行为向量生成方法、装置、终端及存储介质制造方法及图纸

本发明专利技术实施例公开了一种行为向量生成方法、装置、终端及存储介质，属于信息安全领域。该方法包括：获取操作记录，所述操作记录包括目标应用内发生的至少一个操作行为的行为标识；根据预先设置的多个分组，将所述操作记录中的至少一个行为标识分别替换为属于同一分组的其他行为标识，同一分组中的行为标识对应的操作行为具有关联关系；根据所述至少一个行为标识替换后得到的行为标识，生成行为向量。所生成的行为向量既能够对目标应用内发生的操作行为进行描述以训练出准确的应用检测模型，而且根据行为向量中的行为标识无法还原终端用户的操作行为，避免了泄露用户隐私，提高了安全性。

Behavior vector generation method, device, terminal and storage medium

The embodiment of the present invention discloses a method, device, terminal and storage medium for generating behavior vector, which belongs to the field of information security. The method includes: acquiring operation records, which include behavior identification of at least one operation behavior occurring in the target application; replacing at least one behavior identification of the operation records with other behavior identification belonging to the same group and behavior in the same group according to the pre-set multiple groups. The corresponding operation behavior of the identification has an association relationship, and the behavior vector is generated according to the behavior identification obtained after the replacement of the at least one behavior identification. The generated behavior vector can not only describe the operation behavior in the target application to train an accurate application detection model, but also can not restore the operation behavior of the end user according to the behavior identification in the behavior vector, which avoids the leakage of user privacy and improves the security.

