[发明专利]风险应用的检测方法、装置和服务器

权利要求书

1.一种风险应用的检测方法，其特征在于，包括：

获取待检测的目标应用；

通过对目标应用进行预设的静态分析，确定出基于目标应用的关键API，以及涉及关键API的多个API调用路径；

调用预设的第一路径处理模型、预设的第二路径处理模型，处理所述多个API调用路径，得到多个API调用路径的可疑度参数；

根据所述多个API调用路径的可疑度参数，构建关于目标应用的可疑度特征向量；

调用预设的分类模型处理所述可疑度特征向量，以确定所述目标应用是否为风险应用。

2.根据权利要求1所述的方法，其特征在于，通过对目标应用进行预设的静态分析，确定出基于目标应用的关键API，以及涉及关键API的多个API调用路径，包括：

对所述目标应用进行预设的静态分析，得到目标应用的函数调用图；

根据预设的关键API集，在所述目标应用的函数调用图中，确定出基于目标应用的关键API；

从所述目标应用的函数调用图中，提取出涉及关键API的多个API调用路径。

3.根据权利要求1所述的方法，其特征在于，所述预设的第一路径处理模型包括预先基于负样本路径集训练得到的隐马尔可夫模型；所述预设的第二路径处理模型包括预先基于正样本路径集训练得到的隐马尔可夫模型。

4.根据权利要求3所述的方法，其特征在于，调用预设的第一路径处理模型、预设的第二路径处理模型，处理所述多个API调用路径，得到多个API调用路径的可疑度参数，包括：

按照以下方式得到多个API调用路径中的当前API调用路径的可疑度参数：

调用预设的第一路径处理模型处理当前API调用路径，得到对应的第一预测概率；调用预设的第二路径处理模型处理当前API调用路径，得到对应的第二预测概率；

将第一预测概率与第二预测概率相除得到的商，确定为当前API调用路径的可疑度参数。

5.根据权利要求4所述的方法，其特征在于，所述预设的关键API集按照以下方式建立：

获取多个样本应用；其中，所述多个样本应用包括正常样本应用和风险样本应用；

对所述正常样本应用进行静态分析，以建立正样本路径集；对所述风险样本应用进行静态分析，以建立负样本路径集；

根据所述负样本路径集，统计得到各个API基于风险样本应用的统计特征参数；根据所述正样本路径集，统计得到各个API基于正常样本应用的统计特征参数；

通过比较同一个API基于风险样本应用的统计特征参数和基于正常样本应用的统计特征参数，筛选出基于风险样本应用的统计特征参数大于基于正常样本应用的统计特征参数的API作为关键API，以建立预设的关键API集。

6.根据权利要求5所述的方法，其特征在于，根据所述负样本路径集，统计得到各个API基于风险样本应用的统计特征参数，包括：

按照以下方式根据所述负样本路径集，统计当前API基于风险样本应用的统计特征参数：

根据所述负样本路径集，统计当前API被风险样本应用调用的次数与API被风险样本应用调用的总次数的比值，作为第一统计参数；

根据所述负样本路径集，统计风险样本应用的总数与调用了当前API的风险样本应用数的比值，作为第二统计参数；

根据预设的处理规则，处理所述第二统计参数，得到对应的第三统计参数；

计算第一统计参数与第三统计参数的比值，作为所述当前API基于风险样本应用的统计特征参数。

7.根据权利要求5所述的方法，其特征在于，所述预设的第一路径处理模型按照以下方式建立：

构建初始的第一路径处理模型；

从所述负样本路径集中筛选出涉及关键API的API调用路径，以得到第一类负样本训练集；

利用所述第一类负样本训练集，训练所述初始的第一路径处理模型，以得到预设的第一路径处理模型。