[发明专利]识别恶意软件

说明书

用于识别恶意软件的方法(600)包括：接收并执行软件应用(210)、识别在软件应用的执行期间软件应用与之交互的多个统一资源标识符(220)，并使用被配置为接收多个统一资源标识符作为特征输入的前馈神经网络(170)生成软件应用的向量表示(260)。该方法还包括确定一池训练应用的相似性分数(262)，每个相似性分数与对应的训练应用关联，并指示软件应用的向量表示与对应的训练应用的相应向量表示之间的相似性的水平。该方法还包括在一个或多个训练应用具有满足相似性阈值的相似性分数并包括可能有害的应用标签时，将该软件应用标示为属于可能有害的应用类别(240b)。

技术领域

本公开涉及识别恶意软件。

背景技术

恶意软件开发者试图在用户设备上安装软件(例如，应用)，以使用户设备执行对用户有害的操作。例如，恶意软件在被安装在用户设备上时可能会未经用户同意而从用户窃取敏感数据、跟踪用户设备和/或执行其他欺骗性操作。恶意软件通常称为恶意软件(malware)，并且一旦被安装在用户设备上，恶意软件就可以继续在用户设备上发展和/或传播到与该用户设备通信的其他设备。

识别恶意软件通常是猫鼠游戏，其中，一侧不断地追寻总是更新其在用户设备上安装恶意软件的方法以逃避检测的恶意软件作者。通常，恶意软件作者会花费大量精力来开发安装模式，以便在不被检测到的情况下在用户设备上安装恶意软件。尽管人们可以将与先前识别的恶意软件关联的已知应用和/或恶意软件访问的已知域名添加到白名单，但有恶意的作者将会定期改变应用的名称和/或域名，以逃避通过这些白名单进行的检测。

发明内容

本公开的一个方面提供了一种用于识别恶意软件的方法。该方法包括在数据处理硬件处接收软件应用，以及通过数据处理硬件执行该软件应用。该方法还包括通过数据处理硬件识别在软件应用的执行期间软件应用与之交互的多个统一资源标识符，和通过数据处理硬件使用被配置为接收多个统一资源标识符作为特征输入的前馈神经网络生成软件应用的向量表示。该方法还包括通过数据处理硬件确定存储在与数据处理硬件通信的存储器硬件中的一池训练应用(a pool of training applications)的相似性分数，每个相似性分数与对应的训练应用关联并指示软件应用的向量表示与对应的训练应用的相应向量表示之间的相似性的水平。该方法还包括通过数据处理硬件在训练应用中的一个或多个具有满足相似性阈值的相似性分数并包括可能有害的应用标签时，将软件应用标示为属于可能有害的应用类别。

本公开的实施方式可以包括以下可选特征中的一个或多个。在一些实施方式中，识别多个资源标识符包括识别在软件应用的执行期间软件应用访问的多个域名。前馈神经网络可以包括向量空间模型，该向量空间模型被配置为确定识别的统一资源标识符中的每一个的n维数值向量表示，并通过平均识别的统一资源标识符的n维数值向量表示计算软件应用的向量表示。

在一些示例中，确定一池训练应用的相似性分数包括计算软件应用的向量表示与每个对应的训练应用的相应向量表示之间的相应余弦相似性。软件应用的向量表示可以包括数值的n维向量。该方法还可以包括通过数据处理硬件从存储器硬件检索一池训练应用中的与前k个最高相似性分数关联的训练应用。

在一些实施方式中，该方法还包括通过数据处理硬件识别与一池训练应用中的大多数训练应用关联的可能有害的类别，该大多数训练应用中的每一个具有满足相似性阈值的相似性分数并包括可能有害的应用标签，和通过数据处理硬件将软件应用分配(assign)给所识别的可能有害的类别。分配给软件应用的可能有害的类别可以包括以下之一：恶意下载器应用、网络钓鱼应用、植入木马(Rooting Trojan)应用、间谍软件应用、勒索软件应用、恶意软件应用或特权升级应用。该可能有害的类别的列表并不穷尽，而是可以包括恶意或以其他方式可能有害的任何其他应用。该方法还可以包括：在将软件应用标示为属于可能有害的应用类别之后：通过数据处理硬件从与数据处理硬件通信的用户设备接收下载软件应用的下载请求；和响应于接收下载请求，向用户设备发送警告通知，该警告通知指示软件应用被标示为属于可能有害的应用类别。