【技术实现步骤摘要】
行为向量生成方法、装置、终端及存储介质
本专利技术实施例涉及信息安全领域，特别涉及一种行为向量生成方法、装置、终端及存储介质。
技术介绍
随着互联网技术的快速发展以及多种应用的普及，互联网中出现了很多恶意应用，这些恶意应用在运行过程中会进行恶意操作，影响用户的信息安全。因此，如何准确检测出恶意应用成为信息安全领域亟待解决的问题。目前提出了一种应用检测方法，能够根据应用内发生的操作行为对应的行为向量进行检测，从而确定该应用是否为恶意应用。一个或多个终端在应用的运行过程中生成操作记录，该操作记录中包括应用内发生的至少一个操作行为的行为标识，则将操作记录中的行为标识组合构成行为向量，将行为向量发送给服务器。服务器收集多个应用的行为向量以及该多个应用已知的检测结果，根据该多个应用的行为向量和已知的检测结果训练应用检测模型。后续任一终端可以采用同样的方式获取待检测应用的行为向量，发送给服务器，服务器即可基于应用检测模型对该应用的行为向量进行检测，得到该应用的检测结果，从而确定该应用是否为恶意应用。上述行为向量中的行为标识与终端用户在应用内进行的操作行为对应，根据行为向量中的行为标识可以还原终端用户的操作行为，因此存在泄漏用户隐私的风险，安全性差。
技术实现思路
本专利技术实施例提供了一种行为向量生成方法、装置、终端及存储介质，可以解决相关技术中的缺陷。所述技术方案如下：一方面，提供了一种行为向量生成方法，所述方法包括：获取操作记录，所述操作记录包括目标应用内发生的至少一个操作行为的行为标识；根据预先设置的多个分组，将所述操作记录中的至少一个行为标识分别替换为属于同一分组的其他行为标识，同一分组中的行为标识对应的操作行为具有关联关系；根据所述至少一个行为标识替换后得到的行为标识，生成行为向量。再一方面，提供了一种行为向量生成方法，所述方法包括：获取模块，用于获取操作记录，所述操作记录包括目标应用内发生的至少一个操作行为的行为标识；替换模块，用于根据预先设置的多个分组，将所述操作记录中的至少一个行为标识分别替换为属于同一分组的其他行为标识，同一分组中的行为标识对应的操作行为具有关联关系；生成模块，用于根据所述至少一个行为标识替换后得到的行为标识，生成行为向量。再一方面，提供了一种用于生成行为向量的终端，所述终端包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述指令、所述程序、所述代码集或所述指令集由所述处理器加载并执行以实现所述的行为向量生成方法中所执行的操作。另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述指令、所述程序、所述代码集或所述指令集由处理器加载并执行以实现所述的行为向量生成方法中所执行的操作。本专利技术实施例提供的方法、装置、终端及存储介质，通过获取操作记录，根据预先设置的多个分组，将操作记录中的至少一个行为标识分别替换为属于同一分组的其他行为标识；根据至少一个行为标识替换后得到的行为标识，生成行为向量，由于同一分组中的行为标识对应的操作行为具有关联关系，因此所生成的行为向量既能够对目标应用内发生的操作行为进行描述以训练出准确的应用检测模型，而且根据行为向量中的行为标识无法还原终端用户的操作行为，避免了泄露用户隐私，提高了安全性。并且，将操作类型相同的操作行为或者在完成一个操作的过程中连续执行的操作行为设置于同一个分组中，充分考虑到了操作行为的执行规律，实现了行为标识的同类替换，在保护用户隐私的情况下尽可能提高行为向量的准确度。并且，按照随机生成的第一数值来确定是否要替换行为标识的方式，可以在保护用户隐私的情况下，尽可能地保证所生成行为向量的准确性，避免了替换行为标识对应用检测模型准确度的影响。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的一种应用检测系统的结构示意图；图2是本专利技术实施例提供的一种应用检测系统的模块结构示意图；图3是本专利技术实施例提供的一种向量生成模块的操作流程示意图；图4是本专利技术实施例提供的一种模型训练模块的操作流程示意图；图5是本专利技术实施例提供的一种检测模块的操作流程示意图；图6是本专利技术实施例提供的一种行为向量生成方法的流程图；图7是本专利技术实施例提供的一种行为向量生成装置的结构示意图；图8是本专利技术实施例提供的一种终端的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。相关技术中提出了一种应用检测方法，根据应用的行为向量和已知的检测结果进行模型训练，得到应用检测模型，该应用检测模型即可根据任一应用的行为向量得到该应用的检测结果。但是，实施过程中需要服务器从终端收集应用的行为向量，而根据行为向量可以还原终端用户的操作行为，一旦行为向量在传输过程中被泄露或者服务器泄漏行为向量，会有泄漏用户隐私的风险，但是不收集行为向量又无法训练出准确的应用检测模型。因此，为了兼顾模型训练和用户隐私，本专利技术实施例提供了一种行为向量生成方法，用于检测应用是否为恶意应用的场景中。首先对具有关联关系的操作行为的行为标识进行分组，之后根据目标应用内发生的至少一个操作行为的行为标识用其同组的行为标识进行替换，根据替换后的行为标识生成目标应用的行为向量，该行为向量既可以对目标应用内发生的操作行为进行描述，用于检测目标应用是否为恶意应用，而且不能100％还原目标应用内发生的操作行为，避免了泄漏用户的隐私。在一种场景下，将该目标应用作为样本应用，采用本专利技术实施例提供的方法获取到该目标应用的行为向量，并且获取到该目标应用已知的检测结果之后，可以对应用检测模型进行训练，该应用检测模型用于对任一应用的行为向量进行检测，得到检测结果。在另一种场景下，该目标应用为未知检测结果的应用，需要检测该目标应用是否为恶意应用，则采用本专利技术实施例提供的方法获取到该目标应用的行为向量之后，可以将行为向量输入到应用检测模型，基于应用检测模型对行为向量进行检测，得到目标应用的检测结果。图1是本专利技术实施例提供的一种应用检测系统的结构示意图，参见图1，该应用检测系统包括终端101和服务器102，终端101与服务器102之间通过网络连接。终端101安装目标应用，用于将目标应用内发生的操作行为对应的行为标识替换为具有关联关系的操作行为的行为标识，生成行为向量，发送给服务器102。服务器102用于根据收集到的多个样本应用的行为向量和已知的检测结果，训练应用检测模型。还用于基于应用检测模型，对未知检测结果的应用的行为向量进行检测，得到检测结果，发送给终端101。由于行为向量中的行为标识并未与目标应用内发生的操作行为对应的行为标识100％地对应，因此根据该行为向量无法100％还原目标应用内发生的操作行为，避免了泄漏用户本文档来自技高网...

