[发明专利]用于识别恶意应用程序的方法、装置、设备及存储介质

说明书

本发明公开了一种用于识别恶意应用程序的方法、装置、设备及存储介质。该方法通过获取目标应用程序的动态行为数据，其中，动态行为数据为通过在沙箱环境中运行目标应用程序并对应用程序在运行过程中的行为进行监控，得到的行为数据，进而采用预先训练好的卷积神经网络对动态行为数据进行特征提取，获得目标动态向量，并基于目标动态向量，得到目标应用程序的恶意检测结果，有利于得到更准确的应用程序恶意检测结果。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种用于识别恶意应用程序的方法、装置、设备及存储介质。

背景技术

随着互联网技术的不断发展，应用程序在人们的工作和生活中的使用越来越广泛。但是随着应用程序的广泛使用，诸多潜在的安全问题也逐渐暴露出来。近年来，根据不同杀毒软件厂商的调查报告，携带病毒的应用程序正在成倍的增长。安装这些携带病毒的应用程序后，病毒会破坏计算机系统或者在计算机系统上执行不良行为，如中断计算机操作，收集敏感信息，绕过访问控制，非法访问私人计算机以及显示各种广告信息等。因此，为了保证安装的应用程序的安全性，对应用程序是否携带病毒的识别就极为重要。

现有的应用程序的病毒检测方法是通过标记已知的恶意代码来创建恶意代码库，进而通过恶意代码匹配的方式，得到检测结果。但是这种方式需要不断人为去更新恶意代码库，很容易被绕过，存在恶意应用的识别准确度不高的技术问题。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种用于识别恶意应用程序的方法、装置、设备及存储介质。

第一方面，本发明实施例提供了一种用于识别恶意应用程序的方法，所述方法包括：获取目标应用程序的动态行为数据，所述动态行为数据为通过在沙箱环境中运行所述目标应用程序并对所述应用程序在运行过程中的行为进行监控，得到的行为数据；采用预先训练好的卷积神经网络对所述动态行为数据进行特征提取，获得目标动态向量，并基于所述目标动态向量，得到所述目标应用程序的恶意检测结果。

进一步地，所述在沙箱环境中运行所述目标应用程序，包括：在所述目标应用程序在沙箱中运行过程中，模拟用户的操作，以触发所述目标应用程序产生行为数据。

进一步地，所述获取目标应用程序的动态行为数据，包括：根据预设打桩点，获取所述目标应用程序在沙箱中运行过程中的动态行为数据，其中，所述预设打桩点为通过对电子设备的目标系统服务进行打桩处理得到的打桩点。

进一步地，所述采用预先训练好的卷积神经网络对所述动态行为数据进行特征提取，获得目标动态向量，包括：将所述动态行为数据转化为向量表示的第一动态向量序列；将所述第一动态向量序列分批次输入所述卷积神经网络进行特征提取，获得目标动态向量。

进一步地，所述将所述第一动态向量序列分批次输入所述卷积神经网络，包括：按照预设的批次长度和间隔参数，将所述第一动态向量序列分批次输入所述卷积神经网络，其中，每批次第一动态向量的向量数量等于所述批次长度，相邻批次的第一动态向量的起始向量之间间隔的向量数量等于所述间隔参数，所述批次长度大于所述间隔参数。

进一步地，所述采用预先训练好的卷积神经网络对所述动态行为数据进行特征提取，获得目标动态向量，包括：将所述动态行为数据转化为向量表示的第一动态向量序列；将所述第一动态向量序列中的每条向量预训练为采用其周边向量进行描述的向量，生成第二动态向量序列；采用所述卷积神经网络对所述第二动态向量序列进行特征提取，获得目标动态向量。

进一步地，所述采用预先训练好的卷积神经网络对所述动态行为数据进行特征提取，获得目标动态向量，包括：根据预设的病毒特征，筛除所述动态行为数据中与所述病毒特征不匹配的无意义数据；采用所述卷积神经网络对筛除所述无意义数据后的所述动态行为数据进行特征提取，获得目标动态向量。