一种恶意木马检测处理方法及装置与流程

本发明实施例涉及互联网技术领域，尤其涉及一种恶意木马检测处理方法及装置。

背景技术：

随着移动智能终端的普及，移动智能终端上的恶意木马攻击与恶意木马检测技术也越来越受到人们的重视。恶意木马程序通过隐蔽植入用户设备，能够窃取用户存储在设备上的隐私信息，并发送给攻击者；同时，还会恶意消耗用户设备的资源，如cpu、内存、网络带宽、电池电量等，给用户带来严重的隐私威胁和资费消耗。

现有技术条件下，为了对抗恶意木马攻击技术，目前主流的木马检测手段主要有以下两种：静态检测和动态检测。

静态检测技术包括基于签名的检测技术和基于应用程序代码的检测技术；其中，基于签名的检测技术通过构建恶意木马特征库，对移动终端安装的应用程序进行扫描和匹配分析，对符合条件的应用程序进行提醒和卸载；而基于应用程序代码的静态检测技术通常指在不实际执行应用程序的情况下，通过分析程序源代码和二进制文件，提取应用权限和api调用等信息实现检测。但是，基于签名的静态检测技术依赖于根据已经被识别的木马或者恶意应用产生的恶意木马特征库，对于新的木马或者恶意应用的识别往往具有严重的滞后性。

动态检测技术需要真实执行应用程序，获取其输出或内部状态等信息进行分析，动态检测通常是在真实或虚拟的测试环境(即沙箱)当中进行，借助各种条件对恶意木马样本进行激活，通过对运行过程中样本产生的所有行为模式监控，观察其执行流程及数据变化，从而判断其安全性，尽管动态检测技术能够有效降低恶意木马程序代码混淆和加密造成的干扰，但是动态检测需要捕获大量的数据，占用存储空间，并且检测维度单一。

综上所述，无论是当前静态检测还是动态检测都对恶意木马的检测准确性一定的影响。因此，如何提出一种恶意木马检测处理方法提高恶意木马检测的准确性是目前业界亟待解决的重要课题。

技术实现要素：

针对现有技术中的缺陷，本发明实施例提供一种恶意木马检测处理方法及装置。

一方面，本发明实施例提供一种恶意木马检测处理方法，包括：

获取待检测应用程序的多维行为数据，所述多维行为数据包括应用行为日志、通信行为日志和网络流量数据信息；

根据所述多维行为数据，通过恶意木马检测模型对所述待检测应用程序进行恶意木马检测处理，获得所述待检测应用程序的安全性检测结果；所述恶意木马检测模型是根据多个应用程序的历史多维行为数据进行训练获得的。

另一方面，本发明实施例提供一种恶意木马检测处理装置，包括：

获取单元，用于获取待检测应用程序的多维行为数据，所述多维行为数据包括应用行为日志、通信行为日志和网络流量数据；

检测单元，用于根据所述多维行为数据，通过恶意木马检测模型对所述待检测应用程序进行恶意木马检测处理，获得所述待检测应用程序的安全性检测结果；所述恶意木马检测模型是根据多个应用程序的历史多维行为数据进行训练获得的。

又一方面，本发明实施例提供一种电子设备，包括处理器、存储器和总线，其中：

处理器，存储器通过总线完成相互间的通信；

处理器可以调用存储器中的计算机程序，以执行上述方法的步骤。

再一方面，本发明实施例提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述方法的步骤。

本发明实施例提供的恶意木马检测处理方法及装置，通过根据获取到的待检测应用程序的多维行为数据，利用训练获得的恶意木马检测模型对所述待检测应用程序进行恶意木马检测处理，获得所述待检测应用程序的安全性检测结果，提高了恶意木马检测的准确性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的恶意木马检测处理方法的流程示意图；

图2为本发明实施例提供的恶意木马检测处理方法的整体流程示意图；

图3为本发明一实施例提供的恶意木马检测处理装置的结构示意图；

图4为本发明另一实施例提供的恶意木马检测处理装置的结构示意图；

图5为本发明实施例提供的电子设备实体装置结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例提供的恶意木马检测处理方法的流程示意图，如图1所示，本实施例提供一种恶意木马检测处理方法，包括：

s101、获取待检测应用程序的多维行为数据，所述多维行为数据包括应用行为日志、通信行为日志和网络流量数据信息；

具体地，恶意木马检测处理装置获取移动终端的待检测应用程序的多维行为数据，所述多维行为数据包括应用行为日志、通信行为日志和网络流量数据信息，还可以包括其他维度的行为数据，具体可以根据实际情况进行调整，此处不做具体限定。应当说明的是，所述移动终端内设置有用于采集所述应用行为日志的终端信息采集模块、用于采集所述通信行为日志的基站采集模块和用于采集网络流量数据信息的分布式无线局域网信息采集模块；所述装置可以是意木马检测处理云平台，若所述移动终端连接wifi，则所述云平台可以实时获取所述多维行为数据。

s102、根据所述多维行为数据，通过恶意木马检测模型对所述待检测应用程序进行恶意木马检测处理，获得所述待检测应用程序的安全性检测结果；所述恶意木马检测模型是根据多个应用程序的历史多维行为数据进行训练获得的；

