病毒行为检测方法、装置及计算机可读存储介质制造方法及图纸

本发明专利技术公开一种病毒行为检测方法、装置及计算机存储介质，所述方法包括：在沙箱环境中运行移动终端中的应用程序，以对所述应用程序进行扫描；根据预设打桩点，获取所述应用程序在运行过程中的目标行为序列基于预设的病毒行为识别模型，对所述目标行为序列进行识别，获得所述目标行为序列的识别结果；将所述识别结果显示在所移动终端的显示屏上。上述方案中，能够获取更多的应用程序运行过程中的动态行为，使得用于进行病毒检测的行为更加多样化，另外，通过预设的病毒行为识别模型来进行目标行为序列的识别，避免了对人为设定规则的依赖，能够使病毒行为识别更加全面。

Virus Behavior Detection Method, Device and Computer Readable Storage Media

The invention discloses a virus behavior detection method, device and computer storage medium. The method includes: running the application program of mobile terminal in sandbox environment to scan the application program; acquiring the target behavior sequence of the application program in operation process based on the preset virus behavior recognition model according to the preset piling point, and performing the target behavior. The recognition result of the target behavior sequence is obtained by recognizing the sequence, and the recognition result is displayed on the display screen of the mobile terminal. In the above scheme, we can get more dynamic behavior in the running process of the application, which makes the behavior used for virus detection more diversified. In addition, we can identify the target behavior sequence through the preset virus behavior recognition model, which avoids the dependence on artificial rules and makes the virus behavior recognition more comprehensive.

