恶意应用检测方法、装置、设备、存储介质和程序制造方法及图纸

本发明专利技术实施例提供一种恶意应用检测方法、装置、设备、存储介质和程序。该恶意应用检测方法包括：对应用程序的多个特征进行编码，得到各个特征的第一编码；将各个特征的第一编码输入训练后的编码模型，得到应用程序的第二编码；根据应用程序的第二编码以及训练后的检测模型，获取检测结果，检测结果用于表示应用程序是否为恶意应用；其中，编码模型是由特征编码样本和解码模型训练得到的，解码模型用于基于输入的中间编码得到重构后的特征编码样本；中间编码是编码模型基于特征编码样本得到的。上述方案能够处理经过混淆的恶意应用，降低检测过程中的误报率和漏报率，准确性较高。准确性较高。准确性较高。

【技术实现步骤摘要】
恶意应用检测方法、装置、设备、存储介质和程序


[0001]本专利技术涉及计算机
，尤其涉及一种恶意应用检测方法、装置、设备、存储介质和程序。

技术介绍

[0002]随着安卓(Android)平台的迅猛发展，很多第三方平台可以发布Android应用。由于第三方平台对于Android应用的审核程序不规范，导致大量的恶意应用的出现。据统计，恶意应用平均每天新增大约1.2万个。资费消耗、隐私窃取、恶意扣费、流氓行为、远程控制等多种类型的恶意应用对用户产生威胁。
[0003]现有技术中，一般利用基于静态分析方法或动态分析方法的Android恶意应用检测方案，其中，基于静态分析方法的Android恶意应用检测方案虽然分析，大多基于应用程序编程接口(Application Programming Interface，API)调用序列，利用API调用序列进行多种变换来提取所需要的特征，特征不全面，存在较高的误报率和漏报率；基于动态分析方法的Android恶意应用检测方案，一般是恶意应用同源性分析，对于是否为恶意应用的检测，存在较高的误报率和漏报率。因此，如何提高恶意应用检测的准确性是本领域技术人员亟需解决的技术问题。

