CN106682516A - 应用程序的检测方法、检测装置和服务器 - Google Patents

应用程序的检测方法、检测装置和服务器 Download PDF

Info

Publication number
CN106682516A
CN106682516A CN201611213206.8A CN201611213206A CN106682516A CN 106682516 A CN106682516 A CN 106682516A CN 201611213206 A CN201611213206 A CN 201611213206A CN 106682516 A CN106682516 A CN 106682516A
Authority
CN
China
Prior art keywords
application program
classification
system call
call function
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201611213206.8A
Other languages
English (en)
Inventor
李宸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yulong Computer Telecommunication Scientific Shenzhen Co Ltd
Original Assignee
Yulong Computer Telecommunication Scientific Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yulong Computer Telecommunication Scientific Shenzhen Co Ltd filed Critical Yulong Computer Telecommunication Scientific Shenzhen Co Ltd
Priority to CN201611213206.8A priority Critical patent/CN106682516A/zh
Publication of CN106682516A publication Critical patent/CN106682516A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提出了一种应用程序的检测方法、检测装置和服务器,其中,所述应用程序的检测方法包括:获取多个类别中的每个类别的应用程序执行多个系统调用函数中的每个系统调用函数时的权值;根据所述权值,计算所述每个类别的应用程序的系统调用阈值;当安装的应用程序运行时,获取所述安装的应用程序对所述多个系统调用函数的当前使用值,并获取所述安装的应用程序所属的目标类别;根据所述当前使用值和所述目标类别的系统调用阈值,确定所述安装的应用程序是否为恶意应用程序。通过本发明的技术方案,可以更加全面地检测出安装的应用程序是否为恶意的应用程序。

