CN111783095A - 小程序恶意代码的识别方法、装置和电子设备 - Google Patents

Abstract

本说明书实施例提出了一种小程序恶意代码的识别方法、装置和电子设备，其中，上述小程序恶意代码的识别方法中，接收第一小程序的上架请求之后，第三方服务平台可以获取请求上架第三方服务平台的第一小程序的安装包，然后从上述第一小程序的安装包中抽取上述第一小程序的代码包结构和上述第一小程序的代码特征，然后，第三方服务平台将上述第一小程序的代码包结构和上述第一小程序的代码特征转换为编码向量，根据上述编码向量获得上述第一小程序的代码指纹，进而根据上述第一小程序的代码指纹确定上述第一小程序的风险评分，最后第三方服务平台根据上述第一小程序的风险评分，确定上述第一小程序的安装包中存在恶意代码的风险等级。

Description

小程序恶意代码的识别方法、装置和电子设备

【技术领域】

本说明书实施例涉及互联网技术领域，尤其涉及一种小程序恶意代码的识别方法、装置和电子设备。

【背景技术】

小程序是一种不需要下载安装即可使用的应用，用户扫一扫小程序对应的二维码，或者在第三方服务平台搜索小程序，然后点击小程序的图标即可打开应用。这也体现了“用完即走”的理念，用户不用关心是否安装太多应用的问题。

恶意代码是一种程序，它通过把代码在不被察觉的情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的，在小程序场景下，一般表现为存在恶意跳转至外部页面、含有隐藏页面或动态展示逻辑等风险。

因此需要提供一种识别方案，用于识别小程序中是否存在恶意代码。

【发明内容】

本说明书实施例提供了一种小程序恶意代码的识别方法、装置和电子设备，以实现在小程序上架之前，对小程序的安装包进行检测，识别小程序安装包中是否存在恶意代码，降低在第三方服务平台上架的小程序的风险水位。

第一方面，本说明书实施例提供一种小程序恶意代码的识别方法，包括：接收第一小程序的上架请求，所述第一小程序的上架请求中携带请求上架第三方服务平台的第一小程序的安装包；从所述第一小程序的安装包中抽取所述第一小程序的代码包结构和所述第一小程序的代码特征；其中，所述第一小程序的代码特征包括所述第一小程序的静态语法树序列特征和所述第一小程序的动态语法树序列特征；将所述第一小程序的代码包结构和所述第一小程序的代码特征转换为编码向量；根据所述编码向量获得所述第一小程序的代码指纹；根据所述第一小程序的代码指纹确定所述第一小程序的风险评分；根据所述第一小程序的风险评分，确定所述第一小程序的安装包中存在恶意代码的风险等级。

上述小程序恶意代码的识别方法中，接收第一小程序的上架请求之后，第三方服务平台可以从上述第一小程序的上架请求中获取请求上架第三方服务平台的第一小程序的安装包，然后从上述第一小程序的安装包中抽取上述第一小程序的代码包结构和上述第一小程序的代码特征，然后，第三方服务平台将上述第一小程序的代码包结构和上述第一小程序的代码特征转换为编码向量，根据上述编码向量获得上述第一小程序的代码指纹，进而根据上述第一小程序的代码指纹确定上述第一小程序的风险评分，最后第三方服务平台根据上述第一小程序的风险评分，确定上述第一小程序的安装包中存在恶意代码的风险等级，从而可以实现在小程序上架之前，对小程序的安装包进行检测，确定小程序的安装包中存在恶意代码的风险等级，降低在第三方服务平台上架的小程序的风险水位。

其中一种可能的实现方式中，所述根据所述第一小程序的代码指纹确定所述第一小程序的风险评分包括：将所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹进行匹配，根据匹配结果确定所述第一小程序的代码指纹的风险评分；根据所述第一小程序的代码指纹的风险评分，获得所述第一小程序的风险评分。

其中一种可能的实现方式中，所述将所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹进行匹配，根据匹配结果确定所述第一小程序的代码指纹的风险评分包括：计算所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹的相似度；根据所述相似度，从所述第二小程序的代码指纹中，获取与所述第一小程序的代码指纹相匹配的代码指纹；根据所述相匹配的代码指纹所属第二小程序的处罚类型评分和风险类型评分，确定所述第一小程序的代码指纹的风险评分。

