【技术实现步骤摘要】
本申请涉及网络安全,具体涉及一种安卓恶意应用的检测方法、装置、终端及存储介质。
技术介绍
1、近些年,随着移动互联网的不断发展、搭载安卓系统的各种智能终端开始普及到人民群众生活的方方面面。然而,由于安卓系统开源的特性;针对安卓系统的恶意软件也越来越多、有调查显示,高达80%的移动恶意软件是以安卓设备为目标,这给传统的安卓安全防护手段带来极大的挑战。
2、传统安卓恶意应用检测方法主要是基于特征的检测方法进行判断,厂商只能对现有的恶意应用提取特征,更新特征库,然后进行匹配。该方法虽然有较高准确率,但是存在信息滞后的问题,在应对0day漏洞等突发情况时,没有有效的措施来控制局面。除此之外还有很多安卓恶意软件检测平台是使用基于应用行为的检测方法来实现的,这种方法需要从应用程序中提取大量数据,如权限声明、函数调用等,包括沙箱动态提取到的数据,这种方式虽然能应对突然爆发的恶意应用,但实现方式较为复杂,资源消耗过大。
3、因此,如何实现高效快捷的检测安卓恶意应用就显得越发重要。
技术实现思路
1、本申请的至少一个实施例提供了一种安卓恶意应用的检测方法、装置、终端及存储介质,用于解决现有技术中难以高效快捷的检测安卓恶意应用的问题。
2、为了解决上述技术问题,本申请是这样实现的:
3、第一方面,本申请实施例提供了一种安卓恶意应用的检测方法,包括:
4、对输入的待检测的安卓应用程序样本进行静态分析,得到静态特征因子;
5、试运行所
6、对所述静态特征因子和所述动态特征因子进行融合,得到融合因子特征向量;
7、基于目标深度学习模型,对所述融合因子特征向量进行学习和训练,得到目标融合因子特征向量;
8、根据所述目标融合因子特征向量与至少一个恶意应用的参考融合因子特征向量进行相似度分析,得到检测结果,其中,所述参考融合因子特征向量为基于所述目标深度学习模型训练后的特征向量。
9、具体地,如上所述的方法,所述对输入的待检测的安卓应用程序样本进行静态分析,得到静态特征因子,包括:
10、对所述安卓应用程序样本进行反编译;
11、获取反编译后的所述安卓应用程序样本的应用程序编程接口(applicationprogramming interface,api)调用情况和请求权限情况;
12、根据所述api调用情况中调用的敏感api,确定敏感api调用特征向量,根据所述请求权限情况中的危险权限,确定危险权限特征向量;
13、根据所述敏感api调用特征向量、所述危险权限特征向量以及所述安卓应用程序样本的元数据,得到所述静态特征因子。
14、具体地,如上所述的方法,所述对所述安卓应用程序样本试运行中的动态行为进行可疑行为分析和系统指标分析,得到动态特征因子,包括:
15、对所述安卓应用程序样本试运行中的可疑行为操作和关键行为操作进行记录,生成运行日志,所述运行日志包括:时间戳、行为模块或组件、行为序列以及系统关键指标实时信息;
16、对所述运行日志进行可疑行为分析,得到可疑行为信息;
17、从所述运行日志中提取系统指标信息,并基于所述系统指标信息建立程序动态特征模型;
18、根据所述可疑行为信息和所述系统关键指标信息进行特征收集,并基于程序动态模型进行对比分析,得到所述安卓应用程序样本的动态特征向量,并确定为所述动态特征因子。
19、优选地,如上所述的方法,所述对所述运行日志进行可疑行为分析,得到可疑行为信息,包括:
20、根据预先构建的参考样本库对所述运行日志中的所述行为序列进行可疑行为的递归分类,得到可疑行为信息。
21、具体地,如上所述的方法,所述对所述静态特征因子和所述动态特征因子进行融合,得到融合因子特征向量,包括:
22、将所述静态特征因子和所述动态特征因子带入第一预设算法中计算,得到所述融合因子特征向量,所述第一预设算法为:
23、
24、其中,为所述融合因子特征向量;
25、为所述静态特征因子;
26、为所述动态特征因子;
27、μ为一预设参数。
28、具体地,如上所述的方法,所述根据所述目标融合因子特征向量与至少一个恶意应用的参考融合因子特征向量进行相似度分析,得到检测结果,包括:
29、对所述目标融合因子特征向量和至少一个所述参考融合因子特征向量进行相似度分析,得到至少一个相似度值;
30、根据所述相似度值中的最大值所在的目标相似度值范围,得到所述检测结果。