具体地，所述装置将所述移动终端的待检测应用程序的所述多维行为数据，输入恶意木马检测模型，对所述待检测应用程序进行恶意木马检测处理，所述恶意木马检测模型输出所述待检测应用程序的安全性检测结果。其中，所述恶意木马检测模型是根据多个应用程序的历史多维行为数据进行训练获得的。可以理解的是，所述安全性检测结果为所述待检测应用程序为安全应用程序或所述待检测应用程序为恶意应用程序。可以理解的是，所述装置还可以将所述安全性检测结果发送至所述移动终端，以使得所述终端根据所述安全性检测结果对安全应用程序进行继续运行，或者，对恶意应用程序进行卸载。

本发明实施例提供的恶意木马检测处理方法，通过根据获取到的移动终端的待检测应用程序的多维行为数据，利用训练获得的恶意木马检测模型对所述待检测应用程序进行恶意木马检测处理，获得所述待检测应用程序的安全性检测结果提高了恶意木马检测的准确性。

在上述实施例的基础上，进一步地，所述应用行为日志为移动终端通过内置的终端信息采集模块采集并上报的；所述通信行为日志所述移动终端通过内置的基站采集模块采集并上报的；所述网络流量数据信息为所述移动终端通过内置的分布式无线局域网信息采集模块采集并上报的。

具体地，所述移动终端通过内部设置的终端信息采集模块所述待检测应用程序的应用行为日志，并通过资源信息获取接口上报至所述装置；所述移动终端通过内部设置的基站采集模块所述待检测应用程序的通信行为日志，并通过资源信息获取接口上报至所述装置；所述移动终端通过内部设置的分布式无线局域网信息采集模块所述待检测应用程序的网络流量数据信息，并通过资源信息获取接口上报至所述装置。可以理解的是，所述待检测应用程序的应用行为日志包括：通话录音、本地录音、设备(蓝牙、摄像头)操作等应用行为的日志；所述通信行为日志包括：拨打电话、发送短息或彩信等通信行为的日志；所述网络流量数据信息包括发送邮件、移动网络连接和无线局域网络连接等网络操作行为的流量数据信息，具体均可以根据实际情况进行调整，此处不做具体限定。

在上述实施例的基础上，进一步地，所述方法还包括：

采集多个应用程序的历史多维行为数据；所述多个应用程序包括安全应用程序和恶意应用程序；

根据所述历史多维行为数据和所述多个应用程序的安全属性，通过机器学习算法对所述多维行为数据进行训练计算，获得所述恶意木马检测模型。

具体地，所述装置预先采集多个应用程序的历史多维行为数据；所述多个应用程序包括安全应用程序和恶意应用程序，根据所述历史多维行为数据和所述多个应用程序的安全属性，通过机器学习算法对所述多维行为数据进行训练计算，获得所述恶意木马检测模型。应当说明的是，对于所述应用程序的历史多为行为数据的数量，此处不做具体限定，但为了提高所述恶意木马检测模型的可靠性，应当尽可能多地采集多个应用程序的历史多维行为数据。

在上述实施例的基础上，进一步地，所述根据所述历史多维行为数据和所述多个应用程序的安全属性，通过机器学习算法对所述多维行为数据进行训练计算，包括：

若判断获知应用程序为安全应用程序，则分别将所述应用程序的应用行为日志、通信行为日志和网络流量数据信息储存入安全行为数据库；否则，储存入恶意行为数据库；

根据所述安全行为数据库和所述恶意行为数据库，通过机器学习算法对所述多维行为数据进行训练计算。

具体地，所述装置若判断获知所述预先采集的应用程序为安全应用程序，则将分别将所述应用程序的应用行为日志、通信行为日志和网络流量数据信息储存入安全行为数据库；若判断获知所述预先采集的应用程序为恶意应用程序，则将分别将所述应用程序的应用行为日志、通信行为日志和网络流量数据信息储存入恶意行为数据库，然后，所述装置根据所述安全行为数据库和所述恶意行为数据库，通过机器学习算法对所述多维行为数据进行训练计算，获得所述恶意木马检测模型。应当说明的是，所述机器学习算法包括支持向量机算法、朴素贝叶斯算法和深度学习算法，还可以包括其他机器学习算法，具体可以根据实际情况进行调整，此处不做具体限定。