Description

应用程序的检测方法、检测装置和服务器
技术领域
本发明涉及服务器技术领域,具体而言,涉及一种应用程序的检测方法、一种应用程序的检测装置和一种服务器。
背景技术
在相关技术中,可以从静态分析角度和动态分析角度来检测安装的应用程序是否为恶意应用程序。其中,当从静态分析角度来检测时,利用readelf工具静态抽取安装的应用程序的可执行链接格式文件(Executable and Linkable Format,ELF)的函数调用列表,抽取后使用分类算法进行分析,以判断安装的应用程序是否为恶意应用程序。
当从动态分析角度来检测时,在Android平台上实现了一个行为监测系统(Host-based Intrusion Detection System,HTDS),可以动态监测应用程序的各种特征和事件。例如,在安装的应用程序运行过程中自动生成输入日志,行为监测系统分析日志来检测安装的应用程序是否为恶意应用程序。
但是,静态分析角度和动态分析角度来检测安装的应用程序是否为恶意应用程序有如下的缺陷:(1)静态分析不能识别新出现的恶意行为特征,例如,一些恶意软件通过伪装、加壳、混淆、加密等方式改变软件特征,使得检测不够全面。(2)动态分析的代码覆盖率低,且容易出现漏报情况,也会导致动态分析检测不够全面。
因此,如何更加全面地检测出安装的应用程序是否为恶意的应用程序成为亟待解决的技术问题。
发明内容
本发明正是基于上述问题,提出了一种新的技术方案,可以更加全面地检测出安装的应用程序是否为恶意的应用程序。
有鉴于此,本发明的第一方面提出了一种应用程序的检测方法,包括:获取多个类别中的每个类别的应用程序执行多个系统调用函数中的每个系统调用函数时的权值;根据所述权值,计算所述每个类别的应用程序的系统调用阈值;当安装的应用程序运行时,获取所述安装的应用程序对所述多个系统调用函数的当前使用值,并获取所述安装的应用程序所属的目标类别;根据所述当前使用值和所述目标类别的应用程序的系统调用阈值,确定所述安装的应用程序是否为恶意应用程序。
在该技术方案中,通过计算每个类别的应用程序的系统调用阈值,并将安装的应用程序运行时执行系统调用函数的当前使用值与对应类别的应用程序的系统调用阈值进行比较,以确定安装的应用程序是否为恶意应用程序。由于同一类别的良性应用程序执行系统调用函数的当前使用值相比系统调用阈值而言比较小,因此,即使恶意应用程序通过伪装、加壳、混淆、加密等方式改变软件特征,根据应用程序执行系统调用函数的情况可以更加全面地检测出应用程序是否为恶意应用程序。另外,本方案的代码覆盖率比较高,可以避免动态分析时出现的漏报情况,进一步地保证了检测应用程序的全面性。而且依据安装的应用程序执行系统调用函数的情况进行动态监控,能有效地发现安装的应用程序出现恶意行为的变化,达到动态检测恶意应用程序的目的。
在上述技术方案中,优选地,所述获取多个类别中的每个类别的应用程序执行多个系统调用函数中的每个系统调用函数时的权值,具体包括:获取所述每个类别的应用程序在运行后的运行信息,其中,所述运行信息包括:所述每个类别的应用程序在运行后的多个时间段中的每个时间段内是否执行所述每个系统调用函数和所述每个类别的应用程序在所述每个时间段内执行所述每个系统调用函数的频率;根据所述运行信息,通过以下的公式计算所述每个类别的应用程序执行所述每个系统调用函数时的权值,W(Si,Rj)=Ui×[1-F(Si,Rj)]2,其中,Si表示所述多个系统调用函数中的第i个系统调用函数,Rj表示所述多个类别中的第j个类别的应用程序,W(Si,Rj)表示所述第j个类别的应用程序执行所述第i个系统调用函数时的所述权值,Ui表示在所述多个时间段中的任一时间段内,所述第j个类别的应用程序是否执行所述第i个系统调用函数,F(Si,Rj)表示在所述任一时间段内,所述第j个类别的应用程序执行所述第i个系统调用函数的频率。
在该技术方案中,根据每个类别的应用程序在多个时间段内是否执行系统调用函数以及执行系统调用函数的频率,计算出每个类别的应用程序执行系统调用函数时的权值,从而根据该权值可以准确地计算出每个类别的应用程序的系统调用阈值。
在上述任一技术方案中,优选地,所述根据所述权值,计算所述每个类别的应用程序的系统调用阈值,具体包括:根据所述权值,通过第一公式计算所述每个类别的应用程序对所述多个系统调用函数的使用值;根据所述每个类别的应用程序对所述多个系统调用函数的使用值,通过第二公式计算所述每个类别的应用程序的系统调用阈值,所述第一公式为:
所述第二公式为:
其中,M(Rj)表示所述第j个类别的应用程序对所述多个系统调用函数的使用值,X表示所述多个系统调用函数的个数,Y表示所述多个时间段的时间段数,N表示所述第j个类别的且参与M(Rj)的值计算的应用程序的个数,T(Rj)表示所述第j个类别的应用程序的系统调用阈值。
在上述任一技术方案中,优选地,所述获取多个类别中的每个类别的应用程序执行多个系统调用函数中的每个系统调用函数时的权值之前,还包括:获取多个应用程序中的每个应用程序的训练数据,其中,所述每个应用程序的训练数据包括:所述每个应用程序是否使用多个权限中的每个权限和所述每个应用程序的分类标签;使用SMO算法将所述多个应用程序中的每两个应用程序的训练数据进行比较,以将所述多个应用程序分成所述多个类别和确定类别函数表达式;以及所述获取所述安装的应用程序所属的目标类别,具体包括:根据所述类别函数表达式,确定所述目标类别。
在该技术方案中,通过获取待训练的每个应用程序使用权限的情况和每个应用程序的分类标签,该分类标签为标识应用程序为良性应用程序或者恶意应用程序的标签,以确定可以确定应用程序类别的类别函数表达式。当安装新的应用程序时,直接根据该类别函数表达式就可以准确地确定出安装的应用程序的类别,从而保证了检测安装的应用程序是否为恶意应用程序的检测结果的准确性。而且使用SMO算法不仅保证了类别函数表达式进行分类的准确率,还提高了数据处理的效率。
在上述任一技术方案中,优选地,所述获取多个应用程序中的每个应用程序的训练数据,具体包括:在所述每个应用程序的文件中提取XML格式的文件;对所述XML格式的文件进行分析,以获取所述每个应用程序的训练数据。
在该技术方案中,通过对每个应用程序的XML格式的文件进行分析,例如,XML格式的文件为Android Manifest.xml文件,以获取每个应用程序的使用权限情况和每个应用程序的分类标签,从而根据获取到的权限情况和分类标签得到对应用程序进行分类的类别函数表达式。
本发明的第二方面提出了一种应用程序的检测装置,包括:第一获取单元,用于获取多个类别中的每个类别的应用程序执行多个系统调用函数中的每个系统调用函数时的权值;计算单元,用于根据所述权值,计算所述每个类别的应用程序的系统调用阈值;第二获取单元,用于当安装的应用程序运行时,获取所述安装的应用程序对所述多个系统调用函数的当前使用值,并获取所述安装的应用程序所属的目标类别;确定单元,用于根据所述当前使用值和所述目标类别的应用程序的系统调用阈值,确定所述安装的应用程序是否为恶意应用程序。
