恶意应用的识别方法、装置、计算机设备及存储介质制造方法及图纸

本申请公开了一种恶意应用的识别方法、装置、计算机设备及存储介质，该恶意应用的识别方法包括：获取多个应用程序的安装数据；基于所述安装数据，生成所述多个应用程序之间的安装关系对应的连接图，所述连接图包括每个应用程序对应的节点以及节点之间的有向连接线构成的边，所述边用于表征所述安装关系；基于所述连接图，获取所述多个应用程序中的目标应用程序，作为所述多个应用程序中存在的恶意应用，所述目标应用程序与所述多个应用程序中除所述目标应用程序以外的其他应用程序之间的安装关系满足预设关系条件。本方法可以实现准确且有效地识别恶意应用，以降低设备被恶意应用攻击的危险。用攻击的危险。用攻击的危险。

【技术实现步骤摘要】
恶意应用的识别方法、装置、计算机设备及存储介质


[0001]本申请涉及互联网
，更具体地，涉及一种恶意应用的识别方法、装置、计算机设备及存储介质。

技术介绍

[0002]随着互联网技术的发展以及电子设备配置水平的提升，电子设备上可安装的应用程序也越来越多，电子设备安装恶意应用的可能性也越来越大。因此，识别恶意应用的需求的也越来越大。但相关技术中，识别恶意应用的效率有待提升。

