恶意应用识别方法、终端设备及可读存储介质技术

本申请实施例提供了一种恶意应用识别方法、终端设备及可读存储介质。该方法包括：针对目标应用的每一次后台弹窗行为，将后台弹窗行为之前的第一时段内存在弹窗关联事件的后台弹窗行为确定为关联事件弹窗行为；根据关联事件弹窗行为在后台弹窗行为中的占比，确定目标应用的前序异常分值；针对目标应用的每一次后台弹窗行为，根据该后台弹窗行为之后的第二时段内每一目标反馈事件对应的异常分值，确定目标应用的后序异常分值；基于前序异常分值和后序异常分值，判断目标应用是否属于恶意应用。在判断目标应用是否属于恶意应用时，同时考虑了后台弹窗行为与特定系统事件的关联、后台弹窗行为与目标反馈事件的关联，具有较高的准确性。性。性。

【技术实现步骤摘要】
恶意应用识别方法、终端设备及可读存储介质


[0001]本申请涉及信息安全
，特别是涉及一种恶意应用识别方法、终端设备及可读存储介质。

技术介绍

[0002]在使用终端的过程中，应用内部自弹广告属于正常商业行为。但是有很多恶意应用的弹窗广告会在其他应用外弹，或是锁屏外弹。
[0003]传统的解决方法是统计应用在一天中外弹广告的次数，根据这些次数对应用进行分类。
[0004]但这种方法会存在漏识别问题，且恶意应用的某些外弹广告行为统计特性很低，难以识别。
[0005]针对恶意应用难以识别的问题，目前的解决方法包括静态检测方法，根据名单或大数据规则进行应用管控，以及沙箱模拟运行的方法，但这几种解决方法都存在一定的缺陷。
[0006]其中，静态检测方法根据应用的代码和安装包进行应用识别分类。
[0007]但静态检测方法更适用于病毒检测，对应用进行检测时不能仅仅因为包含了弹广告的代码就认为应用是恶意应用。
[0008]并且，在对应用进行静态检测时，还存在缺乏应用实际运行的信息数据的问题。
[0本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意应用识别方法，其特征在于，包括：针对目标应用在预设时段内的每一次后台弹窗行为，判断该后台弹窗行为之前的第一时段内是否存在弹窗关联事件，若是，将该后台弹窗行为确定为关联事件弹窗行为；所述弹窗关联事件为弹窗关联分值大于预设关联分值的系统事件；所述弹窗关联分值表征系统事件与后台弹窗行为的关联程度；根据所述关联事件弹窗行为在所述后台弹窗行为中的占比，确定所述目标应用的前序异常分值；针对所述目标应用在所述预设时段内的每一次后台弹窗行为，判断该后台弹窗行为之后的第二时段内是否存在目标反馈事件，若是，根据每一目标反馈事件对应的异常分值，确定所述目标应用的后序异常分值；其中，所述目标反馈事件包括预先确定的用户行为事件和/或系统状态变更事件；基于所述前序异常分值和所述后序异常分值，判断所述目标应用是否属于恶意应用。2.根据权利要求1所述的方法，其特征在于，基于如下方式确定所述后台弹窗行为的弹窗关联分值：针对所述目标应用在所述预设时段内的每一次后台弹窗行为，获取该后台弹窗行为之前的第三时段内的系统事件；针对任一次后台弹窗行为之前的每一类系统事件，基于下式确定该类系统事件的单次弹窗关联分值：其中，为该次后台弹窗行为A与系统事件的单次弹窗关联分值，为所述后台弹窗行为之前第j次所述系统事件的预设评分，为第j次所述系统事件的权重；所述预设评分的大小与j的大小负相关；所述权重满足下式：其中，T为所述第三时段，t为所述系统事件与所述后台弹窗行为之间的时间差；根据任一类系统事件在每一次后台弹窗行为的单次弹窗关联分值，基于下式确定该类系统事件的弹窗关联分值：其中，为所述弹窗关联分值。3.根据权利要求1所述的方法，其特征在于，基于如下方式确定所述预设关联分值：获取第一正常应用样本集；确定所述第一正常应用样本集中每一个正常应用的后台弹窗行为与预先确定的各类系统事件的弹窗关联分值，并基于所确定的弹窗关联分值计算预设比例的分位数，作为所述预设关联分值。
4.根据权利要求1所述的方法，其特征在于，所述前序异常分值是基于下式确定的：其中，R1为所述前序异常分值，为预设权重系数，N为所述后台弹窗行为的次数，n为所述关联事件弹窗行为的次数。5.根据权利要求1所述的方法，其特征在于，所述根据每一目标反馈事件对应的异常分值，确定所述目标应用的后序异常分值的步骤，包括：对每一类所述目标反馈事件的出现次数与对应的异常分值之积进行求和，获得所述目标应用的反馈事件异常分值；将所述反馈事件异常分值与所述后台弹窗行为的次数的比值作为所述后序异常分值。6.根据权利要求5所述的方法，其特征在于，针对任一类所述目标反馈事件，基于如下...

【专利技术属性】
技术研发人员：陈贵龙，鲍璐，陈虹，
申请(专利权)人：荣耀终端有限公司，
类型：发明
国别省市：