技术实现思路

[0004]针对现有技术中的问题，本专利技术实施例提供一种恶意应用检测方法、装置、设备、存储介质和程序。
[0005]具体地，本专利技术实施例提供了以下技术方案：
[0006]第一方面，本专利技术实施例提供了一种恶意应用检测方法，包括：
[0007]对应用程序的多个特征进行编码，得到各个所述特征的第一编码；
[0008]将各个所述特征的第一编码输入训练后的编码模型，得到所述应用程序的第二编码；
[0009]根据所述应用程序的第二编码以及训练后的检测模型，获取检测结果，所述检测结果用于表示所述应用程序是否为恶意应用；
[0010]其中，所述编码模型是由特征编码样本和解码模型训练得到的，所述解码模型用于基于输入的中间编码得到重构后的特征编码样本；所述中间编码是所述编码模型基于所述特征编码样本得到的。
[0011]进一步地，所述方法还包括：
[0012]建立初始的编码模型；
[0013]基于所述特征编码样本对所述初始的编码模型进行训练，得到中间编码；
[0014]基于所述中间编码、所述解码模型对所述初始的编码模型的模型参数进行优化，直至满足收敛条件，得到所述训练后的编码模型。
[0015]进一步地，所述基于所述中间编码、所述解码模型对所述初始的编码模型的模型
参数进行优化，直至满足收敛条件，得到所述训练后的编码模型，包括：
[0016]将所述中间编码输入所述解码模型，得到所述重构后的特征编码样本；
[0017]基于所述重构后的特征编码样本和所述特征编码样本的相似度，对所述初始的编码模型的模型参数进行优化，直至满足收敛条件，得到所述训练后的编码模型。
[0018]进一步地，所述方法还包括：
[0019]建立初始的机器学习模型；
[0020]利用训练数据，对所述机器学习模型进行训练，得到所述检测模型；所述训练数据包括：应用程序的编码样本和是否为恶意应用的标签。
[0021]进一步地，所述多个特征包括：第一类型的特征和第二类型的特征，对所述应用程序的多个特征进行编码，得到各个所述特征的第一编码，包括：
[0022]基于第一编码方式，对所述第一类型的特征进行编码，得到所述第一类型的特征的第一编码；
[0023]基于第二编码方式，对所述第二类型的特征进行编码，得到所述第二类型的特征的第一编码。
[0024]进一步地，所述第一类型的特征包括以下至少一项：应用程序编程接口API调用特征、反射API调用特征和短信发送特征；
[0025]所述基于第一编码方式，对所述第一类型的特征进行编码，包括：
[0026]按照API调用次数对所述API调用特征和/或所述反射API调用特征进行编码；
[0027]按照短信发送次数对所述短信发送特征进行编码。
[0028]进一步地，所述第二类型的特征包括以下至少一项：危险权限特征、展示组件特征、组件通信特征和服务组件特征；
[0029]所述第二编码方式为独热编码，所述基于第二编码方式，对所述第二类型的特征进行编码，包括：
[0030]基于所述独热编码对所述第二类型的特征进行编码。
[0031]进一步地，所述对应用程序的多个特征进行编码之前，还包括：
[0032]获取应用程序的安装包APK文件；
[0033]根据所述应用程序的APK文件，获取所述应用程序的多个特征。
[0034]进一步地，所述特征为应用程序中代码混淆前后不发生变化的特征；所述应用程序为经过代码混淆的应用程序。
[0035]第二方面，本专利技术实施例还提供了一种恶意应用检测装置，包括：
[0036]预处理模块，用于对应用程序的多个特征进行编码，得到各个所述特征的第一编码；
[0037]处理模块，用于将各个所述特征的第一编码输入训练后的编码模型，得到所述应用程序的第二编码；
[0038]所述处理模块，还用于根据所述应用程序的第二编码以及训练后的检测模型，获取检测结果，所述检测结果用于表示所述应用程序是否为恶意应用；
[0039]其中，所述编码模型是由特征编码样本和解码模型训练得到的，所述解码模型用于基于输入的中间编码得到重构后的特征编码样本；所述中间编码是所述编码模型基于所述特征编码样本得到的。
[0040]第三方面，本专利技术实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述恶意应用检测方法的步骤。
[0041]第四方面，本专利技术实施例还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面所述恶意应用检测方法的步骤。
[0042]第五方面，本专利技术实施例还提供了一种计算机程序产品，其上存储有可执行指令，该指令被处理器执行时使处理器实现第一方面所述恶意应用检测方法的步骤。
[0043]本专利技术实施例提供的恶意应用检测方法、装置、设备、存储介质和程序，对应用程序的多个特征进行编码，得到各个特征的第一编码；将各个特征的第一编码输入训练后的编码模型，得到应用程序的第二编码；经过编码模型使得输出的第二编码能够体现各个特征之间的相关性，进而根据应用程序的第二编码以及训练后的检测模型，获取检测结果，检测结果用于表示应用程序是否为恶意应用，经过训练得到的检测模型输出的检测结果较为准确，即提高了恶意应用检测的准确性。
附图说明
[0044]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意应用检测方法，其特征在于，包括：对应用程序的多个特征进行编码，得到各个所述特征的第一编码；将各个所述特征的第一编码输入训练后的编码模型，得到所述应用程序的第二编码；根据所述应用程序的第二编码以及训练后的检测模型，获取检测结果，所述检测结果用于表示所述应用程序是否为恶意应用；其中，所述编码模型是由特征编码样本和解码模型训练得到的，所述解码模型用于基于输入的中间编码得到重构后的特征编码样本；所述中间编码是所述编码模型基于所述特征编码样本得到的。2.根据权利要求1所述的恶意应用检测方法，其特征在于，所述方法还包括：建立初始的编码模型；基于所述特征编码样本对所述初始的编码模型进行训练，得到中间编码；基于所述中间编码、所述解码模型对所述初始的编码模型的模型参数进行优化，直至满足收敛条件，得到所述训练后的编码模型。3.根据权利要求2所述的恶意应用检测方法，其特征在于，所述基于所述中间编码、所述解码模型对所述初始的编码模型的模型参数进行优化，直至满足收敛条件，得到所述训练后的编码模型，包括：将所述中间编码输入所述解码模型，得到所述重构后的特征编码样本；基于所述重构后的特征编码样本和所述特征编码样本的相似度，对所述初始的编码模型的模型参数进行优化，直至满足收敛条件，得到所述训练后的编码模型。4.根据权利要求1
‑
3任一项所述的恶意应用检测方法，其特征在于，所述方法还包括：建立初始的机器学习模型；利用训练数据，对所述机器学习模型进行训练，得到所述检测模型；所述训练数据包括：应用程序的编码样本和是否为恶意应用的标签。5.根据权利要求1
‑
3任一项所述的恶意应用检测方法，其特征在于，所述多个特征包括：第一类型的特征和第二类型的特征，对所述应用程序的多个特征进行编码，得到各个所述特征的第一编码，包括：基于第一编码方式，对所述第一类型的特征进行编码，得到所述第一类型的特征的第一编码；基于第二编码方式，对所述第二类型的特征进行编码，得到所述第二类型的特征的第一编码。6.根据权利要求5所述的恶意应用检测方法，其特征在于，所述第一类型的特征包括以下至少一项：应用程序编程接口API调用特征、反射API调用特征和短信发...

【专利技术属性】
技术研发人员：应凌云，陈孟达，王珂林，和亮，
申请(专利权)人：网神信息技术北京股份有限公司，
类型：发明
国别省市：