[发明专利]恶意应用检测方法、介质、设备及装置

权利要求书

1.一种恶意应用检测方法，其特征在于，包括以下步骤：

获取应用文件，并对所述应用文件进行反编译，以获取所述应用文件的静态信息；

运行所述应用文件，并获取所述应用文件在运行过程中产生的动态信息；

分别提取所述静态信息和所述动态信息对应的第一文本特征，并计算每个所述第一文本特征对应的第一特征向量；

将所述第一文本特征和对应的第一特征向量输入到场感知因子分解机进行分类器的训练，以得到恶意应用检测模型；

获取待检测应用文件，并提取所述待检测应用文件的第二文本特征和对应的第二特征向量，以及将所述第二文本特征和对应的第二特征向量输入到所述恶意应用检测模型，以通过所述恶意应用检测模型判断待检测应用文件中的应用软件是否为恶意应用。

2.如权利要求1所述的恶意应用检测方法，其特征在于，所述静态信息包括：静态应用权限信息、组件信息、监听信息、静态关键API调用信息和静态网络通信信息。

3.如权利要求1所述的恶意应用检测方法，其特征在于，所述动态信息包括：动态网络通信信息、加密信息、实际调用API信息、动态应用权限信息和反射调用信息。

4.如权利要求1所述的恶意应用检测方法，其特征在于，所述恶意应用检测模型通过以下公式进行表述：

其中，w₀表示恶意应用检测模型的常数项，w_i表示第i个文本特征的参数，f_i表示第i个文本特征对应的特征向量，＜v_i，v_j＞表示向量v_i和向量v_j之间的内积，x_i表示当前恶意应用是否含有第i个特征：x_i＝1表示含有第i个特征，x_i＝0表示不含有第i个特征。

5.一种计算机可读存储介质，其特征在于，其上存储有恶意应用检测程序，该恶意应用检测程序被处理器执行时实现如权利要求1-4中任一项所述的恶意应用检测方法。

6.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时，实现如权利要求1-4中任一项所述的恶意应用检测方法。

7.一种恶意应用检测装置，其特征在于，包括：

第一获取模块，所述第一获取模块用于获取应用文件，并对所述应用文件进行反编译，以获取所述应用文件的静态信息；

第二获取模块，所述第二获取模块用于运行所述应用文件，并获取所述应用文件在运行过程中产生的动态信息；

特征提取模块，所述特征提取模块用于分别提取所述静态信息和所述动态信息对应的第一文本特征，并计算每个所述第一文本特征对应的第一特征向量；

训练模块，所述训练模块用于将所述第一文本特征和对应的第一特征向量输入到场感知因子分解机进行分类器的训练，以得到恶意应用检测模型；

第三获取模块，所述第三获取模块用于获取待检测应用文件，并提取所述待检测应用文件的第二文本特征和对应的第二特征向量；

检测模块，所述检测模块用于将所述第二文本特征和对应的第二特征向量输入到所述恶意应用检测模型，并通过所述恶意应用检测模型判断待检测应用文件中的应用软件是否为恶意应用。

8.如权利要求7所述的恶意应用检测装置，其特征在于，所述静态信息包括：静态应用权限信息、组件信息、静态关键API调用信息和静态网络通信信息。

9.如权利要求7所述的恶意应用检测装置，其特征在于，所述动态信息包括：动态网络通信信息、加密信息、实际调用API信息、动态应用权限信息和反射调用信息。

10.如权利要求7所述的恶意应用检测装置，其特征在于，所述恶意应用检测模型通过以下公式进行表述：

其中，w₀表示恶意应用检测模型的常数项，w_i表示第i个文本特征的参数，f_i表示第i个文本特征对应的特征向量，＜v_i，v_j＞表示向量v_i和向量v_j之间的内积，x_i表示当前恶意应用是否含有第i个特征：x_i＝1表示含有第i个特征，x_i＝0表示不含有第i个特征。