[发明专利]一种基于特征的恶意应用程序检测方法及设备

说明书

本发明实施例提供一种基于特征的恶意应用程序检测方法及设备。所述方法包括解析待检测应用程序安装包中的目标文件，提取所述目标文件中的关键特征，所述关键特征的形式为字符串；获取部分关键特征的词语随机度，获取剩余部分关键特征的数值数据，并将所述词语随机度以及所述数值数据拼接为数字特征向量；将所述数字特征向量输入训练好的AI模型，获得对所述待检测应用程序的恶意性检测结果；所述AI模型是根据输入的数字特征向量进行训练，并输出所述数字特征向量对应的应用程序为恶意应用的概率和/或非恶意应用的概率。解决了传统恶意应用程序检测时存在的规则提取困难、覆盖度低、扩展性差、易被绕过等问题，具有更高的准确性和及时性。

技术领域

本发明实施例涉及移动网络安全技术领域，尤其涉及一种基于特征的恶意应用程序检测方法及设备。

背景技术

在如火如荼的高科技时期，Android软件的开发呈现了爆发式增长。根据日前AppAnnie发布的《全球移动应用市场2019年回顾报告》显示数据表明，2018年全球APP下载量超过1940亿次，相比2016年全球应用下载量增长率为35％。可惜不幸的是，这样的受欢迎程度也会吸引恶意软件开发者，预置应用程序、捆绑下载、过度获取权限、山寨应用等防不胜防。恶意应用程序的盛行却让用户的个人隐私逐渐走向透明，在《2017Q1中国手机安全市场研究报告》中提到，89.6％的受访用户表示曾遭受过个人隐私信息泄露，诈骗电话等，如今信息安全成为很多用户的心腹大患。

目前，很多安全厂商也投入到移动安全领域,而这些软件进行杀毒基本原理是通过匹配已知的恶意木马特征来确认入侵行为，以防火墙、动态监控等方式进行主动防御，但缺点是依赖恶意特征库的更新，学习新型恶意检测的能力较弱。

然而，新的恶意应用程序层出不穷，它们的恶意性各不相同，依靠恶意特征库进行恶意检测，由于恶意特征库更新不及时将难以达到理想的安全防护效果。

发明内容

针对现有技术存在的问题，本发明实施例提供一种基于特征的恶意应用程序检测方法及设备，在对大量Android平台主流恶意软件分析的基础上，总结了Android平台恶意软件的攻击意图和手段，并通过深度学习算法实现了应用程序恶意的AI检测，为Android平台应用程序的恶意检测提供了新的方向。

第一方面，本发明实施例提供一种基于特征的恶意应用程序检测方法，包括：

解析待检测应用程序安装包中的目标文件，提取所述目标文件中的关键特征，所述关键特征包含行为维度、权限维度和内容维度中的至少一种维度信息；

获取部分关键特征的词语随机度，获取剩余部分关键特征的数值数据，并将所述词语随机度以及所述数值数据拼接为数字特征向量；

将所述数字特征向量输入训练好的AI模型，获得对所述待检测应用程序的恶意性检测结果；所述AI模型是根据输入的数字特征向量进行训练，并输出所述数字特征向量对应的应用程序为恶意应用的概率和/或非恶意应用的概率。

进一步，所述获取所述部分关键特征的词语随机度，具体包括：

根据所述部分关键特征字符串的字母顺序，依次获取所述部分关键特征字符串的任意相邻两个字母的字母相邻频率；

基于所述任意相邻两个字母的字母相邻频率，获取所述关键特征的词语随机度；

其中，所述字母相邻频率是将字符串作为预设语言文字的单词，通过预设语言文字的词语随机度计算规则得到两个字母之间的相邻频率；所述词语随机度通过所述字母相邻频率得到。

进一步，所述AI模型的网络结构包括四部分：输入层、分解机层、隐藏层和输出层；所述AI模型通过如下方法训练得到：

获取应用程序安装包样本以及所述应用程序安装包样本的恶意标签；