,可执行文件中的操作指令(相当于提取目标应用的apk文件中至少一种与行为相关的信息;其中,apk为安卓安装包);定位目标Android安装包APK中可执行文件操作指令中的操作码(相当于提取所述信息的操作码);将所述操作码与病毒数据库中的指令特征码进行匹配(相当于根据预设的分类信息库,将所述特征值与所述分类信息库中已知类别应用的相应特征值作比较);若匹配,则判定目标Android安装包APK中的指定文件中包含病毒特征码,则确定所述目标Android安装包APK为病毒APK(相当于如果所述特征值与所述已知类别的相应特征值相同,则确定所述目标应用与所述已知类别应用为同一类)。
权利要求1和对比文件1的区别技术特征为:对所述操作码进行处理,得到特征值。
基于此,权利要求1实际要解决的技术问题是如何获得特征值。
本申请在权利要求1的技术方案中并未限定如何对操作码进行处理,根据说明书中,对操作码进行处理包括计算操作码的哈希值、md5值,或使用操作码的二进制表示,特别的,还可以直接取操作码的原始数据作为特征值,对比文件1已经公开了直接取操作码作为病毒特征码的技术方案,而其他的对于操作码的计算都是一种现有的对于数据转换的处理方式,是本领域的公知常识。
在对比文件1的基础上结合上述公知常识得出该权利要求所要求保护的技术方案,对本领域的技术人员来说是显而易见的,因此,权利要求1不具有突出的实质性特点和显著的进步,不具备创造性。
2-2、权利要求2不具备专利法第22条第3款规定的创造性。
权利要求2引用权利要求1,其进一步限定了分类信息库的建立方法。对比文件1还公开了(参见说明书第18-38段):预置病毒数据库的步骤包括:扫描源Android安装包APK中的可执行文件; 提取所述可执行文件中的特定数据(相当于选取apk文件中至少一种与行为相关的信息),判断所述特定数据是否包含病毒信息,其中,所述特定数据包括可执行文件的头部信息、可执行文件常量池中的常量,和/或,可执行文件中的操作指令;将所述头部信息特征码、常量特征码、操作数特征码、指令特征码、指令特征码序列、类名函数名特征码保存在数据库中,并分别标记分类标签(相当于将所选取的信息设定为分类信息);若是,则根据所述特定数据生成病毒特征码(相当于根据所设定的分类信息,针对目标样本群中的每一个应用样本,提取该应用样本apk文件中分类信息的操作码);将所述病毒特征码保存至病毒数据库中。在对比文件1公开了根据行为相关信息分类建立数据库的基础上,本领域技术人员容易想到将特征值相同的应用归为一类,得到分类结果,属于本领域的常用技术手段。同时,对操作码进行数据处理,从而得到特征值是本领域的公知常识,因此,在其引用的权利要求1不具备创造性时,该权利要求也不具备专利法第22条第3款规定的创造性。
2-3、权利要求3不具备专利法第22条第3款规定的创造性。
权利要求3引用权利要求2,其进一步限定了信息库的建立。然而,在计算机领域,在数据库中分类目标分类完成后,再检查是否有分类错误的情况,并根据不同的情况进行重新分类是本领域的常用技术手段。此外,为了检查的有效性,检查的数量需要满足一定的要求是本领域的常用技术手段,即所述一组应用中的应用数量不小于预设值是本领域的常用技术手段。因此,在其引用的权利要求不具备创造性时,该权利要求也不具备专利法第22条第3款规定的创造性。
2-4、权利要求4不具备专利法第22条第3款规定的创造性。
权利要求4引用权利要求2或3,其进一步限定了步骤A)和B)的具体方式。对比文件1还公开了(参见说明书第18-28段):扫描源Android安装包APK中的可执行文件;提取所述可执行文件中的特定数据,其中,所述特定数据包括可执行文件的头部信息、可执行文件常量池中的常量,和/或,可执行文件中的操作指令;将所述头部信息特征码、常量特征码、操作数特征码、指令特征码、指令特征码序列、类名函数名特征码保存在数据库中,并分别标记分类标签(相当于从目标应用的apk文件中提取预设的分类信息库的分类信息);将所述操作码与病毒数据库中的指令特征码进行匹配(相当于提取所述分类信息的操作码)。对所述操作码进行常规的数据处理,得到特征值是本领域的公知常识,因此,在其引用的权利要求不具备创造性时,该权利要求也不具备专利法第22条第3款规定的创造性。
2-5、权利要求5不具备专利法第22条第3款规定的创造性。
权利要求5引用权利要求1,在对比文件1公开了特征码相同则将应用分为同一类的基础上,将特征值与数据库中所有特征值均不相同时,将目标文件新建一类是本领域的常用技术手段。因此,在其引用的权利要求不具备创造性时,该权利要求也不具备专利法第22条第3款规定的创造性。
2-6、权利要求6不具备专利法第22条第3款规定的创造性。
权利要求6引用权利要求1,其进一步限定了步骤C)。对比文件1还公开了(参见说明书第18-38段):检测目标Android安装包APK中的指定文件中是否包含所述病毒特征码;定位目标Android安装包APK中可执行文件操作指令中的操作数,将所述操作数与病毒数据库中的操作数特征码进行匹配(相当于根据预设的病毒信息库,将所述特征值与病毒文件的相应特征值作比较),若匹配(相当于如果所述特征值与所述病毒文件的相应特征值相同),则判定目标Android安装包APK中的指定文件中包含病毒特征码;若是,则确定所述目标Android安装包APK为病毒APK(相当于则确定所述目标应用对应的apk文件为病毒文件)。因此,在其引用的权利要求不具备创造性时,该权利要求也不具备专利法第22条第3款规定的创造性。
2-7、权利要求7不具备专利法第22条第3款规定的创造性。
权利要求7引用权利要求6,在对比文件1公开了与病毒库特征值相同的文件为病毒文件的基础上,当目标应用与病毒库的特征值均不相同时,若是病毒时新建一个病毒类型是本领域常用的技术手段。因此,在其引用的权利要求不具备创造性时,该权利要求也不具备专利法第22条第3款规定的创造性。
2-8、权利要求8-14不具备专利法第22条第3款规定的创造性。
权利要求8-14是与权利要求1-7对应的装置权利要求,基于相同的理由和证据,其也不具备专利法第22条第3款规定的创造性。
对复审请求人相关意见的评述
对于复审请求人在答复复审通知书时的意见(参见案由部分),合议组认为:对比文件1中公开了:所述特定数据包括可执行文件的头部信息、可执行文件常量池中的常量,和/或,可执行文件中的操作指令。可见,对比文件1公开了特定数据仅包括可执行文件中的操作指令这一技术方案,即公开了仅获取与行为相关的信息,从而判断应用是否为病毒文件的技术方案,同时本申请的权利要求6中公开了对于病毒文件的判断,可见,对比文件1是本申请权利要求1的一个下位方案,其实质解决了本申请的技术问题。因此,经陈述后,本申请仍然不具备创造性。
三、决定
维持国家知识产权局于2018年09月04日对本申请作出的驳回决定。
如对本复审决定不服,根据专利法第41条第2款的规定,复审请求人可自收到本复审决定之日起三个月内向北京知识产权法院起诉。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
