恶意应用的检测方法、装置、电子设备及存储介质制造方法及图纸

本公开提供了一种恶意应用的检测方法、装置、电子设备及存储介质，涉及移动网络安全、以及人工智能等技术领域。具体实现方案包括：获取待检测的应用的资源文件字符串；基于所述资源文件字符串，获取所述应用的多个第一特征词；获取所述多个第一特征词中各第一特征词的恶意分值；基于各所述第一特征词的恶意分值，检测所述应用是否为恶意应用。本公开的技术，能够有效地提高恶意应用检测的准确性和检测效率。效率。效率。

【技术实现步骤摘要】
恶意应用的检测方法、装置、电子设备及存储介质


[0001]本公开涉及计算机
，具体涉及移动网络安全、以及人工智能等
，尤其涉及一种恶意应用的检测方法、装置、电子设备及存储介质。

技术介绍

[0002]随着移动终端的使用普及，涌现出越来越多的移动终端上安装和使用的应用(Application；App)，其中，一些恶意的App也呈现飞速增长的态势。所以，恶意App的检测是一项非常重要的技术，能够对恶意App进行有效检测，并做出相应的安全预警。
[0003]现有技术中，恶意App的检测，可以包括：获取已安装App的用户的反馈，并对已安装该App的用户的反馈进行分析，确定该App是否为恶意App。

