[发明专利]恶意应用程序的行为分析方法、装置及相关产品

说明书

本申请实施例提供了一种恶意应用程序的行为分析方法、装置及相关产品，一种应用程序的行为分析方法，其包括：确定待分析应用程序，并根据确定出的待分析应用程序建立监控对象集合；基于设定的行为追踪模型，对所述监控对象集合中的每个应用程序进行行为数据追踪，以形成样本行为数据集合；针对对所述监控对象集合中的每个应用程序，对对应的样本行为数据进行特征提取，以生成样本特征序列；将每个应用程序对应的样本特征序列输入到设定的行为分析模型中，以对所述所述应用程序进行行为分析。

技术领域

本申请涉及安全技术领域，特别是涉及一种恶意应用程序的行为分析方法、装置及相关产品。

背景技术

随着互联网的迅速发展，使得用户非常容易从互联网获取信息，但是，互联网具有极强的开放性，导致用户在使用互联网的过程中，很容易受到恶意应用程序的攻击，而且这些恶意应用程序为了躲避被监控，具有极强的伪装性能，由此增加了恶意应用程序的监控难度。

发明内容

基于上述问题，本申请实施例提供了一种恶意应用程序的行为分析方法、装置及相关产品。

本申请实施例公开了如下技术方案：

一种应用程序的行为分析方法，其包括：

确定待分析应用程序，并根据确定出的待分析应用程序建立监控对象集合；

基于设定的行为追踪模型，对所述监控对象集合中的每个应用程序进行行为数据追踪，以形成样本行为数据集合；

针对对所述监控对象集合中的每个应用程序，对对应的样本行为数据进行特征提取，以生成样本特征序列；

将每个应用程序对应的样本特征序列输入到设定的行为分析模型中，以对所述所述应用程序进行行为分析。

可选地，所述确定待分析应用程序，并根据确定出的待分析应用程序建立监控对象集合，包括：获取指定应用程序集合中各个指定应用程序的历史行为数据，基于所述各个指定应用程序的历史行为数据，确定待分析应用程序，并根据确定出的待分析应用程序建立监控对象集合。

可选地，所述获取指定应用程序集合中各个指定应用程序的历史行为数据，包括：根据指定应用程序集合中的指定应用程序的数量，创建对应的多个监控列表，并在每个监控列表中写入对应指定应用程序的ID，基于多个监控列表中记录的指定应用程序的ID，获取对应指定应用程序的历史行为数据。

可选地，所述基于多个监控列表中记录的指定应用程序的ID，获取对应指定应用程序的历史行为数据，包括：根据多个监控列表中记录的指定应用程序的ID，创建可并行执行的多个任务，以通过并行运行多个任务获取所述指定应用程序集合中多个指定应用程序的历史行为数据。

可选地，所述基于所述各个指定应用程序的历史行为数据，确定待分析应用程序，包括：基于所述各个指定应用程序的历史行为数据，对各个指定应用程序进行可信程度评价，得到可信评价值；基于所述可信评价值，从中筛选出待分析应用程序。

可选地，所述基于所述可信评价值，从中筛选出待分析应用程序，包括：统计各个指定应用程序在设定统计周期内的平均可信评价值，将所述平均可信评价值不大于设定平均可信评价阈值的指定应用程序作为待分析应用程序。

可选地，所述基于设定的行为追踪模型，对所述监控对象集合中的每个应用程序进行行为数据追踪，以形成样本行为数据集合，包括：基于设定的第一行为追踪模型，对所述监控对象集合中的每个应用程序的调取接口函数的行为数据进行追踪，以形成第一样本行为数据集合。

可选地，所述基于设定的行为追踪模型，对所述监控对象集合中的每个应用程序进行行为数据追踪，以形成样本行为数据集合，包括：基于设定的第二行为追踪模型，对所述监控对象集合中的每个应用程序的进行文件操作的行为数据进行追踪，以形成第二样本行为数据集合。