本申請公開了一種基于機器學習的惡意軟件檢測方法、裝置、存儲介質。基于機器學習的惡意軟件檢測方法包括：獲取待檢測軟件的配置文件,所述配置文件為XML文件；提取所述配置文件中的特征數據；根據所述特征數據生成特征向量；將所述特征向量輸入到已構建的分類模型；接收所述分類模型根據所述特征向量輸出的分類結果。通過獲取待檢測軟件中的配置文件，對配置文件中的數據信息進行處理后，使用分類模型進行分類，得到分類結果，從而判斷待檢測軟件是否為惡意軟件，在不需要代碼逆向的條件下具有較高的檢測準確性。

技術領域

本申請涉及惡意軟件監測領域，尤其是涉及一種基于機器學習的惡意軟件檢測方法、裝置、存儲介質。

背景技術

安卓系統是當下使用范圍較廣的一種開源的操作系統，但由于其應用程序不需要經過任何審查就可以上傳到市場上，供用戶下載使用，因此存在著更高的安全風險，很多惡意軟件會利用移動設備獲取用戶資料，或者進行惡意扣費和系統破壞。相關技術中，在惡意軟件的靜態檢測方法中，有基于代碼逆向的檢測方式，此種方法需逆向classes.dex后分析程序代碼，比如通過入口函數對軟件進行代碼分析，生成敏感系統調用序列，但如果惡意軟件中增加防逆向代碼保護措施，就會導致獲取不到軟件代碼，無法進行有效識別。

發明內容

本申請旨在至少解決現有技術中存在的技術問題之一。為此，本申請提出一種基于機器學習的惡意軟件檢測方法，不需要進行代碼逆向，就可以對惡意軟件進行識別。

根據本申請的第一方面實施例的基于機器學習的惡意軟件檢測方法，包括：獲取待檢測軟件的配置文件,所述配置文件為XML文件；提取所述配置文件中的特征數據；根據所述特征數據生成特征向量；將所述特征向量輸入到已構建的分類模型；接收所述分類模型根據所述特征向量輸出的分類結果。

根據本申請實施例的基于機器學習的惡意軟件檢測方法，至少具有如下有益效果：通過獲取待檢測軟件中的配置文件，對配置文件中的數據信息進行處理后，使用分類模型進行分類，得到分類結果，從而判斷待檢測軟件是否為惡意軟件，在不需要代碼逆向的條件下具有較高的檢測準確性。

根據本申請的一些實施例，所述特征數據至少包括以下兩種數據：使用權限數據、Activity數據、Service數據、Receiver數據。

根據本申請的一些實施例，所述根據所述特征數據生成特征向量，具體為：將所述特征數據中的干擾特征進行去除，得到所述特征向量。

根據本申請的一些實施例，所述特征向量為采用哈希算法得到的哈希值。

根據本申請的一些實施例，基于機器學習的惡意軟件檢測方法還包括：構建所述分類模型，具體包括：基于聚類算法對所述特征向量進行分類，得到分類數據集；對所述分類數據集進行降維，得到特征數據集；通過線性分類算法處理所述特征數據集，得到所述分類模型。

根據本申請的一些實施例，所述聚類算法為K-means聚類算法。

根據本申請的一些實施例，所述線性分類算法為SVM算法。

根據本申請的第二方面實施例的軟件檢測裝置，包括：獲取模塊，用于獲取待檢測軟件的配置文件，所述配置文件為XML文件；特征提取模塊，用于提取所述配置文件中的特征數據；特征向量生成模塊，用于根據所述特征數據生成特征向量；輸入模塊，用于將所述特征向量輸入到已構建的分類模型；接收模塊，用于接收所述分類模型根據所述特征向量輸出的分類結果。

根據本申請的第三方面實施例的軟件檢測裝置，包括：存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序，所述處理器執行所述程序時實現：上述第一方面實施例所述的基于機器學習的惡意軟件檢測方法。

根據本申請的第四方面實施例的計算機可讀存儲介質，所述計算機可讀存儲介質存儲有計算機可執行指令，所述計算機可執行指令用于：執行上述第一方面實施例所述的基于機器學習的惡意軟件檢測方法。