[发明专利]用于检测恶意应用及训练检测模型的方法、装置及设备

说明书

本发明揭示了一种用于训练恶意应用检测模型的方法，包括：基于带有样本标签的应用样本提取样本特征，所述样本标签用于标记所述应用样本的安全状态；使用所述样本标签与所述提取的样本特征，通过训练以获取样本特征与安全状态之间的第一非线性关系模型并输出第一预测结果；以及在确定与部分待检测应用对应的第一预测结果错误时，根据改正后的第一预测结果与所述部分待检测应用的样本特征，通过训练以获取样本特征与安全状态之间的第二非线性关系模型。基于本发明实施例的方案，通过已经标记的应用样本训练检测模型，同时结合反馈的预测错误样本训练补充模型，能够提高恶意应用检测的覆盖率和准确率。

技术领域

本发明涉及计算机应用技术领域，特别涉及一种用于检测恶意应用及训练检测模型的方法、装置、计算机可读存储介质及电子设备。

背景技术

近年来随着互联网，特别是移动互联网的飞速发展，越来越多的服务提供方选择通过应用程序(App)的方式，为广大用户提供有偿或者无偿的服务。相应的，用户终端(例如移动设备或个人电脑)中安装的App数量也越来越多。这在为用户提供极大方便的同时，也给恶意应用留下了生存的空间。

恶意应用通常是指，开发者通过在应用中插入危害用户利益安全的代码，开发出的对用户造成利益损失和安全隐患的应用程序。可能的危害行为包括但不限于恶意扣费、隐私窃取、短信拦截、电话监听、恶意广告、恶意下载等。另外，在各种各样的应用下载平台中，恶意应用往往被刻意包装成无害甚至有利可图的状态，吸引用户点击下载。一旦用户在终端完成下载、安装、或者最终运行时，应用中嵌入的恶意代码便开始工作，实施预先设计的危害行为，从而给用户造成极大的安全隐患。

因此，为了保证用户的数据安全，各应用下载平台需要对第三方上传的应用进行严格的审核，检测是否存在恶意应用；同时，用户终端自身也有类似检测功能的需求。目前，针对恶意应用的检测通常包括，基于静态特征和基于动态特征两种检测方法，前者基于从恶意文件安装包中提取的特征码或操作码序列进行检测，后者则直接基于应用的操作行为进行检测。然而，无论是哪种方法，都存在特征提取规则制定难度较大的问题，容易造成应用的误杀或者漏杀，无法准确、及时、全面的检测出恶意应用。

发明内容

针对相关技术中恶意应用检测易造成误杀或漏杀的问题，本发明提供一种检测恶意应用及训练检测模型的方法、装置、计算机可读存储介质和电子设备。

根据本发明的实施例，提供一种用于训练恶意应用检测模型的方法，包括：基于带有样本标签的应用样本提取样本特征，所述样本标签用于标记所述应用样本的安全状态；使用所述样本标签与所述提取的样本特征，通过训练以获取所述样本特征与安全状态之间的第一非线性关系模型，所述第一非线性关系模型用于预测待检测应用的安全状态并输出第一预测结果；以及在确定与部分待检测应用对应的第一预测结果错误时，根据改正后的第一预测结果与所述部分待检测应用的样本特征，通过训练以获取所述样本特征与安全状态之间的第二非线性关系模型，所述第二非线性关系模型用于预测待检测应用的安全状态并输出第二预测结果。

根据本发明的实施例，还提供一种用于检测恶意应用的方法，包括：基于待检测应用提取样本特征；将所述样本特征输入第一非线性关系模型，获取第一预测结果；以及根据所述第一预测结果确定是否将所述样本特征输入第二非线性关系模型以获取第二预测结果，其中，所述的第一非线性关系模型和第二非线性关系模型基于前述实施例用于训练恶意应用检测模型的方法训练得到。