在该技术方案中,通过计算每个类别的应用程序的系统调用阈值,并将安装的应用程序运行时执行系统调用函数的当前使用值与对应类别的应用程序的系统调用阈值进行比较,以确定安装的应用程序是否为恶意应用程序。由于同一类别的良性应用程序执行系统调用函数的当前使用值相比系统调用阈值而言比较小,因此,即使恶意应用程序通过伪装、加壳、混淆、加密等方式改变软件特征,根据应用程序执行系统调用函数的情况可以更加全面地检测出应用程序是否为恶意应用程序。另外,本方案的代码覆盖率比较高,可以避免动态分析时出现的漏报情况,进一步地保证了检测应用程序的全面性。而且依据安装的应用程序执行系统调用函数的情况进行动态监控,能有效地发现安装的应用程序出现恶意行为的变化,达到动态检测恶意应用程序的目的。
在上述技术方案中,优选地,所述第一获取单元包括:第一获取子单元,用于获取所述每个类别的应用程序在运行后的运行信息,其中,所述运行信息包括:所述每个类别的应用程序在运行后的多个时间段中的每个时间段内是否执行所述每个系统调用函数和所述每个类别的应用程序在所述每个时间段内执行所述每个系统调用函数的频率;计算子单元,用于根据所述运行信息,通过以下的公式计算所述每个类别的应用程序执行所述每个系统调用函数时的权值,W(Si,Rj)=Ui×[1-F(Si,Rj)]2,其中,Si表示所述多个系统调用函数中的第i个系统调用函数,Rj表示所述多个类别中的第j个类别的应用程序,W(Si,Rj)表示所述第j个类别的应用程序执行所述第i个系统调用函数时的所述权值,Ui表示在所述多个时间段中的任一时间段内,所述第j个类别的应用程序是否执行所述第i个系统调用函数,F(Si,Rj)表示在所述任一时间段内,所述第j个类别的应用程序执行所述第i个系统调用函数的频率。
在该技术方案中,根据每个类别的应用程序在多个时间段内是否执行系统调用函数以及执行系统调用函数的频率,计算出每个类别的应用程序执行系统调用函数时的权值,从而根据该权值可以准确地计算出每个类别的应用程序的系统调用阈值。
在上述任一技术方案中,优选地,所述计算单元具体用于,根据所述权值,通过第一公式计算所述每个类别的应用程序对所述多个系统调用函数的使用值,根据所述每个类别的应用程序对所述多个系统调用函数的使用值,通过第二公式计算所述每个类别的应用程序的系统调用阈值,所述第一公式为:
所述第二公式为:
其中,M(Rj)表示所述第j个类别的应用程序对所述多个系统调用函数的使用值,X表示所述多个系统调用函数的个数,Y表示所述多个时间段的时间段数,N表示所述第j个类别的且参与M(Rj)的值计算的应用程序的个数,T(Rj)表示所述第j个类别的应用程序的系统调用阈值。
在上述任一技术方案中,优选地,还包括:第三获取单元,用于获取多个应用程序中的每个应用程序的训练数据,其中,所述每个应用程序的训练数据包括:所述每个应用程序是否使用多个权限中的每个权限和所述每个应用程序的分类标签;处理单元,用于使用SMO算法将所述多个应用程序中的每两个应用程序的训练数据进行比较,以将所述多个应用程序分成所述多个类别和确定类别函数表达式;以及所述第二获取单元具体用于,根据所述类别函数表达式,确定所述目标类别。
在该技术方案中,通过获取待训练的每个应用程序使用权限的情况和每个应用程序的分类标签,该分类标签为标识应用程序为良性应用程序或者恶意应用程序的标签,以确定可以确定应用程序类别的类别函数表达式。当安装新的应用程序时,直接根据该类别函数表达式就可以准确地确定出安装的应用程序的类别,从而保证了检测安装的应用程序是否为恶意应用程序的检测结果的准确性。而且使用SMO算法不仅保证了类别函数表达式进行分类的准确率,还提高了数据处理的效率。
在上述任一技术方案中,优选地,所述第三获取单元包括:提取子单元,用于在所述每个应用程序的文件中提取XML格式的文件;第二获取子单元,用于对所述XML格式的文件进行分析,以获取所述每个应用程序的训练数据。
在该技术方案中,通过对每个应用程序的XML格式的文件进行分析,例如,XML格式的文件为Android Manifest.xml文件,以获取每个应用程序的使用权限情况和每个应用程序的分类标签,从而根据获取到的权限情况和分类标签得到对应用程序进行分类的类别函数表达式。
本发明的第三方面提出了一种服务器,包括上述技术方案中任一项所述的应用程序的检测装置,因此,该服务器具有和上述技术方案中任一项所述的应用程序的检测装置相同的技术效果,在此不再赘述。
通过本发明的技术方案,可以更加全面地检测出安装的应用程序是否为恶意的应用程序。
附图说明
图1示出了根据本发明的一个实施例的应用程序的检测方法的流程示意图;
图2示出了根据本发明的另一个实施例的应用程序的检测方法的流程示意图;
图3示出了根据本发明的一个实施例的应用程序的检测装置的结构示意图;
图4示出了根据本发明的一个实施例的服务器的结构示意图;
图5示出了根据本发明的另一个实施例的服务器的结构示意图。
具体实施方式
为了可以更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出了根据本发明的一个实施例的应用程序的检测方法的流程示意图。
如图1所示,根据本发明的一个实施例的应用程序的检测方法,包括:
步骤102,获取多个类别中的每个类别的应用程序执行多个系统调用函数中的每个系统调用函数时的权值。
其中,多个系统调用函数包括但不限于以下的多种组合:open、access、recv、recvmsg、read、write、send、sendmsg、clone、close、sendto、recvfrom、execve、ioctl、brk、sbrk、chmod、chown。
步骤104,根据所述权值,计算所述每个类别的应用程序的系统调用阈值。
步骤106,当安装的应用程序运行时,获取所述安装的应用程序对所述多个系统调用函数的当前使用值,并获取所述安装的应用程序所属的目标类别。
步骤108,根据所述当前使用值和所述目标类别的应用程序的系统调用阈值,确定所述安装的应用程序是否为恶意应用程序。
在该技术方案中,通过计算每个类别的应用程序的系统调用阈值,并将安装的应用程序运行时执行系统调用函数的当前使用值与对应类别的应用程序的系统调用阈值进行比较,以确定安装的应用程序是否为恶意应用程序。由于同一类别的良性应用程序执行系统调用函数的当前使用值相比系统调用阈值而言比较小,因此,即使恶意应用程序通过伪装、加壳、混淆、加密等方式改变软件特征,根据应用程序执行系统调用函数的情况可以更加全面地检测出应用程序是否为恶意应用程序。另外,本方案的代码覆盖率比较高,可以避免动态分析时出现的漏报情况,进一步地保证了检测应用程序的全面性。而且依据安装的应用程序执行系统调用函数的情况进行动态监控,能有效地发现安装的应用程序出现恶意行为的变化,达到动态检测恶意应用程序的目的。
