[发明专利]恶意应用的检测方法、装置、服务器和可读存储介质

权利要求书

1.一种恶意应用的检测方法，其特征在于，应用于服务器，包括：

响应于客户端上传的二进制文件，对所述二进制文件进行逆向，确定所述二进制文件是否逆向得到目标代码，所述二进制文件为根据预设编程语言编写后编译得到，且运行于目标应用程序的原生层中的文件；

若所述二进制文件逆向得到目标代码，则根据所述目标代码和预设恶意代码，获取第一检测结果，所述第一检测结果用于指示所述目标应用程序为恶意应用程序或非恶意应用程序；

若所述二进制文件逆向得不到所述目标代码，则获取所述二进制文件对应的操作码序列；

将所述二进制文件转换为灰度图像，根据预设机器学习算法、所述灰度图像和所述操作码序列，计算得到第二检测结果，所述第二检测结果用于指示所述目标应用程序为恶意应用程序或非恶意应用程序。

2.根据权利要求1所述的方法，其特征在于，所述将所述二进制文件转换为灰度图像，包括：

使用预设第一函数将所述二进制文件转换为十六进制字符串；

对所述十六进制字符串进行字节分割，得到分割之后的字节，根据预设第二函数和所述分割之后的字节，生成目标矩阵；

根据预设第三函数，将所述目标矩阵转换为灰度图像。

3.根据权利要求2所述的方法，其特征在于，所述获取所述二进制文件对应的操作码序列，包括：

将所述二进制文件逆向得到目标指令集；

通过预设计算机编程语言，将所述目标指令集转换为所述操作码序列。

4.根据权利要求3所述的方法，其特征在于，所述根据预设机器学习算法、所述灰度图像和所述操作码序列，计算得到第二检测结果，包括：

对所述操作码序列进行拆分得到长度为N的多个子序列，N为大于1的正整数；

计算每个子序列在所述操作码序列中出现的频率；

根据每个子序列在所述操作码序列中出现的频率，确定每个子序列的权重；

根据每个子序列的权重，对每个子序列进行加权，计算得到所述二进制文件对应的特征向量；

根据所述预设机器学习算法、所述二进制文件对应的特征向量和所述灰度图像，计算得到第二检测结果。

5.根据权利要求4所述的方法，其特征在于，所述预设机器学习算法为随机森林算法，所述根据所述预设机器学习算法、所述二进制文件对应的特征向量和所述灰度图像，计算得到第二检测结果，包括：

计算所述二进制文件对应的特征向量与m个不同种类的预设恶意样本向量的余弦相似度，m为大于1的正整数；

对所述灰度图像进行向量描述，得到所述灰度图像对应的图像向量；

根据所述随机森林算法、所述余弦相似度和所述灰度图像对应的图像向量，计算得到所述第二检测结果。

6.根据权利要求1所述的方法，其特征在于，所述根据所述目标代码和预设恶意代码，获取第一检测结果，包括：

根据预设自动化扫描工具，对所述目标代码进行扫描，得到所述目标代码的组合特征；

将所述组合特征与预设恶意代码进行对比，得到所述第一检测结果。

7.根据权利要求1-6任一项所述的方法，其特征在于，所述响应于客户端上传的二进制文件之后，还包括：

利用预设反汇编应用，对所述二进制文件进行反汇编，生成包含汇编代码的目标文件；

将所述目标应用程序的系统调用记录至所述目标文件中，根据记录有系统调用的目标文件和所述预设机器学习算法，对所述目标应用程序进行分类，得到分类结果，所述分类结果用于指示所述目标应用程序为恶意应用程序或非恶意应用程序。

8.根据权利要求1-6任一项所述的方法，其特征在于，所述对所述二进制文件进行逆向之前，还包括：

计算得到所述二进制文件对应的哈希值；

将所述二进制文件对应的哈希值与预设哈希值进行对比，所述预设哈希值为所述目标应用程序的初始二进制文件对应的哈希值；

若所述二进制文件对应的哈希值与所述预设哈希值不匹配，则对所述二进制文件进行逆向。