[发明专利]终端应用的检测方法和装置

说明书

技术领域

本发明涉及应用程序技术领域，具体而言，涉及一种终端应用的检测方法和装置。

背景技术

随着智能手机的不断推广，人们对智能手机的依赖逐步攀升，智能手机的安全也越来越受到重视。如果智能手机安装了恶意应用，容易致使用户信息被窃取。由于操作系统的不同，安卓系统的智能手机更容易受到恶意应用的攻击。APK是安卓应用的安装包，可以通过静态分析技术提取出安卓应用的静态特征，安卓恶意应用与正常应用的区分在于特征的不同，因此，可以通过静态分析应用的特征实现安卓恶意应用检测。静态分析的方法包括很多种，例如基于特征树的静态分析方法，旨在找到一种新型API表征方法。该方法可以应用在不同层面上，最终达到恶意检测的目的。采用一些机器学习方法也可以用来实现安卓恶意应用检测。这些机器学习方法可以避免手动制作和更新恶意应用检测规则，对于安卓恶意应用层出不穷的现状有着很重要的意义。

深度学习是机器学习中一个新的研究领域，起源于对人工神经网络的研究，通过组合低层次特征，形成抽象的高层特征表示，更好的发现数据的特点，得到更有用的数据表示，从而完成后续的工作。深度学习在语音识别、图像处理、自然语言处理等方面都已经有了很多的应用。目前，DBN等深度学习算法也在安卓恶意应用检测方面得到了应用，卷积神经网络作为深度学习算法的一种，但针对大规模的恶意应用检测卷积过程消耗时间过长、检测效率低。

针对现有技术中针对利用深度学习方法对恶意应用检测耗时长，效率低的问题，目前尚未提出有效的解决方案。

发明内容

本发明的主要目的在于提供一种终端应用的检测方法和装置，以解决现有技术中针对恶意应用检测耗时长，效率低的问题。

为了实现上述目的，根据本发明实施例的一个方面，提供了一种终端应用的检测方法，包括：获取终端应用的样本训练集，所述样本训练集包括正常终端应用和恶意终端应用；利用自编码对所述样本训练集进行预处理，得到预处理后的样本训练集；将所述预处理后的样本训练集输入到预先建立的初始卷积神经网络模型中，训练得到卷积神经网络；利用训练得到的卷积神经网络对待测终端应用进行检测，以确定所述待测终端应用是否为恶意应用。

可选地，利用自编码对所述样本训练集进行预处理，得到预处理后的样本训练集包括：

对所述样本训练集中的终端应用文件进行分析，提取每个终端应用的特征；

利用提取的特征生成每个终端应用的特征向量，得到特征向量集，其中，每个特征向量用于表示对应的终端应用；

利用自编码对所述特征向量集进行降维处理，得到预处理后的样本训练集，并确定自编码网络的层数以及各层节点数量。

可选地，对所述样本训练集中的终端应用文件进行分析，提取每个终端应用的特征包括：

采用静态分析方法对各个终端应用样本的apk文件进行分析，利用分析工具提取样本的11个类型的特征，包括Permissions、Filtered Intents、Restricted API calls、Component Names、Code Related Features、Certificate Information、Payload Information、Payload Information、Strings contained in the source code of app、Used Permissions、Hardware Features、Suspicious API Calls，每个类型的特征包括多个子特征；

利用提取的特征生成每个终端应用的特征向量包括：将每个终端应用样本具有的特征组成特征集合，并添加样本的分类标签，处理成对应的特征向量。

可选地，利用自编码对所述特征向量集进行降维处理包括：

确定所有终端应用样本中包含的最大样本特征数，并对于特征数小于所述最大样本特征数的样本进行补零处理；

构造基于自编码的5层自编码网络，依次包括1个输入层，3个隐含层和1个分类层；

设置自编码网络的输入层节点数与所述最大样本特征数相同，并设置第一个隐含层节点数、第二个隐含层节点数、第三个隐含层的节点数以及分类层的节点数，其中，第一个隐含层的输出最为第二个隐含层的输入，第二个隐含层的输出作为第三个隐含层的输入，将第三个隐含层的输出作为分类层的输入，将无标签的特征向量作为输入层，有标签的特征向量的标签作为分类层的输出；

利用反向传播算法对自编码网络进行调整，优化网络结构参数，最终将输入层与3个隐含层组成特征降维模型；