在上述技术方案中,优选地,步骤102具体包括:获取所述每个类别的应用程序在运行后的运行信息,其中,所述运行信息包括:所述每个类别的应用程序在运行后的多个时间段中的每个时间段内是否执行所述每个系统调用函数和所述每个类别的应用程序在所述每个时间段内执行所述每个系统调用函数的频率;根据所述运行信息,通过以下的公式计算所述每个类别的应用程序执行所述每个系统调用函数时的权值,W(Si,Rj)=Ui×[1-F(Si,Rj)]2,其中,Si表示所述多个系统调用函数中的第i个系统调用函数,Rj表示所述多个类别中的第j个类别的应用程序,W(Si,Rj)表示所述第j个类别的应用程序执行所述第i个系统调用函数时的所述权值,Ui表示在所述多个时间段中的任一时间段内,所述第j个类别的应用程序是否执行所述第i个系统调用函数,F(Si,Rj)表示在所述任一时间段内,所述第j个类别的应用程序执行所述第i个系统调用函数的频率。
在该技术方案中,根据每个类别的应用程序在多个时间段内是否执行系统调用函数以及执行系统调用函数的频率,计算出每个类别的应用程序执行系统调用函数时的权值,从而根据该权值可以准确地计算出每个类别的应用程序的系统调用阈值。
在上述任一技术方案中,优选地,步骤104具体包括:根据所述权值,通过第一公式计算所述每个类别的应用程序对所述多个系统调用函数的使用值;根据所述每个类别的应用程序对所述多个系统调用函数的使用值,通过第二公式计算所述每个类别的应用程序的系统调用阈值,所述第一公式为:
所述第二公式为:
其中,M(Rj)表示所述第j个类别的应用程序对所述多个系统调用函数的使用值,X表示所述多个系统调用函数的个数,Y表示所述多个时间段的时间段数,N表示所述第j个类别的且参与M(Rj)的值计算的应用程序的个数,T(Rj)表示所述第j个类别的应用程序的系统调用阈值。
在上述任一技术方案中,优选地,步骤102之前还包括:获取多个应用程序中的每个应用程序的训练数据,其中,所述每个应用程序的训练数据包括:所述每个应用程序是否使用多个权限中的每个权限和所述每个应用程序的分类标签;使用SMO算法将所述多个应用程序中的每两个应用程序的训练数据进行比较,以将所述多个应用程序分成所述多个类别和确定类别函数表达式;以及所述获取所述安装的应用程序所属的目标类别,具体包括:根据所述类别函数表达式,确定所述目标类别。
在该技术方案中,通过获取待训练的每个应用程序使用权限的情况和每个应用程序的分类标签,该分类标签为标识应用程序为良性应用程序或者恶意应用程序的标签,以确定可以确定应用程序类别的类别函数表达式。当安装新的应用程序时,直接根据该类别函数表达式就可以准确地确定出安装的应用程序的类别,从而保证了检测安装的应用程序是否为恶意应用程序的检测结果的准确性。而且使用SMO算法不仅保证了类别函数表达式进行分类的准确率,还提高了数据处理的效率。
在上述任一技术方案中,优选地,所述获取多个应用程序中的每个应用程序的训练数据,具体包括:在所述每个应用程序的文件中提取XML格式的文件;对所述XML格式的文件进行分析,以获取所述每个应用程序的训练数据。
在该技术方案中,通过对每个应用程序的XML格式的文件进行分析,例如,XML格式的文件为Android Manifest.xml文件,以获取每个应用程序的使用权限情况和每个应用程序的分类标签,从而根据获取到的权限情况和分类标签得到对应用程序进行分类的类别函数表达式。
图2示出了根据本发明的另一个实施例的应用程序的检测方法的流程示意图。
如图2所示,根据本发明的另一个实施例的应用程序的检测方法,包括:
步骤202,获取多个应用程序中的每个应用程序的训练数据,其中,训练数据包括:每个应用程序是否使用多个权限中的每个权限和每个应用程序的分类标签。
在Google Play中,所有的应用程序分为26个类别。本文用Python脚本结合AAPT针对训练集中的多个应用程序中的每个应用程序提取Android Manifest.xml,再对这个xml格式的文件进行自动化分析,获取每个应用程序的分类标签和每个应用程序的权限使用情况。
假设训练集中有n个应用程序,每个应用程序的权限情况可以记录为下:
Ai(P1,P2,P3,P4…P136)
其中Ai(1≤i≤n)代表应用程序的名称;P1-136代表按字母表顺序排列的136个权限,例如,若某个应用程序使用P1这个权限,则将P1记为1,若某个应用程序不使用P1这个权限,则将P1记为0。例如(0,0,1,1,0)表示应用程序使用了第三个和第四个权限。
通常权限有136种之多,但是并非所有的应用程序同时使用这136种权限,一般而言,应用程序可能只使用其中的10种到25种。与权限数量的相比下,每个应用程序使用的权限就相当于一个稀疏矩阵。
假设统计的N个应用程序的训练数据为:
(A1,S1),(A2,S2),(A3,S3)……(An,Sn)
其中Ai(1≤i≤n)为上文所定义的应用程序的权限使用情况;Si(1≤i≤n)为应用程序的分类标签,Si取1和-1两个值,1代表应用程序为良性应用程序,-1代表应用程序为恶意应用程序。
步骤204,使用SMO(Sequential Minimal Optimization,序列最小优化)算法对训练数据进行处理,以将多个应用程序分成多个类别和确定类别函数表达式。
SMO算法会对这个n个训练数据中的类别两两比较,依据训练集中应用程序的权限和类别进行学习,从而将N个应用程序分成多个类别,以及得到判定类别函数关系式。在Android客户端中使用Pack Manager(Android系统管理应用程序包类)获取应用程序的权限列表。
步骤206,计算每个类别的应用程序的系统调用阈值。
Linux内核的系统调用函数多达290多种,但其中能反映出应用程序的行为的系统调用函数仅仅占其中一小部分,为了尽可能地提高精确度和减少运算量,提取了以下的18个系统调用函数:open、access、recv、recvmsg、read、write、send、sendmsg、clone、close、sendto、recvfrom、execve、ioctl、brk、sbrk、chmod、chown,这18个系统调用函数的说明见具体见表1。
表1
open 打开文件
acess 确定文件的可取性
recv 通过socket接受信息
recvmsg 同recv
read 读文件
write 写文件
send 通过socket发送信息
sendmsg 同sendmsg
clone 按指定条件创建子进程
close 关闭文件描述字
sendto 发送UDP信息
recvfrom 接受UDP信息
execve 运行可执行文件
ioctl I/O总控制函数
brk 改变文件方式
sbrk 同sbrk
chmod 改变文件方式
chown 改变文件的属主或用户组