技术实现思路

[0003]鉴于上述问题，本申请提出了一种恶意应用的识别方法、装置、计算机设备及存储介质。
[0004]第一方面，本申请实施例提供了一种恶意应用的识别方法，所述方法包括：获取多个应用程序的安装数据；基于所述安装数据，生成所述多个应用程序之间的安装关系对应的连接图，所述连接图包括每个应用程序对应的节点以及节点之间的有向连接线构成的边，所述边用于表征所述安装关系；基于所述连接图，获取所述多个应用程序中的目标应用程序，作为所述多个应用程序中存在的恶意应用，所述目标应用程序与所述多个应用程序中除所述目标应用程序以外的其他应用程序之间的安装关系满足预设关系条件。
[0005]第二方面，本申请实施例提供了一种恶意应用的识别装置，所述装置包括：数据获取模块、连接图生成模块以及应用获取模块，其中，所述数据获取模块用于获取多个应用程序的安装数据；所述连接图生成模块用于基于所述安装数据，生成所述多个应用程序之间的安装关系对应的连接图，所述连接图包括每个应用程序对应的节点以及节点之间的有向连接线构成的边，所述边用于表征所述安装关系；所述应用获取模块用于基于所述连接图，获取所述多个应用程序中的目标应用程序，作为所述多个应用程序中存在的恶意应用，所述目标应用程序与所述多个应用程序中除所述目标应用程序以外的其他应用程序之间的安装关系满足预设关系条件。
[0006]第三方面，本申请实施例提供了一种计算机设备，包括：一个或多个处理器；存储器；一个或多个应用程序，其中所述一个或多个应用程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序配置用于执行上述第一方面提供的恶意应用的识别方法。
[0007]第四方面，本申请实施例提供了一种计算机可读取存储介质，所述计算机可读取存储介质中存储有程序代码，所述程序代码可被处理器调用执行上述第一方面提供的恶意应用的识别方法。
[0008]本申请提供的方案，通过获取多个应用程序的安装数据，基于安装数据生成多个应用程序之间的安装关系对应的连接图，该连接图包括每个应用程序对应的节点之间的有向连接线构成的边，该边用于表征应用程序之间的安装关系，然后基于该连接图，获取多个
应用程序中的目标应用程序，作为多个应用程序中存在的恶意应用，且目标应用程序与多个应用程序中除目标应用程序以外的其他应用程序之间的安装关系满足预设关系条件。由此，可以实现基于应用程序的安装数据建立的安装关系的连接图，根据该连接图即可识别出恶意诱导安装其他应用程序的恶意应用，提升对恶意应用的识别效率和准确性。
附图说明
[0009]为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0010]图1示出了根据本申请一个实施例的恶意应用的识别方法流程图。
[0011]图2示出了本申请实施例提供的连接图的一种示意图。
[0012]图3示出了根据本申请另一个实施例的恶意应用的识别方法流程图。
[0013]图4示出了根据本申请又一个实施例的恶意应用的识别方法流程图。
[0014]图5示出了根据本申请再一个实施例的恶意应用的识别方法流程图。
[0015]图6示出了根据本申请又另一个实施例的恶意应用的识别方法流程图。
[0016]图7示出了本申请实施例提供的连接图的另一种示意图。
[0017]图8示出了本申请实施例提供的连接图的又一种示意图。
[0018]图9示出了根据本申请又再一个实施例的恶意应用的识别方法流程图。
[0019]图10示出了根据本申请再另一个实施例的恶意应用的识别方法流程图。
[0020]图11示出了根据本申请一个实施例的恶意应用的识别装置的一种框图。
[0021]图12是本申请实施例的用于执行根据本申请实施例的恶意应用的识别方法的计算机设备的框图。
[0022]图13是本申请实施例的用于保存或者携带实现根据本申请实施例的恶意应用的识别方法的程序代码的存储单元。
具体实施方式
[0023]为了使本
的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。
[0024]随着电子设备的普及，互联网业务的快速发展，应用软件的数量呈现快速增长趋势，可安装各种应用软件的电子设备改变了人们的工作和生活方式，而应用软件的安全也面临严峻形势。
[0025]特别地，在移动终端中，IOS(苹果操作系统)与Android(安卓)系统已占据了智能手机市场的大部分份额。智能手机系统在带给应用开发者便利的同时，也给用户和手机厂商带来了挑战，缺乏手机软件(Application，APP)审核机制会导致大量的恶意软件而易举的发布到软件应用市场。因此，检测恶意软件的需求十分迫切。
[0026]在众多恶意软件中，依靠其目的可分为流氓推广软件、扣费类软件、盗号病毒软件、诱导安装软件等类型，恶意软件的目的多种多样。无论流氓推广还是盗号病毒软件，其表现均为恶意软件伪装成正常软件，用户在将其安装到电子设备后，私自下载其他恶意软
件，来达到其流氓推广或盗号扣费的非法牟利目的。因此，如何从数以亿计的APP中发现具有恶意诱导安装其他软件的应用至关重要。
[0027]相关技术中，对于恶意诱导安装其他软件的应用的识别方式分为主动识别和被动识别两种。其中，被动识别为厂商通过预设的指纹(预定义的恶意行为)或用户反馈，预定义的跟恶意诱导安装的行为相关的指纹，如在敏感时机弹窗，后台APP拉起组件，后台APP大量流量占用等，当APP具有此类恶意行为时，即认为其是恶意APP，并将其加入恶意应用名单中去，或者，一些厂商借助用户反馈的方式来实现对恶意诱导安装软件的识别，将这些软件加入运营的名单；主动识别通过一定的技术手段(如深度学习、机器学习算法)，自动的从软件中提取出最合适的特征以及特征的组合，来判断一个应用是否为恶意软件，主动识别主要包含数据采集、特征提取、模型设计和效果检测。
[0028]在目前使用的恶意应用的识别技术中，被动识别的方式需要专业人员的经验，并根据已经发生恶意行为的恶意应用，确定出有效的指纹，需要耗费巨大的人力物力，效率较为低下；主动识别的方式需要大量的数据集，而构建数据集也需要耗费巨大的人力物力，并且模型的训练时间也需要花费较久，因此目本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意应用的识别方法，其特征在于，所述方法包括：获取多个应用程序的安装数据；基于所述安装数据，生成所述多个应用程序之间的安装关系对应的连接图，所述连接图包括每个应用程序对应的节点以及节点之间的有向连接线构成的边，所述边用于表征所述安装关系；基于所述连接图，获取所述多个应用程序中的目标应用程序，作为所述多个应用程序中存在的恶意应用，所述目标应用程序与所述多个应用程序中除所述目标应用程序以外的其他应用程序之间的安装关系满足预设关系条件。2.根据权利要求1所述的方法，其特征在于，所述基于所述连接图，获取所述多个应用程序中的目标应用程序，作为所述多个应用程序中存在的恶意应用，包括：基于所述连接图，获取每个应用程序对应的节点的出边条数作为出度；基于所述每个应用程序对应的出度，获取满足预设出度条件的应用程序，得到目标应用程序，并将所述目标应用程序作为所述多个应用程序中存在的恶意应用。3.根据权利要求2所述的方法，其特征在于，所述基于所述每个应用程序对应的出度，获取满足预设出度条件的应用程序，得到目标应用程序，并将所述目标应用程序作为所述多个应用程序中存在的恶意应用，包括：基于所述每个应用程序对应的出度，按照出度从大到小的顺序对所述多个应用程序进行排序，得到目标排序结果；获取所述排序结果中处于前N位的应用程序，得到目标应用程序，并将所述目标应用程序作为所述多个应用程序中存在的恶意应用，所述N为正整数。4.根据权利要求3所述的方法，其特征在于，所述基于所述每个应用程序对应的出度，按照出度从大到小的顺序对所述多个应用程序进行排序，得到目标排序结果，包括：基于所述每个应用程序对应的出度，按照出度从大到小的顺序对所述多个应用程序进行排序，得到第一排序结果；若所述第一排序结果中存在出度相同的应用程序，获取所述出度相同的应用程序对应的节点所在安装链路中距离起始节点的最短路径；按照所述最短路径从小到大的顺序，对所述第一排序结果中出度相同的应用程序再次进行排序，得到第二排序结果，并将所述第二排序结果作为所述目标排序结果。5.根据权利要求1所述的方法，其特征在于，所述基于所述连接图，获取所述多个应用程序中的目标应用程序，作为所述多个应用程序中存在的恶意应用，包括：基于所述连接图，以每个应用程序对应的节点作为根节点，获取所述根节点对应的安装链路群体，得到多个安装链路群体，所述安装链路群体包括所述根节点对应的应用程序至其他节点对应的应用程序之间的安装链路；获取所述多个安装链路群体中满足预设链路条件的安装链路群体，作为目标链路群体；基于所述目标链路群体，获取所述多个应用程序中的目标应用程序，作为所述多个应用程序中存在的恶意应用，所述目标应用程序与所述多个应用程序中除所述目标应用程序以外的其他应用程序之间的安装关系满足预设关系条件。6.根据权利要求5所述的方法，其特征在于，所述预设链路条件，包括以下条件中的至
少一种：所述安装链路群体中包含的应用程序的数量满足预设数量条件；所述安装链路群体存在的安装链路的链路长度满足预设长度条件。7.根据权利要求5所述的方法，其特征在于，所述获取所述多个安装链路群体中满足预设链路条件的安装链路群体，作为目标链路群体，包括：获取所述多个安装链路群体的每个...

【专利技术属性】
技术研发人员：苏钰，邱雨，帅朝春，陆天洋，
申请(专利权)人：OPPO广东移动通信有限公司，
类型：发明
国别省市：