[发明专利]基于深度学习的恶意应用溯源方法及相关装置

权利要求书

1.一种基于深度学习的恶意应用溯源方法，包括：

针对特定业务使用场景，获取待溯源恶意样本和多个已知恶意样本中每个样本的至少一个指标信息；

计算每个已知恶意样本与其它已知恶意样本的所有对应指标信息的相似度，进而构建每个已知恶意样本的所有指标信息的拓扑图，另外计算待溯源恶意样本与所有已知恶意样本的所有对应指标信息的相似度，进而构建待溯源恶意样本的所有指标信息的拓扑图；

利用node2vec算法分别对所有已知恶意样本的每个指标信息的拓扑图以及待溯源恶意样本的每个指标信息拓扑图进行训练，得到所有已知恶意样本的每个指标信息的拓扑图embedding特征向量和待溯源恶意样本的每个指标信息的拓扑图embedding特征向量，以分别作为训练集和测试集；

利用SVR算法对所述训练集进行训练，得到溯源恶意样本函数关系模型；

使用所述溯源恶意样本函数关系模型对所述预测集进行预测，得到待溯源恶意样本与所述所有已知恶意样本之间的相似度；

根据所有样本之间的相似度结果以及所有所述已知恶意样本的捕获时间，确定所述待溯源恶意样本的溯源结果。

2.如权利要求1所述的基于深度学习的恶意应用溯源方法，其特征在于，所述特定业务使用场景为移动钓鱼场景，所述至少一个指标信息包括资源文件信息、类名方法名信息、图标信息和常量字符串信息。

3.如权利要求1或2所述的基于深度学习的恶意应用溯源方法，其特征在于，所述根据所有样本之间的相似度结果以及所有所述已知恶意样本的捕获时间，确定所述待溯源恶意样本的溯源结果，包括：

当待溯源恶意样本为稀有样本时，根据样本之间的相似度结果选择相似度值由大到小排序靠前的预设个数的已知恶意样本作为溯源样本集合；

当待溯源恶意样本为非稀有样本时，根据样本之间的相似度结果选择满足相似度阈值的已知恶意样本作为溯源样本集合；

确定所述溯源样本集合中捕获时间最早的已知恶意样本为待溯源恶意样本的溯源结果。

4.一种基于深度学习的恶意应用溯源装置，包括：

指标信息获取模块，用于针对特定业务使用场景，获取待溯源恶意样本和多个已知恶意样本中每个样本的至少一个指标信息；

指标信息相似度计算及拓扑图构建模块，用于计算每个已知恶意样本与其它已知恶意样本的所有对应指标信息的相似度，进而构建每个已知恶意样本的所有指标信息的拓扑图，另外计算待溯源恶意样本与所有已知恶意样本的所有对应指标信息的相似度，进而构建待溯源恶意样本的所有指标信息的拓扑图；

embedding特征向量获取模块，用于利用node2vec算法分别对所有已知恶意样本的每个指标信息的拓扑图以及待溯源恶意样本的每个指标信息拓扑图进行训练，得到所有已知恶意样本的每个指标信息的拓扑图embedding特征向量和待溯源恶意样本的每个指标信息的拓扑图embedding特征向量，以分别作为训练集和测试集；

溯源恶意样本函数关系模型建立模块，用于利用SVR算法对所述训练集进行训练，得到溯源恶意样本函数关系模型；

样本相似度确定模块，用于使用所述溯源恶意样本函数关系模型对所述预测集进行预测，得到待溯源恶意样本与所述所有已知恶意样本之间的相似度；

溯源结果确定模块，用于根据所有样本之间的相似度结果以及所有所述已知恶意样本的捕获时间，确定所述待溯源恶意样本的溯源结果。

5.如权利要求1所述的基于深度学习的恶意应用溯源装置，其特征在于，所述特定业务使用场景为移动钓鱼场景，所述至少一个指标信息包括资源文件信息、类名方法名信息、图标信息和常量字符串信息。