图2为本发明实施例提供的恶意木马检测处理方法的整体流程示意图，如图2所示，本发明实施例提供的意木马检测处理方法具体包括以下步骤：

s201、获取待检测应用程序的应用行为日志；所述装置获取所述待检测应用程序的应用行为日志，所述应用行为日志为所述移动终端通过内置的终端信息采集模块采集并上报的；然后，执行步骤s202；

s202、获取待检测应用程序的通信行为日志；所述装置获取所述待检测应用程序的通信行为日志，所述通信行为日志所述移动终端通过内置的基站采集模块采集并上报的；然后，执行步骤s203；

s203、获取待检测应用程序的网络流量数据信息；所述装置获取所述待检测应用程序的网络流量数据信息，所述网络流量数据信息为所述移动终端通过内置的分布式无线局域网信息采集模块采集并上报的；然后，执行步骤s204；

s204、输入恶意木马检测模型；所述装置将所述待检测应用程序的应用行为日志、通信行为日志和网络流量数据信息输入预先训练获得的所述恶意木马检测模型；然后，执行步骤s205；

s205、输出所述待检测应用程序的安全性检测结果；所述恶意木马检测模型输出所述待检测应用程序安全性检测结果，所述安全性检测结果为所述待检测应用程序为安全应用程序或所述待检测应用程序为恶意应用程序；然后，执行步骤s206；

s206、将所述安全性检测结果发送至所述移动终端；所述装置将所述安全性检测结果发送至所述移动终端，以使得所述终端根据所述安全性检测结果对安全应用程序进行继续运行，或者，对恶意应用程序进行卸载。

本发明实施例提供的恶意木马检测处理方法，通过根据获取到的移动终端的待检测应用程序的多维行为数据，利用训练获得的恶意木马检测模型对所述待检测应用程序进行恶意木马检测处理，获得所述待检测应用程序的安全性检测结果，提高了恶意木马检测的准确性。

图3为本发明一实施例提供的恶意木马检测处理装置的结构示意图，如图3所示，本发明实施例提供一种恶意木马检测处理装置，包括：获取单元301和检测单元302，其中：

获取单元301用于获取待检测应用程序的多维行为数据，所述多维行为数据包括应用行为日志、通信行为日志和网络流量数据；检测单元302用于根据所述多维行为数据，通过恶意木马检测模型对所述待检测应用程序进行恶意木马检测处理，获得所述待检测应用程序的安全性检测结果；所述恶意木马检测模型是根据多个应用程序的历史多维行为数据进行训练获得的。

具体地，获取单元301获取移动终端的待检测应用程序的多维行为数据，所述多维行为数据包括应用行为日志、通信行为日志和网络流量数据信息，还可以包括其他维度的行为数据，具体可以根据实际情况进行调整，此处不做具体限定。检测单元302将所述移动终端的待检测应用程序的所述多维行为数据，输入恶意木马检测模型，对所述待检测应用程序进行恶意木马检测处理，所述恶意木马检测模型输出所述待检测应用程序的安全性检测结果；其中，所述恶意木马检测模型是根据多个应用程序的历史多维行为数据进行训练获得的。

应当说明的是，所述移动终端内设置有用于采集所述应用行为日志的终端信息采集模块、用于采集所述通信行为日志的基站采集模块和用于采集网络流量数据信息的分布式无线局域网信息采集模块；所述装置可以是意木马检测处理云平台，若所述移动终端连接wifi，则所述云平台可以实时获取所述多维行为数据。可以理解的是，所述安全性检测结果为所述待检测应用程序为安全应用程序或所述待检测应用程序为恶意应用程序；所述装置还可以将所述安全性检测结果发送至所述移动终端，以使得所述终端根据所述安全性检测结果对安全应用程序进行继续运行，或者，对恶意应用程序进行卸载。

本发明实施例提供的恶意木马检测处理装置，通过根据获取到的移动终端的待检测应用程序的多维行为数据，利用训练获得的恶意木马检测模型对所述待检测应用程序进行恶意木马检测处理，获得所述待检测应用程序的安全性检测结果提高了恶意木马检测的准确性。

在上述实施例的基础上，进一步地，所述应用行为日志为移动终端通过内置的终端信息采集模块采集并上报的；所述通信行为日志内置的基站采集模块采集并上报的；所述网络流量数据内置的分布式无线局域网信息采集模块采集并上报的。

具体地，所述移动终端通过内部设置的终端信息采集模块所述待检测应用程序的应用行为日志，并通过资源信息获取接口上报至获取单元301；所述移动终端通过内部设置的基站采集模块所述待检测应用程序的通信行为日志，并通过资源信息获取接口上报至获取单元301；所述移动终端通过内部设置的分布式无线局域网信息采集模块所述待检测应用程序的网络流量数据信息，并通过资源信息获取接口上报至获取单元301。可以理解的是，所述待检测应用程序的应用行为日志包括：通话录音、本地录音、设备(蓝牙、摄像头)操作等应用行为的日志；所述通信行为日志包括：拨打电话、发送短息或彩信等通信行为的日志；所述网络流量数据信息包括发送邮件、移动网络连接和无线局域网络连接等网络操作行为的流量数据信息，具体均可以根据实际情况进行调整，此处不做具体限定。