其中一种可能的实现方式中，所述计算所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹的相似度之前，还包括：将所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹进行聚类，获得所述第一小程序的代码指纹所属的类别；所述计算所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹的相似度包括：计算所述第一小程序的代码指纹与所属类别中其他代码指纹的相似度；其中，所述其他代码指纹包括所属类别中除所述第一小程序的代码指纹之外的其他代码指纹。

其中一种可能的实现方式中，所述将所述第一小程序的代码包结构和所述第一小程序的代码特征转换为编码向量包括：通过序列学习算法，将所述第一小程序的代码包结构和所述第一小程序的代码特征转换为编码向量。

其中一种可能的实现方式中，所述根据所述第一小程序的风险评分，确定所述第一小程序的安装包中存在恶意代码的风险等级之后，还包括：根据所述第一小程序的安装包中存在恶意代码的风险等级，对所述第一小程序的上架请求进行处理。

第二方面，本说明书实施例提供一种小程序恶意代码的识别装置，包括：接收模块，用于接收第一小程序的上架请求，所述第一小程序的上架请求中携带请求上架第三方服务平台的第一小程序的安装包；抽取模块，用于从所述第一小程序的安装包中抽取所述第一小程序的代码包结构和所述第一小程序的代码特征；其中，所述第一小程序的代码特征包括所述第一小程序的静态语法树序列特征和所述第一小程序的动态语法树序列特征；转换模块，用于将所述第一小程序的代码包结构和所述第一小程序的代码特征转换为编码向量；获得模块，用于根据所述编码向量获得所述第一小程序的代码指纹；确定模块，用于根据所述第一小程序的代码指纹确定所述第一小程序的风险评分；以及根据所述第一小程序的风险评分，确定所述第一小程序的安装包中存在恶意代码的风险等级。

其中一种可能的实现方式中，所述确定模块包括：匹配子模块，用于将所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹进行匹配，根据匹配结果确定所述第一小程序的代码指纹的风险评分；评分子模块，用于根据所述第一小程序的代码指纹的风险评分，获得所述第一小程序的风险评分。

其中一种可能的实现方式中，所述匹配子模块，具体用于计算所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹的相似度；根据所述相似度，从所述第二小程序的代码指纹中，获取与所述第一小程序的代码指纹相匹配的代码指纹；以及根据所述相匹配的代码指纹所属第二小程序的处罚类型评分和风险类型评分，确定所述第一小程序的代码指纹的风险评分。

其中一种可能的实现方式中，所述确定模块还包括：聚类子模块，用于在所述匹配子模块计算所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹的相似度之前，将所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹进行聚类，获得所述第一小程序的代码指纹所属的类别；所述匹配子模块，具体用于计算所述第一小程序的代码指纹与所属类别中其他代码指纹的相似度；其中，所述其他代码指纹包括所属类别中除所述第一小程序的代码指纹之外的其他代码指纹。

其中一种可能的实现方式中，所述转换模块，具体用于通过序列学习算法，将所述第一小程序的代码包结构和所述第一小程序的代码特征转换为编码向量。

其中一种可能的实现方式中，所述装置还包括：处理模块，用于在所述确定模块根据所述第一小程序的风险评分，确定所述第一小程序的安装包中存在恶意代码的风险等级之后，根据所述第一小程序的安装包中存在恶意代码的风险等级，对所述第一小程序的上架请求进行处理。

第三方面，本说明书实施例提供一种电子设备，包括：至少一个处理器；以及与所述处理器通信连接的至少一个存储器，其中：所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行第一方面提供的方法。

第四方面，本说明书实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行第一方面提供的方法。

应当理解的是，本说明书实施例的第二～四方面与本说明书实施例的第一方面的技术方案一致，各方面及对应的可行实施方式所取得的有益效果相似，不再赘述。

【附图说明】

为了更清楚地说明本说明书实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本说明书小程序恶意代码的识别方法一个实施例的流程图；

图2为本说明书获得小程序的代码指纹一个实施例的示意图；

图3为本说明书小程序恶意代码的识别方法另一个实施例的流程图；

图4为本说明书小程序恶意代码的识别方法再一个实施例的流程图；

图5为本说明书中获得代码指纹的风险评分一个实施例的示意图；

图6为本说明书中获得代码指纹的风险评分另一个实施例的示意图；

图7为本说明书小程序恶意代码的识别方法再一个实施例的流程图；

图8为本说明书中对小程序中的恶意代码进行实时管控一个实施例的流程图；

图9为本说明书小程序恶意代码的识别装置一个实施例的结构示意图；

图10为本说明书小程序恶意代码的识别装置另一个实施例的结构示意图；

图11为本说明书电子设备一个实施例的结构示意图。

【具体实施方式】

为了更好的理解本说明书的技术方案，下面结合附图对本说明书实施例进行详细描述。

应当明确，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本说明书保护的范围。

在本说明书实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书。在本说明书实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。

