一种非法应用程序类别识别方法及装置制造方法及图纸

本发明专利技术提供一种非法应用程序类别识别方法及装置，所述方法包括：获取应用程序样本集，将应用程序样本集中各应用程序在仿真运行平台上虚拟运行，获取运行时生成的序列特征，从各应用程序的安装包中获取表示安装包生成的名称特征；根据各应用程序的序列特征，确定第一相似度，根据各应用程序的名称特征，确定第二相似度；根据所述第一相似度与第二相似度，确定最终相似度；根据最终相似度，确定该待识别的应用程序是否为非法的应用程序，及确定为非法的应用程序时，确定所属的非法的应用程序的类别，利用本发明专利技术提供的方法，可以建立对于非法应用程序的各方面进行监测的机制，来分析非法应用程序的行为特征，以便更好的确定非法应用程序的类别。

A method and device of illegal application program category recognition

【技术实现步骤摘要】
一种非法应用程序类别识别方法及装置
本专利技术涉及一种应用程序类别识别领域，特别涉及一种非法应用程序类别识别方法及装置。
技术介绍
近年来，非法应用程序的数量与日俱增，而随着非法应用程序的增长速度和传播速度的不断加快，对于非法应用程序的分析以及对非法应用程序进行分类变得越来越困难。非法应用程序是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的应用程序，并且非法应用程序自身通过原始程序并生成变体，以避免基于签名的检测措施，使得非法应用程序变得更加复杂，仅靠简单自动分析很难获得非法应用程序所属的类别，非法应用程序也很容易绕过基于程序签名的反病毒程序来逃避监测分类。现有的对于非法应用程序的分类方式是通过监测非法应用程序的调用权限与调用图等几个简单的特征来判断该程序为何类非法应用程序，然而仅仅通过几个特征难以找出各个特征之间的关联并根据关联关系进行分类，此种非法应用程序分类方式并不适用于现代应用程序集群，并且现有的权限信息不再像以往一样具有对于分辨非法应用程序的权威性，很多合法应用程序同样会调用大量的权限，仅通过观察权限的调用情况不足以表明非法应用程序的类型，所以需要建立一种对于非法应用程序的各方面进行监测的机制，来分析非法应用程序的行为特征，以便更好的确定非法应用程序的类别。
技术实现思路
本专利技术提供一种非法应用程序类别识别方法及装置，用于解决在仅使用了权限和调用图等一个或几个简单的特征请情况下，难以找出特征之间的关联的问题，并且现有的良性的应用程序也需要大量权限，如果应用程序检测系统只使用一种或少量的特征，那么它会产生有偏见的结果。本专利技术的第一方面，提供一种非法应用程序类别识别方法，所述方法包括：获取应用程序样本集，所述应用程序样本集包括至少一个识别出类别的非法的应用程序及至少一个待识别的应用程序；将应用程序样本集中各应用程序在仿真运行平台上虚拟运行，获取运行时生成的序列特征，所述序列特征中包括表示该应用程序运行时调用的API接口顺序的API调用序列，从各应用程序的安装包中获取表示安装包生成的名称特征；根据各应用程序的序列特征，确定任一待识别的应用程序分别与各非法的应用程序及其他待识别的应用程序之间的第一相似度，根据各应用程序的名称特征，确定任一待识别的应用程序分别与各非法的应用程序及其他待识别的应用程序之间的第二相似度；根据所述第一相似度与第二相似度，确定任一待识别的应用程序分别与各非法的应用程序及其他待识别的应用程序之间的最终相似度；根据所述最终相似度，确定该待识别的应用程序是否为非法的应用程序，及确定为非法的应用程序时，确定所属的非法的应用程序的类别。