【技术保护点】
1.一种行为向量生成方法，其特征在于，所述方法包括：获取操作记录，所述操作记录包括目标应用内发生的至少一个操作行为的行为标识；根据预先设置的多个分组，将所述操作记录中的至少一个行为标识分别替换为属于同一分组的其他行为标识，同一分组中的行为标识对应的操作行为具有关联关系；根据所述至少一个行为标识替换后得到的行为标识，生成行为向量。

【技术特征摘要】
1.一种行为向量生成方法，其特征在于，所述方法包括：获取操作记录，所述操作记录包括目标应用内发生的至少一个操作行为的行为标识；根据预先设置的多个分组，将所述操作记录中的至少一个行为标识分别替换为属于同一分组的其他行为标识，同一分组中的行为标识对应的操作行为具有关联关系；根据所述至少一个行为标识替换后得到的行为标识，生成行为向量。2.根据权利要求1所述的方法，其特征在于，任两个操作行为具有关联关系是指：所述任两个操作行为的类型相同，和/或，所述任两个操作行为连续执行。3.根据权利要求1所述的方法，其特征在于，所述根据预先设置的多个分组，将所述操作记录中的至少一个行为标识分别替换为属于同一分组的其他行为标识，包括：对于所述操作记录中的每个行为标识，随机生成一个属于第一数值范围的数值，作为第一数值，所述第一数值范围为大于0且小于1的范围；当所述第一数值大于预设阈值时，将所述行为标识替换为属于同一分组的其他行为标识，所述预设阈值大于0且小于1。4.根据权利要求1或3所述的方法，其特征在于，所述根据预先设置的多个分组，将所述操作记录中的至少一个行为标识分别替换为属于同一分组的其他行为标识，包括：对于所述操作记录中的每个行为标识，获取所述行为标识所属的分组中除所述行为标识以外的同组行为标识，并确定获取到的同组行为标识的数目，作为指定数目；随机生成一个属于第二数值范围的整数，作为第二数值，所述第二数值范围为大于0且不大于所述指定数目的范围；从获取到的同组行为标识中选取排列顺序等于所述第二数值的同组行为标识，将所述行为标识替换为选取的同组行为标识。5.根据权利要求1所述的方法，其特征在于，终端上运行目标服务程序，所述目标服务程序用于在被任一应用调用时执行指定操作行为；所述方法还包括：当所述目标应用调用所述目标服务程序时，在所述操作记录中添加所述指定操作行为对应的行为标识。6.根据权利要求1所述的方法，其特征在于，所述根据所述至少一个行为标识替换后得到的行为标识，生成行为向量之后，所述方法还包括：向服务器发送所述行为向量；所述目标应用为样本应用，所述服务器用于根据所述行为向量和所述目标应用已知的检测结果，训练应用检测模型，所述应用检测模型用于对任一应用的行为向量进行检测，得到检测结果；或者，所述目标应用为待检测的应用，所述服务器用于基于所述应用检测模型对所述行为向量进行检测，得到所述目标应用的检测结果。7.一种行为向量生成装置，其特征在于，所述装置包括：获取模块，用于获取操作记录，所述操作记录包括目标应用内发生的至少一个操作行为的行为标识；替换模块，用于根据预先设置的多个分组，将所述操作记录中的至少一个行为标识分别替换为...

【专利技术属性】
技术研发人员：雷经纬，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44