一种恶意应用的识别方法、系统、训练方法、设备及介质技术方案

本发明专利技术公开一种恶意应用的识别方法、系统、训练方法、设备及介质，识别方法包括：获取目标应用的动态行为数据和静态代码数据，所述动态行为数据为所述目标应用根据用户行为产生的行为数据，所述静态代码数据为编写所述目标应用产生的代码数据；采用第一卷积神经网络对所述动态行为数据进行特征提取，获得目标动态向量；采用第二卷积神经网络对所述静态代码数据进行特征提取，获得目标静态向量；根据所述目标动态向量和所述目标静态向量输出所述目标应用的恶意检测结果。本申请提供的方法和系统用以解决识别方法的考虑因素单一，存在恶意应用的识别准确度不高的技术问题。实现了提高识别准确度的技术效果。

【技术实现步骤摘要】
一种恶意应用的识别方法、系统、训练方法、设备及介质
本专利技术涉及计算机
，尤其涉及一种恶意应用的识别方法、系统、训练方法、设备及介质。
技术介绍
随着科技的进步，智能手机已经普及，大众的生活、消费、娱乐等活动都离不开各类移动设备。智能手机的普及带来了便利，这种便利来源于安装在智能手机上的丰富的不同种类的应用程序。为了保证安装的应用程序的安全性，对应用程序是否携带病毒的识别就极为重要。现有的识别应用程序是否携带病毒的技术主要为，检测应用程序是否存在异常行为，如果存在异常行为，则认为该应用程序为恶意应用，则对其进行删除或查杀等处理。然而，由于现有识别方法的考虑因素单一，存在恶意应用的识别准确度不高的技术问题。
技术实现思路
鉴于上述问题，提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的恶意应用的识别方法、系统、训练方法、设备及介质。第一方面，提供一种恶意应用的识别方法，包括：获取目标应用的动态行为数据和静态代码数据，所述动态行为数据为所述目标应用根据用户行为产生的行为数据，所述静态代码数据为编写所述目标应用产生的代码数据；采用第一卷积神经网络对所述动态行为数据进行特征提取，获得目标动态向量；采用第二卷积神经网络对所述静态代码数据进行特征提取，获得目标静态向量；根据所述目标动态向量和所述目标静态向量输出所述目标应用的恶意检测结果。可选的，所述获取目标应用的动态行为数据，包括：在沙箱环境中运行所述目标应用；根据预设打桩点，获取所述目标应用在运行过程中的动态行为数据。可选的，所述在沙箱环境中运行所述目标应用，包括：在所述目标应用的运行过程中，模拟用户的操作，以触发所述目标应用产生行为数据。可选的，所述获取目标应用的静态代码数据，包括：解析所述目标应用的安装包的代码文件得到的所述静态代码数据。可选的，所述获取目标应用的静态代码数据，包括：解析所述目标应用的安装包的代码文件，得到所述目标应用安装包对应的二进制文件，以所述二进制文件作为所述静态代码数据；或者，反编译所述目标应用的安装包的代码文件，得到所述目标应用安装包的编译代码，以所述编译代码作为所述静态代码数据。可选的，所述采用第一卷积神经网络对所述动态行为数据进行特征提取，获得目标动态向量，包括：将所述动态行为数据转化为向量表示的第一动态向量序列；将所述第一动态向量序列分批次输入所述第一卷积神经网络进行特征提取，获得目标动态向量。可选的，所述将所述第一动态向量序列分批次输入所述第一卷积神经网络模型，包括：按照预设的批次长度和间隔参数，将所述第一动态向量序列分批次输入所述第一卷积神经网络，其中，每批次第一动态向量的向量数量等于所述批次长度，相邻批次的第一动态向量的起始向量之间间隔的向量数量等于所述间隔参数，所述批次长度大于所述间隔参数。可选的，所述采用第一卷积神经网络对所述动态行为数据进行特征提取，获得目标动态向量，包括：将所述动态行为数据转化为向量表示的第一动态向量序列；将所述第一动态向量序列中的每条向量预训练为，采用其周边向量进行描述的向量，生成第二动态向量序列；采用第一卷积神经网络对所述第二动态向量序列进行特征提取，获得目标动态向量。可选的，所述采用第一卷积神经网络对所述动态行为数据进行特征提取，获得目标动态向量，包括：根据预设的病毒特征，筛除所述动态行为数据中与所述病毒特征不匹配的无意义数据；采用第一卷积神经网络对筛除所述无意义数据后的所述动态行为数据进行特征提取，获得目标动态向量。可选的，所述采用第一卷积神经网络对所述动态行为数据进行特征提取，获得目标动态向量，包括：在所述第一卷积神经网络中，采用多个不同尺寸的卷积核，对所述动态行为数据进行特征提取，获得多组特征向量；根据所述多组特征向量，获得所述目标动态向量。可选的，所述多个不同尺寸的卷积核，包括：与所述动态行为数据中的每个向量的尺寸相同的单卷积核。可选的，所述采用第二卷积神经网络对所述静态代码数据进行特征提取，获得目标静态向量，包括：基于所述静态代码数据，生成N个特征序列，并分别对每个所述特征序列进行预设的第一特征参数提取处理，得到N个第一特征向量，其中，N为大于或等于2的整数；将所述N个第一特征向量进行拼接，对拼接后得到的第二特征向量进行预设的第二特征参数提取处理，得到获得目标静态向量。可选的，所述分别对每个所述特征序列进行预设的第一特征参数提取处理，得到N个第一特征向量，包括：对所述N个特征序列中每个特征序列进行一维卷积处理，得到该特征序列的第一特征信息，并通过预设的第一激活函数对所述第一特征信息进行激活，得到激活后的第一特征信息；对所述N个特征序列中每个特征序列对应的激活后的第一特征信息进行池化处理，得到所述N个第一特征向量。可选的，所述对所述N个特征序列中每个特征序列进行一维卷积处理，得到该特征序列的第一特征信息，包括：对所述N个特征序列中每个特征序列，执行以下步骤：对所述特征序列进行一维卷积处理，得到第一处理结果；通过预设的第二激活函数对所述第一处理结果进行激活，得到第二处理结果；将所述第一处理结果和所述第二处理结果的乘积，作为所述特征序列的第一特征信息。可选的，对所述N个特征序列中每个特征序列对应的激活后的第一特征信息进行池化处理，得到所述N个第一特征向量，包括：通过最大池化方式分别对所述N个特征序列中每个特征序列对应的激活后的第一特征信息进行池化处理，得到所述N个第一特征向量。可选的，将所述N个第一特征向量进行拼接，对拼接后得到的第二特征向量进行预设的第二特征参数提取处理，得到获得目标静态向量，包括：将所述N个第一特征向量进行拼接，得到第二特征向量，对所述第二特征向量进行一维卷积处理，得到所述第二特征向量的第二特征信息，并通过预设的第三激活函数对所述第二特征信息进行激活，得到激活后的第二特征信息；对所述激活后的第二特征信息进行池化处理，得到目标静态向量。可选的，所述对所述第二特征向量进行一维卷积处理，得到所述第二特征向量的第二特征信息，包括：对所述第二特征向量进行一维卷积处理，得到第三处理结果；通过预设的第四激活函数对所述第三处理结果进行激活，得到第四处理结果；将所述第三处理结果和所述第四处理结果的乘积，作为所述第二特征向量的第二特征信息。可选的，所述对所述激活后的第二特征信息进行池化处理，得到目标静态向量，包括：通过平均池化方式对所述激活后的第二特征信息进行池化处理，得到目标静态向量。可选的，所述根据所述目标动态向量和所述目标静态向量输出所述目标应用的恶意检测结果，包括：合并所述目标动态向量和所述目标静态向量，生成合并向量；根据所述合并向量输出所述目标应用的恶意检测结果。第二方面，提供一种恶意应用的识别系统，包括：获取模块，用于获取目标应用的动态行为数据和静态代码数据，所述动态行为数据为所述目标应用根据用户行为产生的行为数据，所述静态代码数据为编写所述目标应用产生的代码数据。第一卷积神经网络模块，用于对动态行为数据进行特征提取，获得目标动态向量；第二卷积神经网络模块，用于对静态代码数据进行特征提取，获得目标静态向量；输出模块，用于根据所述目标动态向量和所述目标静态向量输出所述目标应用的恶意检测结果。可选的，所述获取模块包括：第一获取单元，用于在沙箱环境中运本文档来自技高网...