图4为本发明另一实施例提供的恶意木马检测处理装置的结构示意图，如图4所示，本发明实施例提供的恶意木马检测处理装置在获取单元401和检测单元402的基础上还包括采集单元403和训练单元404，获取单元401和检测单元402与上述实施例中的获取单元301和检测单元302一致，其中：

采集单元403用于采集多个应用程序的历史多维行为数据；所述多个应用程序包括安全应用程序和恶意应用程序；训练单元404用于根据所述历史多维行为数据和所述多个应用程序的安全属性，通过机器学习算法对所述多维行为数据进行训练计算，获得所述恶意木马检测模型。

具体地，采集单元403预先采集多个应用程序的历史多维行为数据；所述多个应用程序包括安全应用程序和恶意应用程序，训练单元404根据所述历史多维行为数据和所述多个应用程序的安全属性，通过机器学习算法对所述多维行为数据进行训练计算，获得所述恶意木马检测模型。应当说明的是，对于所述应用程序的历史多为行为数据的数量，此处不做具体限定，但为了提高所述恶意木马检测模型的可靠性，应当尽可能多地采集多个应用程序的历史多维行为数据。

在上述实施例的基础上，进一步地，训练单元404具体用于：

若判断获知应用程序为安全应用程序，则分别将所述应用程序的应用行为日志、通信行为日志和网络流量数据信息储存入安全行为数据库；否则，储存入恶意行为数据库；

根据所述安全行为数据库和所述恶意行为数据库，通过机器学习算法对所述多维行为数据进行训练计算。

具体地，训练单元404若判断获知所述预先采集的应用程序为安全应用程序，则将分别将所述应用程序的应用行为日志、通信行为日志和网络流量数据信息储存入安全行为数据库；训练单元404若判断获知所述预先采集的应用程序为恶意应用程序，则将分别将所述应用程序的应用行为日志、通信行为日志和网络流量数据信息储存入恶意行为数据库，然后，训练单元404根据所述安全行为数据库和所述恶意行为数据库，通过机器学习算法对所述多维行为数据进行训练计算，获得所述恶意木马检测模型。应当说明的是，所述机器学习算法包括支持向量机算法、朴素贝叶斯算法和深度学习算法，还可以包括其他机器学习算法，具体可以根据实际情况进行调整，此处不做具体限定。

本发明实施例提供的恶意木马检测处理装置，通过根据获取到的移动终端的待检测应用程序的多维行为数据，利用训练获得的恶意木马检测模型对所述待检测应用程序进行恶意木马检测处理，获得所述待检测应用程序的安全性检测结果，并将所述安全性检测结果发送至所述移动终端，提高了恶意木马检测的准确性。

本发明提供的装置的实施例具体可以用于执行上述各方法实施例的处理流程，其功能在此不再赘述，可以参照上述方法实施例的详细描述。

图5为本发明实施例提供的电子设备实体装置结构示意图，如图5所示，该电子设备可以包括：处理器(processor)501、存储器(memory)502和总线503，其中，处理器501，存储器502通过总线803完成相互间的通信。处理器501可以调用存储器802中的计算机程序，以执行如下方法：获取待检测应用程序的多维行为数据，所述多维行为数据包括应用行为日志、通信行为日志和网络流量数据信息；根据所述多维行为数据，通过恶意木马检测模型对所述待检测应用程序进行恶意木马检测处理，获得所述待检测应用程序的安全性检测结果；所述恶意木马检测模型是根据多个应用程序的历史多维行为数据进行训练获得的。

本发明实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：获取待检测应用程序的多维行为数据，所述多维行为数据包括应用行为日志、通信行为日志和网络流量数据信息；根据所述多维行为数据，通过恶意木马检测模型对所述待检测应用程序进行恶意木马检测处理，获得所述待检测应用程序的安全性检测结果；所述恶意木马检测模型是根据多个应用程序的历史多维行为数据进行训练获得的。

本发明实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机程序，所述计算机程序使所述计算机执行上述各方法实施例所提供的方法，例如包括：获取待检测应用程序的多维行为数据，所述多维行为数据包括应用行为日志、通信行为日志和网络流量数据信息；根据所述多维行为数据，通过恶意木马检测模型对所述待检测应用程序进行恶意木马检测处理，获得所述待检测应用程序的安全性检测结果；所述恶意木马检测模型是根据多个应用程序的历史多维行为数据进行训练获得的。

此外，上述的存储器503中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所描述的装置的实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。