小程序是一种不需要下载安装即可使用的应用，如果小程序中含有恶意代码，那么就会存在恶意跳转至外部页面、含有隐藏页面或动态展示逻辑等风险。

现有相关技术中，在小程序上架第三方服务平台之后，使用人工对小程序进行巡检，检测小程序中是否存在违禁信息，但这需要耗费大量人力物力，并且只能识别直接展示的风险内容，无法识别隐藏的恶意代码，例如：设定好指定时间外露或满足某些条件后外露的违规内容。

为解决小程序上架后存在恶意跳转至外部页面、含有隐藏页面或动态展示逻辑等人工审核时无法用肉眼直接发现的风险敞口，因此本说明书实施例提出一种小程序恶意代码的识别方法，可以从小程序安装包源头发现恶意代码，并在小程序上架前予以实时管控，从而准确识别出小程序的违禁风险并进行治理，降低第三方服务平台上架的小程序的风险水位。

图1为本说明书小程序恶意代码的识别方法一个实施例的流程图，如图1所示，上述小程序恶意代码的识别方法可以包括：

步骤102，接收第一小程序的上架请求，上述第一小程序的上架请求中携带请求上架第三方服务平台的第一小程序的安装包。

具体地，开发者在将第一小程序开发完成之后，可以向第三方服务平台发送第一小程序的上架请求，该第一小程序的上架请求中携带请求上架第三方服务平台的第一小程序的安装包，然后，第三方服务平台可以接收上述第一小程序的上架请求，然后从上述第一小程序的上架请求中获取被提交到第三方服务平台的第一小程序的安装包。

步骤104，从上述第一小程序的安装包中抽取第一小程序的代码包结构和上述第一小程序的代码特征；其中，上述第一小程序的代码特征包括上述第一小程序的静态语法树序列特征和上述第一小程序的动态语法树序列特征。

步骤106，将上述第一小程序的代码包结构和上述第一小程序的代码特征转换为编码向量。

具体地，将上述第一小程序的代码包结构和上述第一小程序的代码特征转换为编码向量可以为：通过序列学习算法，将上述第一小程序的代码包结构和上述第一小程序的代码特征转换为编码向量。

其中，上述序列学习算法可以采用模糊哈希(fuzzy hashing)算法或嵌入学习(Embedding)算法等。具体来说，模糊哈希算法是一种基于内容分割的分片哈希算法，常用于文件/代码的相似性比较，相比于传统哈希的优点是对一些局部的变更不敏感。嵌入学习，是指某个对象X被嵌入到另外一个对象Y中，映射f：X→Y；借鉴深度学习自然语言处理(natural language processing，NLP)领域的一些方法做表示学习，得到结构序列的向量表示。

步骤108，根据上述编码向量获得上述第一小程序的代码指纹。

具体地，图2为本说明书获得小程序的代码指纹一个实施例的示意图，如图2所示，由于不同的开发者在写代码时都有各自不同的书写习惯，因此，本实施例抽取小程序的代码包结构、上述小程序的静态语法树序列特征以及动态语法树序列特征，然后通过序列学习算法将上述小程序的代码包结构、上述小程序的静态语法树序列特征以及动态语法树序列特征转换为高维编码向量，进而根据上述高维编码向量获得每个小程序独有的代码特征，即每个小程序的代码指纹。

步骤110，根据上述第一小程序的代码指纹确定上述第一小程序的风险评分。

步骤112，根据上述第一小程序的风险评分，确定上述第一小程序的安装包中存在恶意代码的风险等级。

具体地，可以预先设定几个阈值，例如：第一阈值、第二阈值和第三阈值，其中，第一阈值大于第二阈值，第二阈值大于第三阈值，本实施例对第一阈值、第二阈值和第三阈值的大小不作限定，举例来说，第一阈值可以为1，第二阈值可以为0.6，第三阈值可以为0.2。当上述第一小程序的风险评分大于或等于第一阈值时，确定上述第一小程序的安装包中存在恶意代码的风险等级为一级，即风险等级最高；当上述第一小程序的风险评分大于或等于第二阈值，小于第一阈值时，确定上述第一小程序的安装包中存在恶意代码的风险等级为二级，即风险等级较高；当上述第一小程序的风险评分大于或等于第三阈值，小于第二阈值时，确定上述第一小程序的安装包中存在恶意代码的风险等级为三级，即风险等级较小；上述第一小程序的风险评分小于第三阈值时，确定上述第一小程序的安装包中存在恶意代码的风险等级为四级，即风险等级最低。

