[发明专利]风险应用的检测方法、装置和服务器

说明书

本说明书提供了风险应用的检测方法、装置和服务器。基于该方法，具体实施前，可以先利用正样本路径集、负样本路径集训练得到相应的预设的第一路径处理模型、预设的第二路径处理模型、预设的分类模型；具体实施时，可以先对目标应用进行预设的静态分析，确定出基于目标应用的关键API，以及涉及关键API的多个API调用路径；再调用预设的第一路径处理模型、预设的第二路径处理模型，处理上述API调用路径，得到并利用API调用路径的可疑度参数，构建出关于目标应用的可疑度特征向量；调用预设的分类模型处理可疑度特征向量，确定出目标应用是否为风险应用。从而可以精准、高效地检测并识别出注入有少量恶意代码的风险应用。

技术领域

本说明书属于人工智能技术领域，尤其涉及风险应用的检测方法、装置和服务器。

背景技术

在进行风险应用(例如，恶意的安卓软件等)检测时，现有方法大多是从应用整体的角度出发，对应用的整体代码进行特征提取，来判断该应用是否属于风险应用。

但是，一些风险应用为了避免被检测识别到，会采用在应用代码中注入少量的恶意代码的方式，利用应用中的大部分的正常代码的整体特征来隐藏少部分的恶意代码的局部特征。从而导致基于现有方法无法准确地检测识别出上述风险应用，出现漏检。

针对上述问题，目前尚未提出有效的解决方案。

发明内容

本说明书提供了一种风险应用的检测方法、装置和服务器，可以精准、高效地检测并识别出注入有少量恶意代码的风险应用，减少检测误差。

本说明书提供了一种风险应用的检测方法，包括：

获取待检测的目标应用；

通过对目标应用进行预设的静态分析，确定出基于目标应用的关键API，以及涉及关键API的多个API调用路径；

调用预设的第一路径处理模型、预设的第二路径处理模型，处理所述多个API调用路径，得到多个API调用路径的可疑度参数；

根据所述多个API调用路径的可疑度参数，构建关于目标应用的可疑度特征向量；

调用预设的分类模型处理所述可疑度特征向量，以确定所述目标应用是否为风险应用。

在一个实施例中，通过对目标应用进行预设的静态分析，确定出基于目标应用的关键API，以及涉及关键API的多个API调用路径，包括：

对所述目标应用进行预设的静态分析，得到目标应用的函数调用图；

根据预设的关键API集，在所述目标应用的函数调用图中，确定出基于目标应用的关键API；

从所述目标应用的函数调用图中，提取出涉及关键API的多个API调用路径。

在一个实施例中，所述预设的第一路径处理模型包括预先基于负样本路径集训练得到的隐马尔可夫模型；所述预设的第二路径处理模型包括预先基于正样本路径集训练得到的隐马尔可夫模型。

在一个实施例中，调用预设的第一路径处理模型、预设的第二路径处理模型，处理所述多个API调用路径，得到多个API调用路径的可疑度参数，包括：

按照以下方式得到多个API调用路径中的当前API调用路径的可疑度参数：

调用预设的第一路径处理模型处理当前API调用路径，得到对应的第一预测概率；调用预设的第二路径处理模型处理当前API调用路径，得到对应的第二预测概率；

将第一预测概率与第二预测概率相除得到的商，确定为当前API调用路径的可疑度参数。

在一个实施例中，所述预设的关键API集按照以下方式建立：