【技术实现步骤摘要】
病毒行为检测方法、装置及计算机可读存储介质
本专利技术涉及信息安全领域，尤其涉及一种病毒行为检测方法、装置及计算机可读存储介质。
技术介绍
随着科学技术的不断发展，移动终端的使用在人们的生活中越来越普遍。由于移动终端，例如手机，存储了用户的很多私人信息，例如账号、密码，如果用户的移动终端中存在病毒程序，在病毒程序运行后会对用户造成极大的损失。现有技术中，在对移动终端的待检测应用程序进行病毒检测时，通常是采用静态检测方式来实现。静态检测方式是基于待检测应用程序内部文件提取静态特征，并通过检测静态特征是否命中人为设置的病毒特征规律来确定待检测应用程序是否为病毒。由于静态检测依赖于待检测应用程序内部文件，因此提取的特征比较单一，且病毒特征规律是人为设定的，无法覆盖全部的病毒检测范围，容易出现病毒检测的遗漏。
技术实现思路
本说明书实施例提供及一种病毒行为检测方法、装置及计算机可读存储介质。第一方面，本说明书实施例提供一种病毒行为检测方法，应用于移动终端，包括：在沙箱环境中运行所述移动终端中的应用程序，以对所述应用程序进行扫描；根据预设打桩点，获取所述应用程序在运行过程中的目标行为序列；在所述移动终端的沙箱环境中运行应用程序；根据预设打桩点，获取所述应用程序在运行过程中的目标行为序列；基于预设的病毒行为识别模型，对所述目标行为序列进行识别，获得所述目标行为序列的识别结果；将所述识别结果显示在所述移动终端的显示屏上。可选地，在所述根据预设打桩点，获取所述应用程序在运行过程中的目标行为序列之前，所述方法还包括：将所述应用程序的目标信息发送给服务器，以使所述服务器根据所述目标信息查询应用程序的黑白名单数据库，确定所述应用程序是否为正常应用程序；在接收到所述服务器的反馈结果为所述应用程序为非正常应用程序时，执行所述根据预设打桩点，获取所述应用程序在运行过程中的目标行为序列的步骤。可选地，所述在所述移动终端的沙箱环境中运行应用程序之后，所述方法还包括：在所述应用程序的运行过程中，模拟用户对所述移动终端的操作，以触发所述应用程序的行为。可选地，所述预设打桩点为通过对所述移动终端的目标系统服务进行打桩处理得到的打桩点。可选地，所述根据预设打桩点，获取所述应用程序在运行过程中的目标行为序列，包括：根据预设打桩点，确定所述应用程序在运行过程中调用的N个系统服务，其中，所述N个系统服务为包含在所述目标系统服务中的服务，N为正整数；根据所述N个系统服务的调用行为，获取所述目标行为序列。可选地，所述基于预设的病毒行为识别模型，对所述目标行为序列进行识别，获得所述目标行为序列的识别结果，包括：按照预设批次长度，将所述目标行为序列分批次输入至所述预设的病毒行为识别模型进行行为序列识别，获得与多个输入批次对应的多个识别结果；在所述多个识别结果中存在一个或多个识别结果为病毒行为时，确定所述目标行为序列的识别结果为病毒行为。可选地，所述基于预设的病毒行为识别模型，对所述目标行为序列进行识别，获得所述目标行为序列的识别结果，包括：所述预设的病毒行为识别模型根据预设的病毒特征，过滤掉所述目标行为序列中与所述预设的病毒特征不匹配的数据，获得过滤后的行为序列；对所述过滤后的行为序列进行识别，获得所述过滤后的行为序列的识别结果，作为所述目标行为序列的识别结果。可选地，所述预设的病毒行为识别模型通过以下方式获得：获取多个带有病毒标签的应用程序样本；逐个提取所述应用程序样本的行为序列；将每个所述应用程序样本的行为序列输入到病毒行为识别模型中进行训练，得到训练好的病毒行为识别模型作为所述预设的病毒行为识别模型。可选地，所述将所述应用程序样本的行为序列输入到初始的病毒行为识别模型中进行训练，得到训练好的病毒行为识别模型作为所述预设的病毒行为识别模型，包括：获取所述病毒行为识别模型输出的对每个所述应用程序样本的行为序列的病毒预测结果；根据所述病毒预测结果以及所述病毒标签，确定所述病毒行为识别模型的预测准确率；在所述预测准确率大于阈值时，得到所述训练好的病毒行为识别模型作为所述预设的病毒行为识别模型。可选地，在所述获得所述目标行为序列的识别结果之后，所述方法还包括：对所述沙箱环境进行初始化，以使在所述沙箱环境中需要检测多个应用程序时，每个应用程序的运行环境均相同。可选地，在所述获得所述目标行为序列的识别结果之后，所述方法还包括：在所述识别结果为正常行为时，将所述应用程序的目标信息发送至所述服务器，以使所述服务器更新所述应用程序的黑白名单数据库。第二方面，本说明书实施例提供一种病毒行为检测装置，包括：扫描模块，用于在沙箱环境中运行移动终端中的应用程序，以对所述应用程序进行扫描；获取模块，用于根据预设打桩点，获取所述应用程序在运行过程中的目标行为序列；识别模块，用于基于预设的病毒行为识别模型，对所述目标行为序列进行识别，获得所述目标行为序列的识别结果；显示模块，用于将所述识别结果显示在所述移动终端的显示屏上。可选地，所述装置还包括：发送模块，用于将所述应用程序的目标信息发送给服务器，以使所述服务器根据所述目标信息以及预设程序信息库，确定所述应用程序是否为正常应用程序；执行模块，用于在接收到所述服务器的反馈结果为所述应用程序为非正常应用程序时，执行所述根据预设打桩点，获取所述应用程序在运行过程中的目标行为序列的步骤。可选地，所述装置还包括：操作模拟模块，用于在所述应用程序的运行过程中，模拟用户对所述移动终端的操作，以触发所述应用程序的行为。可选地，所述预设打桩点为通过对所述移动终端的目标系统服务进行打桩处理得到的打桩点。可选地，所述获取模块，用于：根据预设打桩点，确定所述应用程序在运行过程中调用的N个系统服务，其中，所述N个系统服务为包含在所述目标系统服务中的服务，N为正整数；根据所述N个系统服务的调用行为，获取所述目标行为序列。可选地，所述识别模块，用于：按照预设批次长度，将所述目标行为序列分批次输入至所述预设的病毒行为识别模型进行行为序列识别，获得与多个输入批次对应的多个识别结果；在所述多个识别结果中存在一个或多个识别结果为病毒行为时，确定所述目标行为序列的识别结果为病毒行为。可选地，所述识别模块，用于：所述预设的病毒行为识别模型根据预设的病毒特征，过滤掉所述目标行为序列中与所述预设的病毒特征不匹配的数据，获得过滤后的行为序列；对所述过滤后的行为序列进行识别，获得所述过滤后的行为序列的识别结果，作为所述目标行为序列的识别结果。可选地，所述装置还包括：模型生成模块，用于获取多个带有病毒标签的应用程序样本；逐个提取所述应用程序样本的行为序列；将每个所述应用程序样本的行为序列输入到病毒行为识别模型中进行训练，得到训练好的病毒行为识别模型作为所述预设的病毒行为识别模型。可选地，所述模型生成模块，用于：获取所述病毒行为识别模型输出的对每个所述应用程序样本的行为序列的病毒预测结果；根据所述病毒预测结果以及所述病毒标签，确定所述病毒行为识别模型的预测准确率；在所述预测准确率大于阈值时，得到所述训练好的病毒行为识别模型作为所述预设的病毒行为识别模型。可选地，所述装置还包括：初始化模块，用于对所述沙箱环境进行初始化，以使在所述沙箱环境中需要检测多个应用程序时，每个应用程序的运行本文档来自技高网...