可选地，根据所述最终相似度，确定该待识别的应用程序是否为非法的应用程序，及确定为非法的应用程序时，确定所属的非法的应用程序的类别，包括：确定与该待识别的应用程序的最终相似度最高的为非法的应用程序，且最高的最终相似度高于设定高阈值时，确定该识别的应用程序为非法的应用程序；确定与该待识别的应用程序的最终相似度最高的非法的应用程序的类别，为待识别的应用程序所属的非法的应用程序的类别。可选地，根据所述最终相似度，确定该待识别的应用程序是否为非法的应用程序，包括：确定与该待识别的应用程序的最终相似度最高的为非法的应用程序，且最高的最终相似度低于设定低阈值时，确定待识别的应用程序为合法应用程序。可选地，根据所述最终相似度，确定该待识别的应用程序是否为非法的应用程序，包括：确定与该待识别的应用程序的最终相似度最高的为其他待识别的应用程序时，且最高的最终相似度高于设定聚类阈值时，将该待识别的应用程序与最终相似度最高的其他待识别的应用程序，划分到同一类型集合。可选地，还包括：根据该待识别的应用程序为非法的应用程序及所属的非法的应用程序的类别，确定与该待识别的应用程序属于同一类型集合的待识别应用程序，为非法的应用程序及相同的非法的应用程序的类别。可选地，从各应用程序的安装包中获取表示安装包生成的名称特征，包括：获取各应用程序的安装包在仿真运行平台上虚拟运行时，确定的表示调用权限名称的权限信息；获取根据各应用程序的安装包中的开发账号确定的签名信息将应用程序样本集中各应用程序的安装包中开发人员名称确定的签名信息；获取根据各应用程序的安装包在仿真运行平台上虚拟运行时，由其中的应用程序组件生成的活动名称确定的活动名称信息。可选地，确定任一待识别的应用程序分别与各非法的应用程序及其他待识别的应用程序之间的第一相似度，包括：利用敏感哈希中的Nilsimsa算法将各应用程序的序列特征中的API调用序列统一为相同长度的摘要信息；通过比对任一待识别的应用程序分别与各非法的应用程序及其他待识别的应用程序之间的摘要信息，得到对应的第一相似度。可选地，确定任一待识别的应用程序分别与各非法的应用程序及其他待识别的应用程序之间的第二相似度，包括：利用jaccard集合相似度算法，确定任一待识别的应用程序分别与各非法的应用程序及其他待识别的应用程序之间的第二相似度。可选地，根据所述第一相似度与第二相似度，确定任一待识别的应用程序分别与各非法的应用程序及其他待识别的应用程序之间的最终相似度，包括：将第一相似度和第二相似度分别乘以对应的权重并求和，得到任一待识别的应用程序分别与各非法的应用程序及其他待识别的应用程序之间的最终相似度。可选地，还包括：根据各非法的应用程序的序列特征，确定各非法的应用程序之间的第一相似度，根据各非法的应用程序的名称特征，确定各非法的应用程序之间的第二相似度；将任意两个非法的应用程序的第一相似度、第二相似度输入权重优化器，利用所述权重优化器调整第一相似度和第二相似度的权重，使得对第一相似度和第二相似度加权求和后输出的两个非法的应用程序是否属于同一类别的结果，与应用程序样本集中该两个非法应用程序是否属于同一类别结果一致；根据所述权值优化器调整结束后的权重，得到第一相似度和第二相似对应的权重。本专利技术第二方面提供一种非法应用程序类别识别装置，所述装置包括如下模块：样本获取模块，用于获取应用程序样本集，所述应用程序样本集包括至少一个识别出类别的非法的应用程序及至少一个待识别的应用程序；特征获取模块，用于将应用程序样本集中各应用程序在仿真运行平台上虚拟运行，获取运行时生成的序列特征，所述序列特征中包括表示该应用程序运行时调用的API接口顺序的API调用序列，从各应用程序的安装包中获取表示安装包生成的名称特征；相似度确定模块，用于根据各应用程序的序列特征，确定任一待识别的应用程序分别与各非法的应用程序及其他待识别的应用程序之间的第一相似度，根据各应用程序的名称特征，确定任一待识别的应用程序分别与各非法的应用程序及其他待识别的应用程序之间的第二相似度；最终相似度确定模块，用于根据所述第一相似度与第本文档来自技高网...