31、进一步的,如上所述的方法,所述根据所述相似度值中的最大值所在的目标相似度值范围,得到所述检测结果,包括:
32、当所述目标相似度值范围为大于或等于第一阈值时,确定所述检测结果为所述安卓应用程序样本为恶意应用;
33、当所述目标相似度值范围为小于所述第一阈值,且大于等于第二阈值时,确定所述检测结果为所述安卓应用程序样本为疑似恶意应用;
34、当所述目标相似度值范围为小于所述第二阈值,且大于等于第三阈值时,确定所述检测结果为所述安卓应用程序样本为具有安全风险的应用;
35、当所述目标相似度值范围为小于所述第三阈值时,确定所述检测结果为所述安卓应用程序样本为安全应用。
36、第二方面,本申请实施例还提供了一种安卓恶意应用的检测装置,包括:
37、第一处理模块,用于对输入的待检测的安卓应用程序样本进行静态分析,得到静态特征因子;
38、第二处理模块,用于试运行所述安卓应用程序样本,并对所述安卓应用程序样本试运行中的动态行为进行可疑行为分析和系统指标分析,得到动态特征因子;
39、第三处理模块,用于对所述静态特征因子和所述动态特征因子进行融合,得到融合因子特征向量;
40、第四处理模块,用于基于目标深度学习模型,对所述融合因子特征向量进行训练,得到目标融合因子特征向量;
41、第五处理模块,用于根据所述目标融合因子特征向量与至少一个恶意应用的参考融合因子特征向量进行相似度分析,得到检测结果,其中,所述参考融合因子特征向量为基于所述目标深度学习模型训练后的特征向量。
42、第三方面,本申请实施例还提供了一种终端,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如上所述的安卓恶意应用的检测方法的步骤。
43、第四方面,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的安卓恶意应用的检测方法的步骤。
44、与现有技术相本文档来自技高网...
【技术保护点】
1.一种安卓恶意应用的检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述对输入的待检测的安卓应用程序样本进行静态分析,得到静态特征因子,包括:
3.根据权利要求1所述的方法,其特征在于,所述对所述安卓应用程序样本试运行中的动态行为进行可疑行为分析和系统指标分析,得到动态特征因子,包括:
4.根据权利要求3所述的方法,其特征在于,所述对所述运行日志进行可疑行为分析,得到可疑行为信息,包括:
5.根据权利要求1所述的方法,其特征在于,所述对所述静态特征因子和所述动态特征因子进行融合,得到融合因子特征向量,包括:
6.根据权利要求1所述的方法,其特征在于,所述根据所述目标融合因子特征向量与至少一个恶意应用的参考融合因子特征向量进行相似度分析,得到检测结果,包括:
7.根据权利要求6所述的方法,其特征在于,所述根据所述相似度值中的最大值所在的目标相似度值范围,得到所述检测结果,包括:
8.一种安卓恶意应用的检测装置,其特征在于,包括:
9.一种终端,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的安卓恶意应用的检测方法的步骤。
...【技术特征摘要】
1.一种安卓恶意应用的检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述对输入的待检测的安卓应用程序样本进行静态分析,得到静态特征因子,包括:
3.根据权利要求1所述的方法,其特征在于,所述对所述安卓应用程序样本试运行中的动态行为进行可疑行为分析和系统指标分析,得到动态特征因子,包括:
4.根据权利要求3所述的方法,其特征在于,所述对所述运行日志进行可疑行为分析,得到可疑行为信息,包括:
5.根据权利要求1所述的方法,其特征在于,所述对所述静态特征因子和所述动态特征因子进行融合,得到融合因子特征向量,包括:
6.根据权利要求1所述的方法,其特征在于,所述根据所述目标融合因子特...
【专利技术属性】
技术研发人员:朱磊,
申请(专利权)人:中移苏州软件技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。