[发明专利]终端应用的检测方法和装置

权利要求书

1.一种终端应用的检测方法，其特征在于，包括：

获取终端应用的样本训练集，所述样本训练集包括正常终端应用和恶意终端应用；

利用自编码对所述样本训练集进行预处理，得到预处理后的样本训练集；

将所述预处理后的样本训练集输入到预先建立的初始卷积神经网络模型中，训练得到卷积神经网络；

利用训练得到的卷积神经网络对待测终端应用进行检测，以确定所述待测终端应用是否为恶意应用。

2.根据权利要求1所述的检测方法，其特征在于，利用自编码对所述样本训练集进行预处理，得到预处理后的样本训练集包括：

对所述样本训练集中的终端应用文件进行分析，提取每个终端应用的特征；

利用提取的特征生成每个终端应用的特征向量，得到特征向量集，其中，每个特征向量用于表示对应的终端应用；

利用自编码对所述特征向量集进行降维处理，得到预处理后的样本训练集，并确定自编码网络的层数以及各层节点数量。

3.根据权利要求2所述的检测方法，其特征在于，对所述样本训练集中的终端应用文件进行分析，提取每个终端应用的特征包括：

采用静态分析方法对各个终端应用样本的apk文件进行分析，利用分析工具提取样本的11个类型的特征，包括Permissions、Filtered Intents、Restricted API calls、Component Names、Code Related Features、Certificate Information、Payload Information、Payload Information、Strings contained in the source code of app、Used Permissions、Hardware Features、Suspicious API Calls，每个类型的特征包括多个子特征；

利用提取的特征生成每个终端应用的特征向量包括：将每个终端应用样本具有的特征组成特征集合，并添加样本的分类标签，处理成对应的特征向量。

4.根据权利要求1所述的检测方法，其特征在于，利用自编码对所述特征向量集进行降维处理包括：

确定所有终端应用样本中包含的最大样本特征数，并对于特征数小于所述最大样本特征数的样本进行补零处理；

构造基于自编码的5层自编码网络，依次包括1个输入层，3个隐含层和1个分类层；

设置自编码网络的输入层节点数与所述最大样本特征数相同，并设置第一个隐含层节点数、第二个隐含层节点数、第三个隐含层的节点数以及分类层的节点数，其中，第一个隐含层的输出最为第二个隐含层的输入，第二个隐含层的输出作为第三个隐含层的输入，将第三个隐含层的输出作为分类层的输入，将无标签的特征向量作为输入层，有标签的特征向量的标签作为分类层的输出；

利用反向传播算法对自编码网络进行调整，优化网络结构参数，最终将输入层与3个隐含层组成特征降维模型；

利用所述特征降维模型将所有的样本进行降维。

5.根据权利要求1所述的检测方法，其特征在于，在将所述预处理后的样本训练集输入到预先建立的初始卷积神经网络模型中，训练得到卷积神经网络之前，还包括：

构造初始卷积神经网络的卷积层和池化层；

确定所述卷积层中卷积核的大小与个数、所述池化层的参数、所述卷积层与所述池化层的层数以及连接方式，得到所述初始卷积神经网络模型。

6.一种终端应用的检测装置，其特征在于，包括：

获取单元，用于获取终端应用的样本训练集，所述样本训练集包括正常终端应用和恶意终端应用；

处理单元，用于利用自编码对所述样本训练集进行预处理，得到预处理后的样本训练集；

训练单元，用于将所述预处理后的样本训练集输入到预先建立的初始卷积神经网络模型中，训练得到卷积神经网络；

检测单元，用于利用训练得到的卷积神经网络对待测终端应用进行检测，以确定所述待测终端应用是否为恶意应用。