以上仅是确定上述第一小程序的安装包中存在恶意代码的风险等级的一种示例，还可以采用其他的方式确定上述第一小程序中存在恶意代码的风险等级，本实施例对此不作限定。

上述小程序恶意代码的识别方法中，接收第一小程序的上架请求之后，第三方服务平台可以从上述第一小程序的上架请求中获取请求上架第三方服务平台的第一小程序的安装包，然后从上述第一小程序的安装包中抽取上述第一小程序的代码包结构和上述第一小程序的代码特征，然后，第三方服务平台将上述第一小程序的代码包结构和上述第一小程序的代码特征转换为编码向量，根据上述编码向量获得上述第一小程序的代码指纹，进而根据上述第一小程序的代码指纹确定上述第一小程序的风险评分，最后第三方服务平台根据上述第一小程序的风险评分，确定上述第一小程序的安装包中存在恶意代码的风险等级，从而可以实现在小程序上架之前，对小程序的安装包进行检测，确定小程序的安装包中存在恶意代码的风险等级，降低在第三方服务平台上架的小程序的风险水位。

图3为本说明书小程序恶意代码的识别方法另一个实施例的流程图，如图3所示，本说明书图1所示实施例中，步骤110可以包括：

步骤302，将上述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹进行匹配，根据匹配结果确定上述第一小程序的代码指纹的风险评分。

本实施例中，可以将历史上检测出的存在风险的第二小程序的代码指纹保存起来，然后在获得当前待上架的第一小程序的代码指纹之后，可以将上述第一小程序的代码指纹与预先保存的第二小程序的代码指纹进行匹配，最后根据匹配结果确定上述第一小程序的代码指纹的风险评分。

步骤304，根据上述第一小程序的代码指纹的风险评分，获得上述第一小程序的风险评分。

本实施例中，针对第一小程序的每个代码指纹，第三方服务平台都会执行步骤302，这样，就可以获得第一小程序的每个代码指纹的风险评分，然后，根据上述第一小程序的代码指纹的风险评分，第三方服务平台可以获得上述第一小程序的风险评分，举例来说，可以对上述第一小程序的代码指纹的风险评分进行加权平均，获得上述第一小程序的风险评分；当然，还可以采用其他的方式获得上述第一小程序的风险评分，本实施例对所采用的方式不作限定。

图4为本说明书小程序恶意代码的识别方法再一个实施例的流程图，如图4所示，本说明书图3所示实施例中，步骤302可以包括：

步骤402，计算上述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹的相似度。

具体地，计算代码指纹的相似度可以通过余弦相似度或欧式距离等方式实现。

步骤404，根据上述相似度，从第二小程序的代码指纹中，获取与上述第一小程序的代码指纹相匹配的代码指纹。

步骤406，根据上述相匹配的代码指纹所属第二小程序的处罚类型评分和风险类型评分，确定所述第一小程序的代码指纹的风险评分。

具体地，上述相匹配的代码指纹所属第二小程序的数量可以为至少一个，也就是说，可能有一个或多个第二小程序中包括上述相匹配的代码指纹。

当上述相匹配的代码指纹所属第二小程序的数量为一个时，那么可以获取这一个第二小程序的处罚类型评分和风险类型评分，然后将这一个第二小程序的处罚类型评分和风险类型评分相乘，进而将获得的乘积作为第一小程序的代码指纹的风险评分，如图5所示，图5为本说明书中获得代码指纹的风险评分一个实施例的示意图。

参见图5，本实施例根据第二小程序的处罚类型与风险类型给予综合风险量化评分，例如：从处罚类型角度衡量，清退分值为1、下架分值为0.8、延迟结算分值0.6、隐藏分值0.4和/或警告分值0.2；从实际风险类型角度衡量，黄恐暴政分值为1、赌博欺诈分值为0.9、禁限售分值为0.8、投资理财分值为0.6和/或交易纠纷分值为0.3；然后将两者的分相乘后，取所获得的乘积作为第一小程序的代码指纹的风险评分。

