本發明公開了一種用于識別惡意應用程序的方法、裝置、設備及存儲介質。該方法通過獲取目標應用程序的動態行為數據，其中，動態行為數據為通過在沙箱環境中運行目標應用程序并對應用程序在運行過程中的行為進行監控，得到的行為數據，進而采用預先訓練好的卷積神經網絡對動態行為數據進行特征提取，獲得目標動態向量，并基于目標動態向量，得到目標應用程序的惡意檢測結果，有利于得到更準確的應用程序惡意檢測結果。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種用于識別惡意應用程序的方法、裝置、設備及存儲介質。

背景技術

隨著互聯網技術的不斷發展，應用程序在人們的工作和生活中的使用越來越廣泛。但是隨著應用程序的廣泛使用，諸多潛在的安全問題也逐漸暴露出來。近年來，根據不同殺毒軟件廠商的調查報告，攜帶病毒的應用程序正在成倍的增長。安裝這些攜帶病毒的應用程序后，病毒會破壞計算機系統或者在計算機系統上執行不良行為，如中斷計算機操作，收集敏感信息，繞過訪問控制，非法訪問私人計算機以及顯示各種廣告信息等。因此，為了保證安裝的應用程序的安全性，對應用程序是否攜帶病毒的識別就極為重要。

現有的應用程序的病毒檢測方法是通過標記已知的惡意代碼來創建惡意代碼庫，進而通過惡意代碼匹配的方式，得到檢測結果。但是這種方式需要不斷人為去更新惡意代碼庫，很容易被繞過，存在惡意應用的識別準確度不高的技術問題。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的一種用于識別惡意應用程序的方法、裝置、設備及存儲介質。

第一方面，本發明實施例提供了一種用于識別惡意應用程序的方法，所述方法包括：獲取目標應用程序的動態行為數據，所述動態行為數據為通過在沙箱環境中運行所述目標應用程序并對所述應用程序在運行過程中的行為進行監控，得到的行為數據；采用預先訓練好的卷積神經網絡對所述動態行為數據進行特征提取，獲得目標動態向量，并基于所述目標動態向量，得到所述目標應用程序的惡意檢測結果。

進一步地，所述在沙箱環境中運行所述目標應用程序，包括：在所述目標應用程序在沙箱中運行過程中，模擬用戶的操作，以觸發所述目標應用程序產生行為數據。

進一步地，所述獲取目標應用程序的動態行為數據，包括：根據預設打樁點，獲取所述目標應用程序在沙箱中運行過程中的動態行為數據，其中，所述預設打樁點為通過對電子設備的目標系統服務進行打樁處理得到的打樁點。

進一步地，所述采用預先訓練好的卷積神經網絡對所述動態行為數據進行特征提取，獲得目標動態向量，包括：將所述動態行為數據轉化為向量表示的第一動態向量序列；將所述第一動態向量序列分批次輸入所述卷積神經網絡進行特征提取，獲得目標動態向量。

進一步地，所述將所述第一動態向量序列分批次輸入所述卷積神經網絡，包括：按照預設的批次長度和間隔參數，將所述第一動態向量序列分批次輸入所述卷積神經網絡，其中，每批次第一動態向量的向量數量等于所述批次長度，相鄰批次的第一動態向量的起始向量之間間隔的向量數量等于所述間隔參數，所述批次長度大于所述間隔參數。

進一步地，所述采用預先訓練好的卷積神經網絡對所述動態行為數據進行特征提取，獲得目標動態向量，包括：將所述動態行為數據轉化為向量表示的第一動態向量序列；將所述第一動態向量序列中的每條向量預訓練為采用其周邊向量進行描述的向量，生成第二動態向量序列；采用所述卷積神經網絡對所述第二動態向量序列進行特征提取，獲得目標動態向量。

進一步地，所述采用預先訓練好的卷積神經網絡對所述動態行為數據進行特征提取，獲得目標動態向量，包括：根據預設的病毒特征，篩除所述動態行為數據中與所述病毒特征不匹配的無意義數據；采用所述卷積神經網絡對篩除所述無意義數據后的所述動態行為數據進行特征提取，獲得目標動態向量。