恶意应用检测方法、装置、计算机设备和存储介质与流程

本申请涉及人工智能，特别是涉及一种恶意应用检测方法、装置、计算机设备和存储介质。

背景技术：

1、随着手机应用软件层出不穷，一些恶意应用也随之产生，这些恶意应用能够对手机中的应用软件进行数据窃取或恶意攻击等行为，特别是对于金融类应用，有些恶意应用能够从金融类应用中窃取账户资金，严重影响应用使用过程中的安全性。因此，对恶意应用进行检测非常重要。

2、传统方法中，一般是通过对手机应用的静态文件进行检测，来确定是否存在恶意应用。然而，静态文件能够提供的信息较为片面，导致对恶意应用进行检测的敏感度不高。

技术实现思路

1、基于此，有必要针对上述技术问题，提供一种能够提高检测的敏感度的恶意应用检测方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。

2、第一方面，本申请提供了一种恶意应用检测方法。所述方法包括：

3、获取终端的内存数据和目标应用的网络流量数据；

4、将所述内存数据转换为一维向量，得到内存向量数据；

5、将所述网络流量数据转换为一维向量，得到流量向量数据；

6、对所述内存向量数据和所述流量向量数据进行位置编码；

7、对位置编码后的内存向量数据和流量向量数据进行恶意应用检测，以确定是否存在针对所述目标应用的恶意应用。

8、第二方面，本申请还提供了一种恶意应用检测装置。所述装置包括：

9、数据获取模块，用于获取终端的内存数据和目标应用的网络流量数据；

10、内存数据转换模块，用于将所述内存数据转换为一维向量，得到内存向量数据；

11、流量数据转换模块，用于将所述网络流量数据转换为一维向量，得到流量向量数据；

12、位置编码模块，用于对所述内存向量数据和所述流量向量数据进行位置编码；

13、检测模块，用于对位置编码后的内存向量数据和流量向量数据进行恶意应用检测，以确定是否存在针对所述目标应用的恶意应用。

14、在其中一个实施例中，所述内存数据转换模块还用于对所述内存数据进行进制转换，得到所述内存数据对应的向量值；将各所述向量值进行组合，生成内存向量数据。

15、在其中一个实施例中，所述流量数据转换模块还用于从所述网络流量数据中提取目标特征数据；对所述目标特征数据进行形式转换；将形式转换后的目标特征数据进行组合，生成流量向量数据。

16、在其中一个实施例中，所述流量数据转换模块还用于将所述目标特征数据按照时间顺序进行排列；将排列后的目标特征数据按照预设规则进行形式转换，以转换所述目标特征数据的表示形式；将形式转换后的目标特征数据按照排列顺序进行组合，生成流量向量数据。

17、在其中一个实施例中，所述位置编码模块还用于根据所述内存向量数据和所述流量向量数据中的待编码数据的位置信息、以及位置编码的目标维度，确定每个所述待编码数据的位置编码结果；根据所述内存向量数据和所述流量向量数据和相应的所述位置编码结果，确定位置编码后的内存向量数据和流量向量数据。

18、在其中一个实施例中，所述恶意应用检测是通过恶意应用检测模型执行的；所述装置还包括：

19、模型训练模块，用于获取样本内存数据、样本流量数据和相应的恶意应用标签；分别确定所述样本内存数据和所述样本流量数据的位置编码结果；将所述位置编码结果输入至待训练的恶意应用检测模型中，得到预测的恶意应用检测结果；根据所述预测的恶意应用检测结果和所述恶意应用标签之间的差异，迭代调整所述待训练的恶意应用检测模型的模型参数，直至满足迭代停止条件，得到训练完成的恶意应用检测模型。

20、在其中一个实施例中，所述模型训练模块还用于朝着使损失函数的值减小的方向，迭代调整所述待训练的恶意应用检测模型的模型参数，直至满足迭代停止条件，得到训练完成的恶意应用检测模型；

21、其中，所述损失函数，是根据第一乘积与第二乘积之和确定的；所述第一乘积，是根据类别权重、所述恶意应用标签和所述预测的恶意应用检测结果中是恶意应用的概率确定的；所述第二乘积，是根据所述恶意应用标签的反标签和所述预测的恶意应用检测结果中不是恶意应用的概率确定的；所述类别权重，用于调整所述样本内存数据和所述样本流量数据的影响程度。

22、第三方面，本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器中存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行本申请各实施例所述的恶意应用检测方法中的步骤。

23、第四方面，本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行本申请各实施例所述的恶意应用检测方法中的步骤。

24、第五方面，本申请还提供了一种计算机程序产品。所述计算机程序产品，包括计算机程序，该计算机程序被处理器执行时，使得所述处理器执行本申请各实施例所述的恶意应用检测方法中的步骤。

25、上述恶意应用检测方法、装置、计算机设备、存储介质和计算机程序产品，使用终端的内存数据和目标应用的网络流量数据这些动态变化的数据，能够更加敏感地检测出是否存在恶意应用，而且将内存数据和网络流量数据分别转换为一维向量，得到内存向量数据和流量向量数据，能够将内存数据和网络流量数据统一成一种表示方式进行位置编码，对位置编码后的内存向量数据和流量向量数据进行恶意应用检测，能够更加敏感地确定是否存在针对目标应用的恶意应用。

技术特征：

1.一种恶意应用检测方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述将所述内存数据转换为一维向量，得到内存向量数据包括：

3.根据权利要求1所述的方法，其特征在于，所述将所述网络流量数据转换为一维向量，得到流量向量数据包括：

4.根据权利要求3所述的方法，其特征在于，所述对所述目标特征数据进行形式转换包括：

5.根据权利要求1所述的方法，其特征在于，所述对所述内存向量数据和所述流量向量数据进行位置编码包括：

6.根据权利要求1至5中任一项所述的方法，其特征在于，所述恶意应用检测是通过恶意应用检测模型执行的；所述恶意应用检测模型的训练步骤包括：

7.根据权利要求6所述的方法，其特征在于，所述根据所述预测的恶意应用检测结果和所述恶意应用标签之间的差异，迭代调整所述待训练的恶意应用检测模型的模型参数，直至满足迭代停止条件，得到训练完成的恶意应用检测模型包括：

8.一种恶意应用检测装置，其特征在于，所述装置包括：

9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。

11.一种计算机程序产品，包括计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。

技术总结
本申请涉及人工智能技术领域，并涉及一种恶意应用检测方法、装置、计算机设备和存储介质。所述方法包括：获取终端的内存数据和目标应用的网络流量数据；将所述内存数据转换为一维向量，得到内存向量数据；将所述网络流量数据转换为一维向量，得到流量向量数据；对所述内存向量数据和所述流量向量数据进行位置编码；对位置编码后的内存向量数据和流量向量数据进行恶意应用检测，以确定是否存在针对所述目标应用的恶意应用。采用本方法能够提高恶意应用检测的敏感度。

技术研发人员：杨碧云
受保护的技术使用者：中国银行股份有限公司
技术研发日：
技术公布日：2024/1/15