在Android客户端中使用strace工具获取应用程序运行时执行系统调用函数的情况,重点关注上述的18种系统调用函数。一般而言,相同类别下的应用程序所实现的功能相近,其执行的系统调用函数的情况也相似。应用程序执行18种系统调用函数的频数是稳定的,如果出现恶意行为,会引起应用程序执行系统调用函数的频数改变。
在将N个应用程序分成多个类别之后,运行每个类别的应用程序,以获取每个类别的应用程序在运行后的多个时间段中的每个时间段内是否执行每个系统调用函数和每个类别的应用程序在每个时间段内执行每个系统调用函数的频率。例如,每隔1分钟获取一次每个类别的应用程序在当前的1分钟内是否执行每个系统调用函数和执行每个系统调用函数的频率。当获取到1分钟内的信息时,使用以下的公式对当前1分钟内的信息进行处理,以计算出每个类别的应用程序执行每个系统调用函数时的权值。计算的公式如下:W(Si,Rj)=Ui×[1-F(Si,Rj)]2,其中,Si表示多个系统调用函数中的第i个系统调用函数,Rj表示多个类别中的第j个类别的应用程序,W(Si,Rj)表示第j个类别的应用程序执行第i个系统调用函数时的权值,Ui表示在当前的10分钟内,第j个类别的应用程序是否执行第i个系统调用函数,若有执行了第i个系统调用函数则Ui=1,若没有执行第i个系统调用函数则Ui=0,F(Si,Rj)表示在当前的10分钟内,第j个类别的应用程序执行第i个系统调用函数的频率。
然后通过以下的公式计算每个类别的应用程序对多个系统调用函数的使用值,该公式为:
X表示多个系统调用函数的个数,M(Rj)表示第j个类别的应用程序对多个系统调用函数的使用值。
最后通过以下的公式计算每个类别的应用程序的系统调用阈值,该公式为:
其中,M(Rj)表示第j个类别的应用程序对多个系统调用函数的使用值,X表示多个系统调用函数的个数,Y表示时间段数,N表示第j个类别的且参与M(Rj)的值计算的应用程序的个数,T(Rj)表示第j个类别的应用程序的系统调用阈值。其中,参与M(Rj)的值计算的应用程序为良性应用程序。
步骤208,终端上运行新安装的应用程序时,每隔一分钟将应用程序的运行信息发送给服务器。
安装的应用程序的运行信息包括:安装的应用程序在当前的1分钟内是否执行每个系统调用函数和执行每个系统调用函数的频率。
步骤210,服务器根据类别函数表达式对安装的应用程序进行分类,以确定安装的应用程序的目标类别。
步骤212,计算安装的应用程序对多个系统调用函数的当前使用值。
具体地,计算安装的应用程序对多个系统调用函数的当前使用值的方案与上述中的计算每个类别的应用程序的使用值的方案相同,在此不再重复赘述。
步骤214,判断当前使用值是否大于目标类别的应用程序的系统调用阈值,若判定安装的应用程序的当前使用值大于目标类别的系统调用阈值,则执行步骤216,若判定安装的应用程序的当前使用值小于或等于目标类别的系统调用阈值,则执行步骤218。
步骤216,判定安装的应用程序为恶意应用程序。
步骤218,判断是否获取了10分钟的运行信息,在判断结果为是时,执行步骤220,在判断结果为否时,重新执行步骤208,即重新获取下一分钟内的应用程序的运行信息,直到获取了10分钟的应用程序的运行信息时为止。
步骤220,判定安装的应用程序为良性应用程序。
步骤222,判断用户是否修改分类,在判断结果为是时,执行步骤208,在判断结果为否时,结束本次流程。
在上述方案中,步骤202-步骤206和步骤210-步骤222的执行主体为服务器,步骤208的执行主体为终端。把未知应用程序的检测工作移交给服务器,终端本地只执行收集数据工作,实施起来较为简单,同时能够避免计算量过大而造成系统负担。
图3示出了根据本发明的一个实施例的应用程序的检测装置的结构示意图。
如图3所示,根据本发明的一个实施例的应用程序的检测装置300,包括:第一获取单元302、计算单元304、第二获取单元306和确定单元308。
第一获取单元302,用于获取多个类别中的每个类别的应用程序执行多个系统调用函数中的每个系统调用函数时的权值;计算单元304,用于根据所述权值,计算所述每个类别的应用程序的系统调用阈值;第二获取单元306,用于当安装的应用程序运行时,获取所述安装的应用程序对所述多个系统调用函数的当前使用值,并获取所述安装的应用程序所属的目标类别;确定单元308,用于根据所述当前使用值和所述目标类别的应用程序的系统调用阈值,确定所述安装的应用程序是否为恶意应用程序。
在该技术方案中,通过计算每个类别的应用程序的系统调用阈值,并将安装的应用程序运行时执行系统调用函数的当前使用值与对应类别的应用程序的系统调用阈值进行比较,以确定安装的应用程序是否为恶意应用程序。由于同一类别的良性应用程序执行系统调用函数的当前使用值相比系统调用阈值而言比较小,因此,即使恶意应用程序通过伪装、加壳、混淆、加密等方式改变软件特征,根据应用程序执行系统调用函数的情况可以更加全面地检测出应用程序是否为恶意应用程序。另外,本方案的代码覆盖率比较高,可以避免动态分析时出现的漏报情况,进一步地保证了检测应用程序的全面性。而且依据安装的应用程序执行系统调用函数的情况进行动态监控,能有效地发现安装的应用程序出现恶意行为的变化,达到动态检测恶意应用程序的目的。
在上述技术方案中,优选地,所述第一获取单元302包括:第一获取子单元3022,用于获取所述每个类别的应用程序在运行后的运行信息,其中,所述运行信息包括:所述每个类别的应用程序在运行后的多个时间段中的每个时间段内是否执行所述每个系统调用函数和所述每个类别的应用程序在所述每个时间段内执行所述每个系统调用函数的频率;计算子单元3024,用于根据所述运行信息,通过以下的公式计算所述每个类别的应用程序执行所述每个系统调用函数时的权值,W(Si,Rj)=Ui×[1-F(Si,Rj)]2,其中,Si表示所述多个系统调用函数中的第i个系统调用函数,Rj表示所述多个类别中的第j个类别的应用程序,W(Si,Rj)表示所述第j个类别的应用程序执行所述第i个系统调用函数时的所述权值,Ui表示在所述多个时间段中的任一时间段内,所述第j个类别的应用程序是否执行所述第i个系统调用函数,F(Si,Rj)表示在所述任一时间段内,所述第j个类别的应用程序执行所述第i个系统调用函数的频率。
在该技术方案中,根据每个类别的应用程序在多个时间段内是否执行系统调用函数以及执行系统调用函数的频率,计算出每个类别的应用程序执行系统调用函数时的权值,从而根据该权值可以准确地计算出每个类别的应用程序的系统调用阈值。
在上述任一技术方案中,优选地,所述计算单元304具体用于,根据所述权值,通过第一公式计算所述每个类别的应用程序对所述多个系统调用函数的使用值,根据所述每个类别的应用程序对所述多个系统调用函数的使用值,通过第二公式计算所述每个类别的应用程序的系统调用阈值,所述第一公式为:
所述第二公式为:
其中,M(Rj)表示所述第j个类别的应用程序对所述多个系统调用函数的使用值,X表示所述多个系统调用函数的个数,Y表示所述多个时间段的时间段数,N表示所述第j个类别的且参与M(Rj)的值计算的应用程序的个数,T(Rj)表示所述第j个类别的应用程序的系统调用阈值。