【技术保护点】
1.一种病毒行为检测方法，应用于移动终端，其特征在于，所述方法包括：在沙箱环境中运行所述移动终端中的应用程序，以对所述应用程序进行扫描；根据预设打桩点，获取所述应用程序在运行过程中的目标行为序列；基于预设的病毒行为识别模型，对所述目标行为序列进行识别，获得所述目标行为序列的识别结果；将所述识别结果显示在所述移动终端的显示屏上。

【技术特征摘要】
1.一种病毒行为检测方法，应用于移动终端，其特征在于，所述方法包括：在沙箱环境中运行所述移动终端中的应用程序，以对所述应用程序进行扫描；根据预设打桩点，获取所述应用程序在运行过程中的目标行为序列；基于预设的病毒行为识别模型，对所述目标行为序列进行识别，获得所述目标行为序列的识别结果；将所述识别结果显示在所述移动终端的显示屏上。2.根据权利要求1所述的病毒行为检测方法，其特征在于，在所述根据预设打桩点，获取所述应用程序在运行过程中的目标行为序列之前，所述方法还包括：将所述应用程序的目标信息发送给服务器，以使所述服务器根据所述目标信息查询应用程序的黑白名单数据库，确定所述应用程序是否为正常应用程序；在接收到所述服务器的反馈结果为所述应用程序为非正常应用程序时，执行所述根据预设打桩点，获取所述应用程序在运行过程中的目标行为序列的步骤。3.根据权利要求1所述的病毒行为检测方法，其特征在于，所述在所述移动终端的沙箱环境中运行应用程序之后，所述方法还包括：在所述应用程序的运行过程中，模拟用户对所述移动终端的操作，以触发所述应用程序的行为。4.根据权利要求1所述的病毒行为检测方法，其特征在于，所述预设打桩点为通过对所述移动终端的目标系统服务进行打桩处理得到的打桩点。5.根据权利要求4所述的病毒行为检测方法，其特征在于，所述根据预设打桩点，获取所述应用程序在运行过程中的目标行为序列，包括：根据预设打桩点，确定所述应用程序在运行过程中调用的N个系统服务，其中，所述N个系统服务为包含在所述目标系统服务中的服务，N为正整数；根据所述N个系统服务的调用行为，获取所述目标行为序列。6.根据权利要求1...

【专利技术属性】
技术研发人员：王冬，庞洲，孔庆龙，赵浩亮，史东杰，
申请(专利权)人：北京奇虎科技有限公司，
类型：发明
国别省市：北京,11