[发明专利]APP检测方法和装置

说明书

本发明的一个方面涉及APP检测方法和装置。具体公开了一种APP的检测方法，包括：从APP样本中提取APP样本的静态特征信息和动态特征信息，其中动态特征信息表达动态特征的时序特性；将静态特征信息和动态特征信息输入深度神经网络以识别APP的类别。

技术领域

本发明涉及APP的分类检测领域，具体涉及利用机器学习分类方法对APP进行分类检测。

背景技术

目前存在许多使用机器学习分类算法来识别特定类别的APP的方法。根据来源方式不同，目前APP的检测主要针对两类特征：静态特征和动态特征。静态特征，指并不需要在手机上实际安装和运行恶意APP软件，而是通过逆向/反编译技术，在安全环境中对APP进行代码分析而获得的APP特征数据。例如，APP的静态特征是指APP是否使用某一权限、是否调用某一API。动态特征，即基于被检测APP软件行为的特征数据，通常是把目标软件置于特定的封闭安全的环境下运行，并且模拟交互边界条件，而得到的APP运行行为特征数据。

目前的检测方法通常是基于应用代码的静态特征和应用行为的动态特征相结合作为输入数据，使用机器学习分类算法判断APP的类别，例如是否为恶意APP。这类传统机器学习方法，对于静态特征和动态特征都采用“0/1”二值作为表示方法。

发明内容

现有技术中的特征表示方法所表达的信息量十分有限，导致APP的分类检测并不准确。

为了解决上述技术问题，根据本发明的一个方面，提供了一种APP的检测方法，包括：从APP样本中提取APP样本的静态特征信息和动态特征信息，其中动态特征信息表达动态特征的时序特性；将静态特征信息和动态特征信息输入深度神经网络以识别APP的类别。

根据本发明的另一个方面，提供了一种APP的检测装置，包括处理器，所述处理器被配置为执行如上所述的检测方法。

根据本发明的又一个方面，提供了一种非瞬态计算机可读存储介质，存储有指令，所述指令当被处理器执行时进行如上所述的方法。

附图说明

图1示出了根据本发明一个实施例的APP的检测方法的流程图；

图2示出了根据本发明一个实施例的图1所示的APP识别步骤的详细流程图；

图3示出了现有技术方法的架构与本发明方法的架构的对比。

具体实施方式

本发明对于APP的静态特征和动态特征采用差异化的表示方法，从而强调表达动态特征的时序特性。例如，根据用户交互的不同，动态特征可包括一系列先后执行的APP行为。现有技术对于动态特征的表达方式并未表达出APP行为的这种时序特性。

下面参照图1描述本发明的具体实施例。

图1示出了根据本发明的一个实施例的APP检测方法。在步骤101中，从各类APP样本中提取APP样本应用的静态特征信息和动态特征信息。例如，各类APP样本可以包括各类恶意APP样本和正常APP样本。在一个实施例中，静态特征信息用“0/1”二值编码表示是否使用某一权限、是否调用某一API，而动态特征信息表达动态特征的时序特性。

根据一个实施例，动态特征信息可以为时间序列，所述时间序列中的每个元素为某一时刻的APP行为ID。在一个实施例中，动态特征信息可以为向量序列。

例如，动态特征可以被表达为序列(13,97,125,66…119)，其中的每个元素为APP行为在词典中的编号，元素的顺序即为这些APP行为出现的先后顺序。词典包含APP行为的统计。

在步骤102中，将静态特征信息和动态特征信息输入深度神经网络以识别APP的类别。