[发明专利]应用程序的特征提取方法和装置以及分类方法和装置

说明书

本发明的一个方面涉及应用程序的特征提取方法和装置。具体公开了一种应用程序的特征提取方法，包括：从应用程序的样本获得应用程序的代码文件；以及通过分析所述代码文件来提取应用程序的动态特征信息，所述动态特征信息为仿真应用程序运行时的应用程序接口(API)调用序列。

技术领域

本发明涉及应用程序(APP)的分类检测领域，具体涉及APP的特征提取。

背景技术

目前的恶意APP的检测方法主要基于分类算法，而分类算法的有效性和准确性与所提取的APP样本的特征所携带的信息量密不可分。特征的提取方式包括静态分析和动态分析两种手段。静态分析通过对恶意APP的样本的代码进行分析来提取基于签名的描述符和字符串特征。而动态分析基于沙箱运行恶意APP样本，并记录恶意APP样本运行期间的行为特征数据，例如应用程序接口(API)调用序列。

在得到静态特征和动态特征之后，需对其进行编码。编码对分类模型的选择和准确性也有重要影响。传统的检测方法通常对API调用序列采用独热(one-hot)编码。经编码的特征被输入分类模块进行分类。

发明内容

传统的恶意APP检测方法存在一些问题。首先，APP的安卓应用程序包(Androidapplication package，apk)存在多个版本。在基于沙箱运行APP进行动态分析时，为了适应不同版本的apk运行要求，需配备多个版本的安卓操作系统(android OS)的模拟器。并且，在基于沙箱运行APP时容易受到恶意APP的反侦察技术影响。恶意软件在检测到沙箱后刻意规避恶意代码运行，从而导致代码覆盖率不高。此外，传统的检测方法所使用的one-hot编码不考虑元素与元素之间的顺序，难以准确表达上下文信息；并且容易维度极速上升，导致维数灾难问题。

为了解决上述技术问题，根据本发明的一个方面，提供了一种应用程序的特征提取方法，包括:从应用程序的样本获得应用程序的代码文件；以及通过分析所述代码文件来提取应用程序的动态特征信息，所述动态特征信息为仿真应用程序运行时的应用程序接口(API)调用序列。

根据本发明的另一个方面，提供了一种应用程序的分类方法，包括：从应用程序样本中提取静态特征信息和动态特征信息，其中所述动态特征信息是根据如上所述的特征提取方法提取的；以及将静态特征信息和动态特征信息输入分类模型以检测特定类别的应用程序。

根据本发明的另一方面，提供了一种用于应用程序的特征提取的计算机实现的装置，包括：存储器；以及处理器，所述处理器被配置为当执行存储在所述存储器中的指令时，使得所述装置实现如上所述的特征提取方法。

根据本发明的另一方面，提供了一种用于应用程序的分类的计算机实现的装置，包括：存储器；以及处理器，所述处理器被配置为当执行存储在所述存储器中的指令时，使得所述装置实现如上所述的分类方法。

根据本发明的另一方面，提供了一种非瞬态计算机可读存储介质，存储有指令，所述指令当被计算设备的处理器执行时使得所述计算设备实现如上所述的特征提取方法。

根据本发明的另一方面，提供了一种非瞬态计算机可读存储介质，存储有指令，所述指令当被计算设备的处理器执行时使得所述计算设备实现如上所述的分类方法。

附图说明

参照附图，根据下面的详细描述，可以更清楚地理解本公开，其中：

图1示出了根据本发明一个实施例的APP的特征提取方法的流程图；

图2示出了根据本发明一个实施例的图1所示的分析代码文件的步骤的详细流程图；

图3示出了根据本发明一个实施例的APP的分类方法的流程图；以及

图4示出了现有技术方法的架构与本发明方法的架构的对比。

具体实施方式