【技术实现步骤摘要】
应用程序的特征提取方法和装置以及分类方法和装置
[0001]本专利技术涉及应用程序(APP)的分类检测领域,具体涉及APP的特征提取。
技术介绍
[0002]目前的恶意APP的检测方法主要基于分类算法,而分类算法的有效性和准确性与所提取的APP样本的特征所携带的信息量密不可分。特征的提取方式包括静态分析和动态分析两种手段。静态分析通过对恶意APP的样本的代码进行分析来提取基于签名的描述符和字符串特征。而动态分析基于沙箱运行恶意APP样本,并记录恶意APP样本运行期间的行为特征数据,例如应用程序接口(API)调用序列。
[0003]在得到静态特征和动态特征之后,需对其进行编码。编码对分类模型的选择和准确性也有重要影响。传统的检测方法通常对API调用序列采用独热(one-hot)编码。经编码的特征被输入分类模块进行分类。
技术实现思路
[0004]传统的恶意APP检测方法存在一些问题。首先,APP的安卓应用程序包(Android application package,apk)存在多个版本。在基于沙箱运行...
【技术保护点】
【技术特征摘要】
1.一种应用程序的特征提取方法,包括:从应用程序的样本获得应用程序的代码文件;以及通过分析所述代码文件来提取应用程序的动态特征信息,所述动态特征信息为仿真应用程序运行时的应用程序接口(API)调用序列。2.如权利要求1所述的特征提取方法,还包括对所述API调用序列进行编码,所述编码采用能够捕获API调用之间的关系的编码方法进行。3.如权利要求2所述的特征提取方法,还包括对所述API调用序列进行词嵌入方法编码。4.如权利要求1所述的特征提取方法,其中分析所述代码文件包括:沿代码的可执行路径追踪程序流,并记录API调用从而生成API调用序列。5.如权利要求4所述的特征提取方法,其中追踪程序流包括:沿可执行路径从程序流的起点对程序流中的每条指令逐个进行分析,直到所述程序流结束。6.如权利要求5所述的特征提取方法,其中所述程序流的起点是通过遍历代码文件中的每个基本块,并识别作为程序流的起点的基本块而获得的。7.如权利要求6所述的特征提取方法,其中对程序流中的每条指令逐个进行分析包括:分析作为起点的基本块中的每个指令;分析所述作为起点的基本块下游的基本块中的每个指令,当下游存在多个分支时,随机选择其中一个分支基本块并分析其中的每个指令;以及判断程序流是否结束,如果程序流未结束,则重复分析下游的基本块的步骤。8.如权利要求7所述的特征提取方法,其...
【专利技术属性】
技术研发人员:赵新歌,殷铭,闻剑峰,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。