一种恶意程序的识别方法及装置制造方法及图纸

本发明专利技术提供了一种恶意程序的识别方法及装置。所述方法包括：获取被检测应用程序的安装包文件，并通过Hook方式将其置于模拟器中运行；触发被检测应用程序的行为，并通过Hook方式从模拟器中获取被检测的行为日志；对获取到的被检测的行为日志进行向量化处理；将向量化处理后的被检测的行为日志发送至基于样本行为日志构建的神经网络中进行识别，得到被检测应用程序的应用类型，样本行为日志为已知应用类型的应用程序的行为日志，应用类型包括恶意程序或非恶意程序。本发明专利技术采用了神经网络的行为日志分析方式，提高了恶意应用判断的准确性；并且，不需修改系统源码，无需耗费较高的时间成本、开发成本和维护成本；框架的耦合性较低，便于拓展。

Method and device for recognizing malicious program

The invention provides a method and device for recognizing malicious programs. The method comprises: obtaining by detecting the application package file, and will run the simulator by Hook; triggered by detecting the application behavior, and through the Hook to acquire the detected behavior log from the simulator; vector processing to be detected to obtain the log vector; after the treatment of the detected behavior log is sent to the neural network based on sample log construction were identified by the application, the application type is detected, the sample for the application log known types of application behavior log, application types include malware or malicious programs. The method adopts the behavior log analysis method of the neural network, improves the accuracy of the malicious application judgment, and does not need to modify the source code of the system, and does not need to consume high time cost, development cost and maintenance cost; the coupling of the framework is low, and it is easy to expand.

【技术实现步骤摘要】
一种恶意程序的识别方法及装置
本专利技术涉及互联网数据的处理领域，尤其涉及一种恶意程序的识别方法及装置。
技术介绍
本部分旨在为权利要求书中陈述的本专利技术的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。现有的一种恶意程序识别方法是基于特征码识别的方法，其主要是通过获取当前检测样本(恶意的Android应用程序)的特征，其中该特征包括网络访问，文件读取，隐私数据访问等多维度的信息，进而生成匹配于当前样本的特征码，并将生成的特征码与现有特征库中的特征码进行比对，从而确定当前检测样本的恶意性。但是这种方法不具备预测性，它只能针对已经发现的恶意样本进行匹配，未知的样本则无能为力；并且准确性较低，主要体现在未知恶意样本的检测过程中；且维护成本较高，需要维护一份非常庞大的特征码校验库。现有的另一种恶意程序识别方法是基于Android系统定向定制的技术，主要是通过对Android系统进行定向的定制，具体的定制方向主要如下，监控网络出入接口，监控文件读取接口，监控隐私数据读取接口，监控系统权限获取接口等，目的是截获样本程序的运行轨迹(即获取运行日志)，进而发现其恶意性。本文档来自技高网...

【技术保护点】
一种恶意程序的识别方法，其特征在于，包括：获取被检测应用程序的安装包文件，并通过钩子Hook方式将其置于模拟器中运行；触发所述被检测应用程序的行为，并通过Hook方式从模拟器中获取被检测的行为日志；对获取到的被检测的行为日志进行向量化处理；将所述向量化处理后的被检测的行为日志发送至基于样本行为日志构建的神经网络中进行识别，得到所述被检测应用程序的应用类型，所述样本行为日志为已知应用类型的应用程序的行为日志，所述应用类型包括恶意程序或非恶意程序。

【技术特征摘要】
1.一种恶意程序的识别方法，其特征在于，包括：获取被检测应用程序的安装包文件，并通过钩子Hook方式将其置于模拟器中运行；触发所述被检测应用程序的行为，并通过Hook方式从模拟器中获取被检测的行为日志；对获取到的被检测的行为日志进行向量化处理；将所述向量化处理后的被检测的行为日志发送至基于样本行为日志构建的神经网络中进行识别，得到所述被检测应用程序的应用类型，所述样本行为日志为已知应用类型的应用程序的行为日志，所述应用类型包括恶意程序或非恶意程序。2.根据权利要求1所述的恶意程序的识别方法，其特征在于，所述神经网络的构建方法，包括：获取已知应用类型的应用程序的安装包文件，并通过Hook方式将其置于模拟器中运行；大量触发已知应用类型的应用程序的行为，并通过Hook方式从模拟器中获取样本行为日志；对获取到的大量样本行为日志进行向量化处理；使用向量化处理后的样本行为日志训练用于识别应用类型的神经网络。3.根据权利要求1或2所述的恶意程序的识别方法，其特征在于，通过自动化的模拟用户操作脚本，触发所述被检测应用程序或已知应用类型的应用程序的行为。4.根据权利要求1或2所述的恶意程序的识别方法，其特征在于，所述行为日志中包含如下信息：是否访问网络、是否读取隐私数据、是否访问文件、是否获取系统权限，所述行为日志包括被检测的行为日志和样本行为日志。5.根据权利要求4所述的恶意程序的识别方法，其特征在于，对被检测的行为日志或样本行为日志中包含的信息进行数值化处理时，针对包含的每一个信息，使用预先设置的数值表示对应的结果，所述行为日志中包含的每一个信息对应至少两种可能结果，并预先为各可能结果设置不同数值。6.一种恶意程序的识别装置，其特征在于，包括：应用程序获取模块，用于获取被检测应用程序的安装包文件，并通过钩子Hook方式将其置于模拟器中运...

【专利技术属性】
技术研发人员：夏宇天，
申请(专利权)人：微梦创科网络科技中国有限公司，
类型：发明
国别省市：北京,11