【技术保护点】
1.一种非法应用程序类别识别方法，其特征在于，所述方法包括：/n获取应用程序样本集，所述应用程序样本集包括至少一个识别出类别的非法的应用程序及至少一个待识别的应用程序；/n将应用程序样本集中各应用程序在仿真运行平台上虚拟运行，获取运行时生成的序列特征，所述序列特征中包括表示该应用程序运行时调用的API接口顺序的API调用序列，从各应用程序的安装包中获取表示安装包生成的名称特征；/n根据各应用程序的序列特征，确定任一待识别的应用程序分别与各非法的应用程序及其他待识别的应用程序之间的第一相似度，根据各应用程序的名称特征，确定任一待识别的应用程序分别与各非法的应用程序及其他待识别的应用程序之间的第二相似度；/n根据所述第一相似度与第二相似度，确定任一待识别的应用程序分别与各非法的应用程序及其他待识别的应用程序之间的最终相似度；/n根据所述最终相似度，确定该待识别的应用程序是否为非法的应用程序，及确定为非法的应用程序时，确定所属的非法的应用程序的类别。/n

【技术特征摘要】
1.一种非法应用程序类别识别方法，其特征在于，所述方法包括：
获取应用程序样本集，所述应用程序样本集包括至少一个识别出类别的非法的应用程序及至少一个待识别的应用程序；
将应用程序样本集中各应用程序在仿真运行平台上虚拟运行，获取运行时生成的序列特征，所述序列特征中包括表示该应用程序运行时调用的API接口顺序的API调用序列，从各应用程序的安装包中获取表示安装包生成的名称特征；
根据各应用程序的序列特征，确定任一待识别的应用程序分别与各非法的应用程序及其他待识别的应用程序之间的第一相似度，根据各应用程序的名称特征，确定任一待识别的应用程序分别与各非法的应用程序及其他待识别的应用程序之间的第二相似度；
根据所述第一相似度与第二相似度，确定任一待识别的应用程序分别与各非法的应用程序及其他待识别的应用程序之间的最终相似度；
根据所述最终相似度，确定该待识别的应用程序是否为非法的应用程序，及确定为非法的应用程序时，确定所属的非法的应用程序的类别。


2.根据权利要求1所述的方法，其特征在于，根据所述最终相似度，确定该待识别的应用程序是否为非法的应用程序，及确定为非法的应用程序时，确定所属的非法的应用程序的类别，包括：
确定与该待识别的应用程序的最终相似度最高的为非法的应用程序，且最高的最终相似度高于设定高阈值时，确定该识别的应用程序为非法的应用程序；
确定与该待识别的应用程序的最终相似度最高的非法的应用程序的类别，为待识别的应用程序所属的非法的应用程序的类别。


3.根据权利要求2所述的方法，其特征在于，根据所述最终相似度，确定该待识别的应用程序是否为非法的应用程序，包括：
确定与该待识别的应用程序的最终相似度最高的为非法的应用程序，且最高的最终相似度低于设定低阈值时，确定待识别的应用程序为合法应用程序。


4.根据权利要求1～3任一所述的方法，其特征在于，根据所述最终相似度，确定该待识别的应用程序是否为非法的应用程序，包括：
确定与该待识别的应用程序的最终相似度最高的为其他待识别的应用程序时，且最高的最终相似度高于设定聚类阈值时，将该待识别的应用程序与最终相似度最高的其他待识别的应用程序，划分到同一类型集合。


5.根据权利要求4所述的方法，其特征在于，还包括：
根据该待识别的应用程序为非法的应用程序及所属的非法的应用程序的类别，确定与该待识别的应用程序属于同一类型集合的待识别应用程序，为非法的应用程序及相同的非法的应用程序的类别。


6.根据权利要求1所述的方法，其特征在于，从各应用程序的安装包中获取表示安装包生成的名称特征，包括：
获取各应用程序的安装包在仿真运行平台上虚拟运行时，确定的表示调用权限名称的权限信息；
获取根据各应用程序的安装包中的开发账号确定的签名信息将应用程序样本集中各应用程序的安装包中开发人员名称确定的签名信息；
获取根据各应用程序的安装包在仿真运行平台上虚拟运行时，由其中的应用程序组件生成的活动名称确定的活动名称信息。


7.根据权利要求1所述的方法，其特征在于，确定任一待识别的应用程序分别与各非法的应用程序及其他待识别的应用程序之间的第一相似度，包括：
利用敏感哈希中的...

【专利技术属性】
技术研发人员：刘威歆，宁振虎，薛见新，张润滋，陈磊，
申请(专利权)人：北京神州绿盟信息安全科技股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京;11