技术实现思路

[0004]本公开提供了一种恶意应用的检测方法、装置、电子设备及存储介质。
[0005]根据本公开的一方面，提供了一种恶意应用的检测方法，包括：
[0006]获取待检测的应用的资源文件字符串；
[0007]基于所述资源文件字符串，获取所述应用的多个第一特征词；
[0008]获取所述多个第一特征词中各第一特征词的恶意分值；
[0009]基于各所述第一特征词的恶意分值，检测所述应用是否为恶意应用。
[0010]根据本公开的另一方面，提供了一种恶意应用的检测装置，包括：
[0011]字符串获取模块，用于获取待检测的应用的资源文件字符串；
[0012]特征词获取模块，用于基于所述资源文件字符串，获取所述应用的多个第一特征词；<br/>[0013]分值获取模块，用于获取所述多个第一特征词中各第一特征词的恶意分值；
[0014]第一检测模块，用于基于各所述第一特征词的恶意分值，检测所述应用是否为恶意应用。
[0015]根据本公开的再一方面，提供了一种电子设备，包括：
[0016]至少一个处理器；以及
[0017]与所述至少一个处理器通信连接的存储器；其中，
[0018]所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如上所述的方面和任一可能的实现方式的方法。
[0019]根据本公开的又一方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，所述计算机指令用于使所述计算机执行如上所述的方面和任一可能的实现方式的方法。
[0020]根据本公开的再另一方面，提供了一种计算机程序产品，包括计算机程序，所述计算机程序在被处理器执行时实现如上所述的方面和任一可能的实现方式的方法。
[0021]根据本公开的技术，能够有效地提高恶意应用检测的准确性和检测效率。
[0022]应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0023]附图用于更好地理解本方案，不构成对本公开的限定。其中：
[0024]图1是根据本公开第一实施例的示意图；
[0025]图2是根据本公开第二实施例的示意图；
[0026]图3是根据本公开第三实施例的示意图；
[0027]图4是根据本公开第四实施例的示意图；
[0028]图5根据本公开第五实施例的示意图；
[0029]图6是用来实现本公开实施例的方法的电子设备的框图。
具体实施方式
[0030]以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
[0031]显然，所描述的实施例是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例，都属于本公开保护的范围。
[0032]需要说明的是，本公开实施例中所涉及的终端设备可以包括但不限于手机、个人数字助理(Personal Digital Assistant，PDA)、无线手持设备、平板电脑(Tablet Computer)等智能设备；显示设备可以包括但不限于个人电脑、电视等具有显示功能的设备。
[0033]另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。
[0034]现有技术中，已安装App的用户的反馈，主观性较强，导致基于安装该App的用户的反馈，确定该App是否为恶意App的准确性较差。
[0035]图1是根据本公开第一实施例的示意图；如图1所示，本实施例提供一种恶意应用的检测方法，具体可以包括如下步骤：
[0036]S101、获取待检测的应用的资源文件字符串；
[0037]S102、基于该资源文件字符串，获取该应用的多个第一特征词；
[0038]S103、获取多个第一特征词中各第一特征词的恶意分值；
[0039]S104、基于各第一特征词的恶意分值，检测该应用是否为恶意应用。
[0040]本实施例的恶意应用检测方法，可以应用在恶意应用下载之后，安装之前，实现对恶意应用的检测，进而可以基于检测结果，为用户提供安全预警。
[0041]本实施例的恶意应用可以指的是涉嫌各种非正常供用户使用的应用。例如可以包
括诱导用户进行非正常活动的应用，或者以表面上的正常活动欺骗用户使用，并通过非法手段窃取用户信息的应用，等各种异常应用。
[0042]本实施例的待检测的应用的资源文件字符串，可以指的是应用的资源文件的硬编码字符串。该字符串可以为一个长文本字符串，可以包括该应用使用过程中会出现的所有文本信息。
[0043]本实施例的该资源文件字符串为一个长文本字符串，其中可以包括很多的信息，其中有一些词语为中性词语，对应用是否为恶意没有贡献，而还有一些词语，能够表征该应用是否为恶意。本实施例中，为了准确地检测该应用是否为恶意应用，可以获取该应用的多个第一特征词。此时可以理解为，该应用的多个第一特征词中，是从资源文件字符串中过滤掉一些明显无贡献的词语之后，得到的特征词。例如，“你”、“我”、“她”、“你们”、“我们”、“他们”、“的”、“地”、“得”等词语，可以认为这些词语是对恶意应用的检测无贡献的词语，在基于该资源文件字符串，获取该应用的多个第一特征词时，可以过滤掉。基于此，可以理解为，该应用的多个第一特征词，为从该资源文件字符串中抽取的具有一定的区分度，能够对恶意应用的检测有贡献的词语。
