[发明专利]恶意应用检测方法、介质、设备及装置

说明书

本发明公开了一种恶意应用检测方法、介质、设备及装置，其中方法包括：获取应用文件，并进行反编译，以获取静态信息；运行应用文件，并获取运行过程中产生的动态信息；分别提取静态信息和动态信息对应的第一文本特征，并计算对应的第一特征向量；将第一文本特征和对应的第一特征向量输入到场感知因子分解机进行分类器的训练，以得到恶意应用检测模型；获取待检测应用文件，并提取待检测应用文件的第二文本特征和对应的第二特征向量，以及将第二文本特征和对应的第二特征向量输入到恶意应用检测模型，以判断待检测应用文件中的应用软件是否为恶意应用；能够对恶意软件进行有效检测，提高恶意软件检测准确率，保证用户使用应用过程中的安全性。

技术领域

本发明涉及信息安全技术领域，特别涉及一种恶意应用检测方法、一种计算机可读存储介质、一种计算机设备以及一种恶意应用检测装置。

背景技术

随着智能终端被广泛应用于人们的日常生活，各种应用(例如，移动支付、智能家居等)随之呈指数级地增长。而在这些应用中，有部分为开发人员非法制作的恶意应用，其中可能包含了勒索病毒或者特洛伊木马；如果用户安装了这类恶意应用，将可能造成个人隐私信息被窃取，或者人身财产安全受到损害。

相关技术中，在对应用软件进行评价的过程中，大多基于静态分析的特征，而忽略了应用软件运行过程中的动态特征，导致最终评价结果不准确；进而，难以用户使用应用过程中的安全性。

发明内容

本发明旨在至少在一定程度上解决上述技术中的技术问题之一。为此，本发明的一个目的在于提出一种恶意应用检测方法，能够对恶意软件进行有效检测，提高恶意软件检测准确率，保证用户使用应用过程中的安全性。

本发明的第二个目的在于提出一种计算机可读存储介质。

本发明的第三个目的在于提出一种计算机设备。

本发明的第四个目的在于提出一种恶意应用检测装置。

为达到上述目的，本发明第一方面实施例提出了一种恶意应用检测方法，包括以下步骤：获取应用文件，并对所述应用文件进行反编译，以获取所述应用文件的静态信息；运行所述应用文件，并获取所述应用文件在运行过程中产生的动态信息；分别提取所述静态信息和所述动态信息对应的第一文本特征，并计算每个所述第一文本特征对应的第一特征向量；将所述第一文本特征和对应的第一特征向量输入到场感知因子分解机进行分类器的训练，以得到恶意应用检测模型；获取待检测应用文件，并提取所述待检测应用文件的第二文本特征和对应的第二特征向量，以及将所述第二文本特征和对应的第二特征向量输入到所述恶意应用检测模型，以通过所述恶意应用检测模型判断待检测应用文件中的应用软件是否为恶意应用。

根据本发明实施例的恶意应用检测方法，首先，获取应用文件，并对获取到的应用文件进行反编译，以通过反编译来获取该应用文件对应的静态信息；接着，运行应用文件，并获取该应用文件在运行过程中所产生的动态信息；然后，分别提取静态信息和动态信息所对应的第一文本特征，并计算每个第一文本特征所对应的第一特征向量；接着，将第一文本特征和对应的第一特征向量输入到场感知因子分解机进行分类器的训练，以在训练之后得到恶意应用检测模型；然后，在恶意应用检测模型训练得到后，获取待检测应用文件，并提取该待检测应用文件的第二文本特征和对应的第二特征向量，以及将第二文本特征和对应的第二特征向量输入到恶意应用检测模型，以通过恶意应用检测模型判断待检测应用文件中的应用软件是否为恶意应用；从而实现对恶意软件进行有效检测，提高恶意软件检测准确率，保证用户使用应用过程中的安全性。

另外，根据本发明上述实施例提出的恶意应用检测方法还可以具有如下附加的技术特征：

可选地，所述静态信息包括：静态应用权限信息、组件信息、监听信息、静态关键API调用信息和静态网络通信信息。

可选地，所述动态信息包括：动态网络通信信息、加密信息、实际调用API信息、动态应用权限信息和反射调用信息。