[发明专利]程序识别模型训练和程序识别方法、装置、设备及介质

权利要求书

1.一种程序识别模型训练方法，其特征在于，包括：

获取各样本程序的目标特征信息；所述目标特征信息包括行为特征信息和程序包名信息；

根据所述行为特征信息获取各所述样本程序的程序行为特征，并将所述程序行为特征确定为样本训练数据；

获取所述程序包名信息的字符串随机性，得到各所述样本程序的包名随机性特征，并将所述包名随机性特征确定为所述样本训练数据；

将所述样本训练数据输入至程序识别模型以对所述程序识别模型进行训练。

2.根据权利要求1所述的方法，其特征在于，所述获取所述程序包名信息的字符串随机性，得到各所述样本程序的包名随机性特征，包括：

根据已知包名字符串获取各所述程序包名信息的包名字符串特征；

在确定所述包名字符串特征为合法包名字符串特征的情况下，确定所述程序包名信息为非随机字符串，得到所述程序包名信息对应的所述样本程序的所述包名随机性特征为包名非随机；

在确定所述包名字符串特征为非法包名字符串特征的情况下，确定所述程序包名信息为随机字符串，得到所述程序包名信息对应的所述样本程序的所述包名随机性特征为包名随机。

3.根据权利要求2所述的方法，其特征在于，所述根据已知包名字符串获取所述程序包名信息的包名字符串特征，包括：

将所述程序包名信息输入至预先训练的包名特征提取模型，得到所述包名特征提取模型输出的所述包名字符串特征；

其中，所述包名特征提取模型为采用所述已知包名字符串作为样本进行训练得到的，用于获取输入信息的所述包名字符串特征。

4.根据权利要求3所述的方法，其特征在于，在所述根据已知包名字符串获取所述程序包名信息的包名字符串特征之前，还包括：

获取第一预设数量的已知包名字符串；

对各所述已知包名字符串的包名字符串特征进行特征标记；

将所述特征标记后的所述已知包名字符串作为样本输入至包名特征提取模型中，对所述包名特征提取模型进行训练；

其中，训练完成的包名特征提取模型用于提取所述程序包名信息的包名字符串特征。

5.根据权利要求4所述的方法，其特征在于，所述获取第一预设数量的已知包名字符串，包括：

获取第二预设数量的合法包名字符串；

对所述合法包名字符串进行随机编码处理，得到所述第二预设数量的随机字符串；

将所述合法包名字符串和所述随机字符串确定为所述已知包名字符串；

所述对各所述已知包名字符串的包名字符串特征进行特征标记，包括：

在所述合法包名字符串中标记出合法包名字符串特征；

在所述随机字符串中标记出非法包名字符串特征。

6.根据权利要求1所述的方法，其特征在于，所述目标特征信息，还包括：证书签名信息；

在所述获取各样本程序的目标特征信息之后，还包括：

获取所述证书签名信息的字符串随机性，得到各所述样本程序的签名随机性特征，并将所述签名随机性特征确定为所述样本训练数据。

7.一种程序识别方法，其特征在于，包括：

获取待识别程序的目标特征信息；所述目标特征信息包括行为特征信息和程序包名信息；

根据所述行为特征信息获取所述待识别程序的程序行为特征，并将所述程序行为特征确定为待检测数据；

获取所述程序包名信息的字符串随机性，得到所述待识别程序的包名随机性特征，并将所述包名随机性特征确定为待检测数据；

将所述待检测数据输入至程序识别模型，得到所述待识别程序的程序识别结果；其中，所述程序识别模型通过权利要求1-6任一所述的程序识别模型训练方法训练得到。