[0044]本实施例中，第一特征词的恶意分值，可以表征第一特征词的恶意程度，例如分值越高，该第一特征词的恶意程本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意应用的检测方法，包括：获取待检测的应用的资源文件字符串；基于所述资源文件字符串，获取所述应用的多个第一特征词；获取所述多个第一特征词中各第一特征词的恶意分值；基于各所述第一特征词的恶意分值，检测所述应用是否为恶意应用。2.根据权利要求1所述的方法，其中，获取所述多个第一特征词中各第一特征词的恶意分值之前，所述方法还包括：基于预设的黑名单、预设的恶意应用检测规则和所述多个第一特征词，检测并确定所述应用为非恶意应用。3.根据权利要求2所述的方法，其中，基于预设的黑名单、预设的恶意应用检测规则和所述多个第一特征词，检测并确定所述应用为非恶意应用，包括：获取所述多个第一特征词中各所述第一特征词在所述应用中出现的次数；基于预设的黑名单，检测所述多个第一特征词中出现在所述黑名单中的目标特征词；检测并确定所有的所述目标特征词的出现次数总和达到预设次数阈值，确定所述应用为恶意应用。4.根据权利要求1
‑
3任一所述的方法，其中，获取所述多个第一特征词中各第一特征词的恶意分值，包括：基于预先建立的特征词的恶意分值表，获取各所述第一特征词的恶意分值。5.根据权利要求4所述的方法，其中，基于预先建立的特征词的恶意分值表，获取各所述第一特征词的恶意分值之前，所述方法还包括：采集包括多个已知应用的应用样本集合；各所述已知应用包括多个第二特征词，各所述已知应用具有已知标签，所述已知标签用于标识对应的所述应用是否为恶意应用；对于各所述已知应用中的各所述第二特征词，计算各所述已知应用中的各所述第二特征词的特征值；基于各所述已知应用中的各所述第二特征词的特征值，获取所述第二特征词为恶意的概率值；基于各所述已知应用中的各所述第二特征词的特征值，获取所述第二特征词为非恶意的概率值；对于各所述已知应用中的各第二特征词，基于所述第二特征词为恶意的概率值和所述第二特征词为非恶意的概率值，获取所述第二特征词的恶意分值；基于各所述已知应用中的各所述第二特征词的恶意分值，建立所述特征词的恶意分值表。6.根据权利要求5所述的方法，其中，基于各所述已知应用中的各所述第二特征词的特征值，获取所述第二特征词为恶意的概率值，包括：基于各所述已知应用中的各所述第二特征词的特征值，计算所述第二特征词的在所述应用样本集合中的恶意应用样本中对应的特征值之和，作为第一数值；基于各所述已知应用中的各所述第二特征词的特征值，计算所述应用样本集合的恶意应用样本中，所有第二特征词的特征值之和，作为第二数值；基于所述第一数值和所述第二数值，计算所述第二特征词为恶意的概率值。
7.根据权利要求5所述的方法，其中，基于各所述已知应用中的各所述第二特征词的特征值，获取所述第二特征词为非恶意的概率值，包括：基于各所述已知应用中的各所述第二特征词的特征值，计算所述第二特征词的在所述应用样本集合中的非恶意应用样本中对应的特征值之和，作为第三数值；基于各所述已知应用中的各所述第二特征词的特征值计算所述应用样本集合的非恶意应用样本中，所有第二特征词的特征值之和，作为第四数值；基于所述第三数值和所述第四数值，计算所述第二特征词为非恶意的概率值。8.根据权利要求5
‑
7任一所述的方法，其中，基于预先建立的特征词的恶意分值表，获取各所述第一特征词的恶意分值，还包括：对于各所述第一特征词，检测所述特征词的恶意分值表中是否包括所述第一特征词；若包括，从所述特征词的恶意分值表中获取对应的所述第一特征词的恶意分值；若未包括，配置所述第一特征词的恶意分值。9.根据权利要求8所述的方法，其中，配置所述第一特征词的恶意分值，包括：配置所述第一特征词的恶意分值为0；或者获取所述特征词的恶意分值表中与所述第一特征词的语义相似度大于预设相似度阈值的至少一个候选特征词；从所述特征词的恶意分值表获取各所述候选特征词的恶意分值，得到至少一个恶意分值；基于所述至少一个恶意分值，确定所述第一特征词的恶意分值。10.根据权利要求1
‑
3任一所述的方法，其中，获取所述多个第一特征词中各第一特征词的恶意分值，包括：基于预先训练的恶意分值预测模型，获取各所述第一特征词的恶意分值。11.根据权利要求10所述的方法，其中，基于预先训练的恶意分值预测模型，获取各所述第一特征词的恶意分值，包括：对于各所述第一特征词，获取所述第一特征词在所述应用中的出现次数、在预先建立的应用样本集合中的出现次数、出现在所述应用样本集合中的恶意应用样本中出现的次数，包括有所述第一特征词的恶意应用样本的数量、出现在所述应用样本集合中的非恶意应用样本中出现的次数，包括有所述第一特征词的非恶意应用样本的数量中至少一个；基于所述第一特征词在所述应用中的出现次数、在所述应用样本集合中的出现次数、出现在所述应用样本集合中的恶意应用样本中出现的次数，包括有所述第一特征词的恶意应用样本的数量、出现在所述应用样本集合中的非恶意应用样本中出现的次数，包括有所述第一特征词的非恶意应用样本的数量中至少一个，采用预先训练的所述恶意分值预测模型，预测所述第一特征词的恶意分值。12.一种恶意应用的检测装置，包括：字符串获取模块，用于获取待检测的应用的资源文件字符串；特征词获取模块，用于基于所述资源文件字符串，获取所述应用的多个第一特征词；分值获取模块，用...

【专利技术属性】
技术研发人员：张展翔，吴承辉，管巍，
申请(专利权)人：北京百度网讯科技有限公司，
类型：发明
国别省市：