【技术保护点】
1.一种恶意应用的识别方法，其特征在于，包括：获取目标应用的动态行为数据和静态代码数据，所述动态行为数据为所述目标应用根据用户行为产生的行为数据，所述静态代码数据为编写所述目标应用产生的代码数据；采用第一卷积神经网络对所述动态行为数据进行特征提取，获得目标动态向量；采用第二卷积神经网络对所述静态代码数据进行特征提取，获得目标静态向量；根据所述目标动态向量和所述目标静态向量输出所述目标应用的恶意检测结果。

【技术特征摘要】
1.一种恶意应用的识别方法，其特征在于，包括：获取目标应用的动态行为数据和静态代码数据，所述动态行为数据为所述目标应用根据用户行为产生的行为数据，所述静态代码数据为编写所述目标应用产生的代码数据；采用第一卷积神经网络对所述动态行为数据进行特征提取，获得目标动态向量；采用第二卷积神经网络对所述静态代码数据进行特征提取，获得目标静态向量；根据所述目标动态向量和所述目标静态向量输出所述目标应用的恶意检测结果。2.如权利要求1所述的方法，其特征在于，所述获取目标应用的动态行为数据，包括：在沙箱环境中运行所述目标应用；根据预设打桩点，获取所述目标应用在运行过程中的动态行为数据。3.如权利要求2所述的方法，其特征在于，所述在沙箱环境中运行所述目标应用，包括：在所述目标应用的运行过程中，模拟用户的操作，以触发所述目标应用产生行为数据。4.如权利要求1所述的方法，其特征在于，所述获取目标应用的静态代码数据，包括：解析所述目标应用的安装包的代码文件得到的所述静态代码数据。5.如权利要求1所述的方法，其特征在于，所述获取目标应用的静态代码数据，包括：解析所述目标应用的安装包的代码文件，得到所述目标应用安装包对应的二进制文件，以所述二进制文件作为所述静态代码数据；或者，反编译所述目标应用的安装包的代码文件，得到所述目标应用安装包的编译代码，以所述编译代码作为所述静态代码数据。6.如权利要求1所述的方法，其特征在于，所述...

【专利技术属性】
技术研发人员：史东杰，周楠，
申请(专利权)人：北京奇虎科技有限公司，
类型：发明
国别省市：北京,11