在上述任一技术方案中,优选地,还包括:第三获取单元310,用于获取多个应用程序中的每个应用程序的训练数据,其中,所述每个应用程序的训练数据包括:所述每个应用程序是否使用多个权限中的每个权限和所述每个应用程序的分类标签;处理单元312,用于使用SMO算法将所述多个应用程序中的每两个应用程序的训练数据进行比较,以将所述多个应用程序分成所述多个类别和确定类别函数表达式;以及所述第二获取单元306具体用于,根据所述类别函数表达式,确定所述目标类别。
在该技术方案中,通过获取待训练的每个应用程序使用权限的情况和每个应用程序的分类标签,该分类标签为标识应用程序为良性应用程序或者恶意应用程序的标签,以确定可以确定应用程序类别的类别函数表达式。当安装新的应用程序时,直接根据该类别函数表达式就可以准确地确定出安装的应用程序的类别,从而保证了检测安装的应用程序是否为恶意应用程序的检测结果的准确性。而且使用SMO算法不仅保证了类别函数表达式进行分类的准确率,还提高了数据处理的效率。
在上述任一技术方案中,优选地,所述第三获取单元310包括:提取子单元3102,用于在所述每个应用程序的文件中提取XML格式的文件;第二获取子单元3104,用于对所述XML格式的文件进行分析,以获取所述每个应用程序的训练数据。
在该技术方案中,通过对每个应用程序的XML格式的文件进行分析,例如,XML格式的文件为Android Manifest.xml文件,以获取每个应用程序的使用权限情况和每个应用程序的分类标签,从而根据获取到的权限情况和分类标签得到对应用程序进行分类的类别函数表达式。
图4示出了根据本发明的一个实施例的服务器的结构示意图。
如图4所示,根据本发明的一个实施例的服务器400,包括上述技术方案中任一项所述的应用程序的检测装置300,因此,该服务器400具有和上述技术方案中任一项所述的应用程序的检测装置300相同的技术效果,在此不再赘述。
图5示出了根据本发明的另一个实施例的服务器的结构示意图。
如图5所示,根据本发明的另一个实施例的服务器500,包括存储器502、处理器504和通信总线506。
存储器502,用于存储程序代码,并将该程序代码传输给处理器504。存储器502可以包括易失性存储器502(Volatile Memory),例如随机存取存储器(Random AccessMemory,RAM);存储器502也可以包括非易失性存储器(Non-Volatile Memory),例如只读存储器(Read-Only Memory,ROM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-State Drive,SSD);存储器502还可以包括上述种类的存储器的组合。处理器504可以是通用处理器,例如中央处理器(Central Processing Unit,CPU),还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(ApplicationSpecific Integrated Circuit,ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路。通信总线506用于实现处理器504和存储器502之间的连接通信。通信总线506可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component Interconnect,PCI)总线或扩展标准体系结构(ExtendedIndustry Standard Architecture,EISA)总线等。该通信总线506可以分为地址总线、数据总线、控制总线等。
其中,处理器504用于调用存储器502存储的程序代码,执行如下操作:获取多个类别中的每个类别的应用程序执行多个系统调用函数中的每个系统调用函数时的权值;根据所述权值,计算所述每个类别的应用程序的系统调用阈值;当安装的应用程序运行时,获取所述安装的应用程序对所述多个系统调用函数的当前使用值,并获取所述安装的应用程序所属的目标类别;根据所述当前使用值和所述目标类别的应用程序的系统调用阈值,确定所述安装的应用程序是否为恶意应用程序。
优选地,处理器504具体用于,获取所述每个类别的应用程序在运行后的运行信息,其中,所述运行信息包括:所述每个类别的应用程序在运行后的多个时间段中的每个时间段内是否执行所述每个系统调用函数和所述每个类别的应用程序在所述每个时间段内执行所述每个系统调用函数的频率;根据所述运行信息,通过以下的公式计算所述每个类别的应用程序执行所述每个系统调用函数时的权值,W(Si,Rj)=Ui×[1-F(Si,Rj)]2,其中,Si表示所述多个系统调用函数中的第i个系统调用函数,Rj表示所述多个类别中的第j个类别的应用程序,W(Si,Rj)表示所述第j个类别的应用程序执行所述第i个系统调用函数时的所述权值,Ui表示在所述多个时间段中的任一时间段内,所述第j个类别的应用程序是否执行所述第i个系统调用函数,F(Si,Rj)表示在所述任一时间段内,所述第j个类别的应用程序执行所述第i个系统调用函数的频率。
优选地,处理器504具体用于,根据所述权值,通过第一公式计算所述每个类别的应用程序对所述多个系统调用函数的使用值;根据所述每个类别的应用程序对所述多个系统调用函数的使用值,通过第二公式计算所述每个类别的应用程序的系统调用阈值,所述第一公式为:
所述第二公式为:
其中,M(Rj)表示所述第j个类别的应用程序对所述多个系统调用函数的使用值,X表示所述多个系统调用函数的个数,Y表示所述多个时间段的时间段数,N表示所述第j个类别的且参与M(Rj)的值计算的应用程序的个数,T(Rj)表示所述第j个类别的应用程序的系统调用阈值。
优选地,处理器504还用于,获取多个应用程序中的每个应用程序的训练数据,其中,所述每个应用程序的训练数据包括:所述每个应用程序是否使用多个权限中的每个权限和所述每个应用程序的分类标签;使用SMO算法将所述多个应用程序中的每两个应用程序的训练数据进行比较,以将所述多个应用程序分成所述多个类别和确定类别函数表达式;以及所述获取所述安装的应用程序所属的目标类别,具体包括:根据所述类别函数表达式,确定所述目标类别。
优选地,处理器504具体用于,在所述每个应用程序的文件中提取XML格式的文件;对所述XML格式的文件进行分析,以获取所述每个应用程序的训练数据。
以上结合附图详细说明了本发明的技术方案,通过本发明的技术方案,可以更加全面地检测出安装的应用程序是否为恶意的应用程序。
在本发明中,术语“第一”、“第二”仅用于描述的目的,而不能理解为指示或暗示相对重要性;术语“多个”表示两个或两个以上。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (11)

1.一种应用程序的检测方法,其特征在于,包括:
获取多个类别中的每个类别的应用程序执行多个系统调用函数中的每个系统调用函数时的权值;
根据所述权值,计算所述每个类别的应用程序的系统调用阈值;
当安装的应用程序运行时,获取所述安装的应用程序对所述多个系统调用函数的当前使用值,并获取所述安装的应用程序所属的目标类别;
根据所述当前使用值和所述目标类别的应用程序的系统调用阈值,确定所述安装的应用程序是否为恶意应用程序。
2.根据权利要求1所述的应用程序的检测方法,其特征在于,所述获取多个类别中的每个类别的应用程序执行多个系统调用函数中的每个系统调用函数时的权值,具体包括:
获取所述每个类别的应用程序在运行后的运行信息,其中,所述运行信息包括:所述每个类别的应用程序在运行后的多个时间段中的每个时间段内是否执行所述每个系统调用函数和所述每个类别的应用程序在所述每个时间段内执行所述每个系统调用函数的频率;
根据所述运行信息,通过以下的公式计算所述每个类别的应用程序执行所述每个系统调用函数时的权值,
W(Si,Rj)=Ui×[1-F(Si,Rj)]2
其中,Si表示所述多个系统调用函数中的第i个系统调用函数,Rj表示所述多个类别中的第j个类别的应用程序,W(Si,Rj)表示所述第j个类别的应用程序执行所述第i个系统调用函数时的所述权值,Ui表示在所述多个时间段中的任一时间段内,所述第j个类别的应用程序是否执行所述第i个系统调用函数,F(Si,Rj)表示在所述任一时间段内,所述第j个类别的应用程序执行所述第i个系统调用函数的频率。
3.根据权利要求2所述的应用程序的检测方法,其特征在于,所述根据所述权值,计算所述每个类别的应用程序的系统调用阈值,具体包括:
根据所述权值,通过第一公式计算所述每个类别的应用程序对所述多个系统调用函数的使用值;
根据所述每个类别的应用程序对所述多个系统调用函数的使用值,通过第二公式计算所述每个类别的应用程序的系统调用阈值,
所述第一公式为:
M ( R j ) = Σ i = 1 X W ( S i , R j ) ,
所述第二公式为:
T ( R j ) = Σ g = 1 N ( Σ k = 1 Y M k ( R j ) ÷ Y ) ÷ N ,
其中,M(Rj)表示所述第j个类别的应用程序对所述多个系统调用函数的使用值,X表示所述多个系统调用函数的个数,Y表示所述多个时间段的时间段数,N表示所述第j个类别的且参与M(Rj)的值计算的应用程序的个数,T(Rj)表示所述第j个类别的应用程序的系统调用阈值。
4.根据权利要求1至3中任一项所述的应用程序的检测方法,其特征在于,所述获取多个类别中的每个类别的应用程序执行多个系统调用函数中的每个系统调用函数时的权值之前,还包括:
获取多个应用程序中的每个应用程序的训练数据,其中,所述每个应用程序的训练数据包括:所述每个应用程序是否使用多个权限中的每个权限和所述每个应用程序的分类标签;
使用SMO算法将所述多个应用程序中的每两个应用程序的训练数据进行比较,以将所述多个应用程序分成所述多个类别和确定类别函数表达式;以及
所述获取所述安装的应用程序所属的目标类别,具体包括:
根据所述类别函数表达式,确定所述目标类别。
5.根据权利要求4所述的应用程序的检测方法,其特征在于,所述获取多个应用程序中的每个应用程序的训练数据,具体包括:
在所述每个应用程序的文件中提取XML格式的文件;
对所述XML格式的文件进行分析,以获取所述每个应用程序的训练数据。
6.一种应用程序的检测装置,其特征在于,包括:
第一获取单元,用于获取多个类别中的每个类别的应用程序执行多个系统调用函数中的每个系统调用函数时的权值;
计算单元,用于根据所述权值,计算所述每个类别的应用程序的系统调用阈值;
第二获取单元,用于当安装的应用程序运行时,获取所述安装的应用程序对所述多个系统调用函数的当前使用值,并获取所述安装的应用程序所属的目标类别;
确定单元,用于根据所述当前使用值和所述目标类别的应用程序的系统调用阈值,确定所述安装的应用程序是否为恶意应用程序。
7.根据权利要求6所述的应用程序的检测装置,其特征在于,所述第一获取单元包括:
第一获取子单元,用于获取所述每个类别的应用程序在运行后的运行信息,其中,所述运行信息包括:所述每个类别的应用程序在运行后的多个时间段中的每个时间段内是否执行所述每个系统调用函数和所述每个类别的应用程序在所述每个时间段内执行所述每个系统调用函数的频率;
计算子单元,用于根据所述运行信息,通过以下的公式计算所述每个类别的应用程序执行所述每个系统调用函数时的权值,
W(Si,Rj)=Ui×[1-F(Si,Rj)]2
其中,Si表示所述多个系统调用函数中的第i个系统调用函数,Rj表示所述多个类别中的第j个类别的应用程序,W(Si,Rj)表示所述第j个类别的应用程序执行所述第i个系统调用函数时的所述权值,Ui表示在所述多个时间段中的任一时间段内,所述第j个类别的应用程序是否执行所述第i个系统调用函数,F(Si,Rj)表示在所述任一时间段内,所述第j个类别的应用程序执行所述第i个系统调用函数的频率。
8.根据权利要求7所述的应用程序的检测装置,其特征在于,所述计算单元具体用于,
根据所述权值,通过第一公式计算所述每个类别的应用程序对所述多个系统调用函数的使用值,根据所述每个类别的应用程序对所述多个系统调用函数的使用值,通过第二公式计算所述每个类别的应用程序的系统调用阈值,
所述第一公式为:
M ( R j ) = Σ i = 1 X W ( S i , R j ) ,
所述第二公式为:
T ( R j ) = Σ g = 1 N ( Σ k = 1 Y M k ( R j ) ÷ Y ) ÷ N ,
其中,M(Rj)表示所述第j个类别的应用程序对所述多个系统调用函数的使用值,X表示所述多个系统调用函数的个数,Y表示所述多个时间段的时间段数,N表示所述第j个类别的且参与M(Rj)的值计算的应用程序的个数,T(Rj)表示所述第j个类别的应用程序的系统调用阈值。
9.根据权利要求6至8中任一项所述的应用程序的检测装置,其特征在于,还包括:
第三获取单元,用于获取多个应用程序中的每个应用程序的训练数据,其中,所述每个应用程序的训练数据包括:所述每个应用程序是否使用多个权限中的每个权限和所述每个应用程序的分类标签;
处理单元,用于使用SMO算法将所述多个应用程序中的每两个应用程序的训练数据进行比较,以将所述多个应用程序分成所述多个类别和确定类别函数表达式;以及
所述第二获取单元具体用于,
根据所述类别函数表达式,确定所述目标类别。
10.根据权利要求9所述的应用程序的检测装置,其特征在于,所述第三获取单元包括:
提取子单元,用于在所述每个应用程序的文件中提取XML格式的文件;
第二获取子单元,用于对所述XML格式的文件进行分析,以获取所述每个应用程序的训练数据。
11.一种服务器,其特征在于,包括:如权利要求6至10中任一项所述的应用程序的检测装置。
CN201611213206.8A 2016-12-23 2016-12-23 应用程序的检测方法、检测装置和服务器 Withdrawn CN106682516A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611213206.8A CN106682516A (zh) 2016-12-23 2016-12-23 应用程序的检测方法、检测装置和服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611213206.8A CN106682516A (zh) 2016-12-23 2016-12-23 应用程序的检测方法、检测装置和服务器

Publications (1)

Publication Number Publication Date
CN106682516A true CN106682516A (zh) 2017-05-17

Family

ID=58870615

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611213206.8A Withdrawn CN106682516A (zh) 2016-12-23 2016-12-23 应用程序的检测方法、检测装置和服务器

Country Status (1)

Country Link
CN (1) CN106682516A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110245848A (zh) * 2019-05-31 2019-09-17 口碑(上海)信息技术有限公司 程序代码的风险评估方法和装置
CN110832463A (zh) * 2017-06-30 2020-02-21 Oppo广东移动通信有限公司 系数计算方法、组件调用方法、装置、介质、服务器及终端
CN112580025A (zh) * 2019-09-30 2021-03-30 奇安信安全技术(珠海)有限公司 基于虚拟机的报毒方法及装置、存储介质、计算机设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130268257A1 (en) * 2012-04-09 2013-10-10 Purdue Research Foundation System and method for energy usage accounting in software applications
CN103839005A (zh) * 2013-11-22 2014-06-04 北京智谷睿拓技术服务有限公司 移动操作系统的恶意软件检测方法和恶意软件检测系统
CN104834857A (zh) * 2015-03-27 2015-08-12 清华大学深圳研究生院 批量安卓恶意软件检测方法及装置
CN106156611A (zh) * 2015-03-25 2016-11-23 北京奇虎科技有限公司 智能手机应用程序的动态分析方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130268257A1 (en) * 2012-04-09 2013-10-10 Purdue Research Foundation System and method for energy usage accounting in software applications
CN103839005A (zh) * 2013-11-22 2014-06-04 北京智谷睿拓技术服务有限公司 移动操作系统的恶意软件检测方法和恶意软件检测系统
CN106156611A (zh) * 2015-03-25 2016-11-23 北京奇虎科技有限公司 智能手机应用程序的动态分析方法及系统
CN104834857A (zh) * 2015-03-27 2015-08-12 清华大学深圳研究生院 批量安卓恶意软件检测方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
林擎宇,凌捷: ""基于应用分类和系统调用的Android恶意程序检测"", 《HTTP://WWW.CNKI.NET/KCMS/DETAIL/11.2127.TP.20160928.1625.080.HTML》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110832463A (zh) * 2017-06-30 2020-02-21 Oppo广东移动通信有限公司 系数计算方法、组件调用方法、装置、介质、服务器及终端
CN110245848A (zh) * 2019-05-31 2019-09-17 口碑(上海)信息技术有限公司 程序代码的风险评估方法和装置
CN112580025A (zh) * 2019-09-30 2021-03-30 奇安信安全技术(珠海)有限公司 基于虚拟机的报毒方法及装置、存储介质、计算机设备

Similar Documents

Publication Publication Date Title
CN112417439B (zh) 账号检测方法、装置、服务器及存储介质
CN108108902B (zh) 一种风险事件告警方法和装置
CN109561322B (zh) 一种视频审核的方法、装置、设备和存储介质
CN108090567B (zh) 电力通信系统故障诊断方法及装置
CN110263538B (zh) 一种基于系统行为序列的恶意代码检测方法
CN109933984B (zh) 一种最佳聚类结果筛选方法、装置和电子设备
CN109885597B (zh) 基于机器学习的用户分群处理方法、装置及电子终端
CN114414935A (zh) 基于大数据的配电网馈线故障区域自动化定位方法和系统
CN106998336B (zh) 渠道中的用户检测方法和装置
CN106682516A (zh) 应用程序的检测方法、检测装置和服务器
CN111064719B (zh) 文件异常下载行为的检测方法及装置
CN112163222A (zh) 一种恶意软件检测方法及装置
CN106301979B (zh) 检测异常渠道的方法和系统
CN111338692A (zh) 基于漏洞代码的漏洞分类方法、装置及电子设备
CN114020578A (zh) 基于用户画像的异常账户检测方法、装置、设备及介质
CN113205130B (zh) 一种数据审核方法、装置、电子设备及存储介质
CN110413596A (zh) 字段处理方法及装置、存储介质、电子装置
CN107871213B (zh) 一种交易行为评价方法、装置、服务器以及存储介质
CN111581110B (zh) 一种业务数据准确性检测方法、装置、系统及存储介质
CN112488562B (zh) 一种业务实现方法及装置
CN110263618A (zh) 一种核身模型的迭代方法和装置
CN111683102B (zh) Ftp行为数据处理方法、识别异常ftp行为的方法及装置
CN110458707B (zh) 基于分类模型的行为评估方法、装置及终端设备
CN113656354A (zh) 日志分类方法、系统、计算机设备和可读存储介质
CN109583590B (zh) 数据处理方法及数据处理装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20170517

WW01 Invention patent application withdrawn after publication