而当上述相匹配的代码指纹所属第二小程序的数量为至少两个时，那么可以获取每个第二小程序的处罚类型评分和风险类型评分，分别将每个第二小程序的处罚类型评分和风险类型评分相乘，这样，至少两个第二小程序可以获得至少两个乘积，然后可以根据相乘获得的至少两个乘积，获得第一小程序的代码指纹的风险评分，这种情形下可以参见图5和图6来获得第一小程序的代码指纹的风险评分，图6为本说明书中获得代码指纹的风险评分另一个实施例的示意图。

具体实现时，根据相乘获得的至少两个乘积，获得第一小程序的代码指纹的风险评分可以采用多种实现方式，例如：对相乘获得的至少两个乘积进行数学平均或加权平均，获得第一小程序的代码指纹的风险评分；本实施例对此不作限定。

进一步地，步骤402之前，还可以将上述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹进行聚类，获得第一小程序的代码指纹所属的类别；这样，步骤402可以为：计算上述第一小程序的代码指纹与所属类别中其他代码指纹的相似度；其中，上述其他代码指纹包括所属类别中除第一小程序的代码指纹之外的其他代码指纹。

也就是说，在计算相似度之前，可以先进行聚类，获得第一小程序的代码指纹所属的类别，这样，在计算相似度的时候，可以只在第一小程序的代码指纹所属类别中计算，从而可以大大减少相似度的运算数据量。

具体实现时，可以采用局部敏感哈希(locality sensitive hashing，LSH)或simhash算法等进行聚类，本实施例对所采用的聚类算法不作限定。

图7为本说明书小程序恶意代码的识别方法再一个实施例的流程图，如图7所示，本说明书图1所示实施例中，步骤112之后，还可以包括：

步骤702，根据第一小程序的安装包中存在恶意代码的风险等级，对上述第一小程序的上架请求进行处理。

具体地，参见步骤112中的举例，当第一小程序的安装包中存在恶意代码的风险等级为一级时，可以直接驳回第一小程序的上架请求；当第一小程序的安装包中存在恶意代码的风险等级为二级时，可以对第一小程序采取隐藏和/或延迟结算等内容和/或资金类处罚手段；当第一小程序的安装包中存在恶意代码的风险等级为三级时，可以参考其他策略的判断结果综合决策是否需处罚；而当第一小程序的安装包中存在恶意代码的风险等级为四级时，可以通过上述第一小程序的上架请求。

图8为本说明书中对小程序中的恶意代码进行实时管控一个实施例的流程图，从图8可以看出，本说明书实施例提供的小程序恶意代码的识别方法，在原有的小程序上架流程的基础上，新增解析安装包内代码、恶意代码模型和分层管控策略这3个流程，从而可以解决小程序场景下人工无法检测隐藏风险，以及人工发现恶意代码滞后的问题，将恶意代码的识别时效从上架后提前到上架前，避免了潜在的风险敞口，是目前较为合理的解决方案。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

图9为本说明书小程序恶意代码的识别装置一个实施例的结构示意图，如图9所示，上述小程序恶意代码的识别装置可以包括：接收模块91、抽取模块92、转换模块93、获得模块94和确定模块95；

其中，接收模块91，用于接收第一小程序的上架请求，上述第一小程序的上架请求中携带请求上架第三方服务平台的第一小程序的安装包；

抽取模块92，用于从上述第一小程序的安装包中抽取第一小程序的代码包结构和第一小程序的代码特征；其中，第一小程序的代码特征包括上述第一小程序的静态语法树序列特征和第一小程序的动态语法树序列特征；

转换模块93，用于将第一小程序的代码包结构和上述第一小程序的代码特征转换为编码向量；

获得模块94，用于根据上述编码向量获得第一小程序的代码指纹；

确定模块95，用于根据第一小程序的代码指纹确定上述第一小程序的风险评分；以及根据上述第一小程序的风险评分，确定上述第一小程序的安装包中存在恶意代码的风险等级。

图9所示实施例提供的小程序恶意代码的识别装置可用于执行本说明书图1所示方法实施例的技术方案，其实现原理和技术效果可以进一步参考方法实施例中的相关描述。

图10为本说明书小程序恶意代码的识别装置另一个实施例的结构示意图，与图9所示的小程序恶意代码的识别装置相比，图10所示的小程序恶意代码的识别装置中，确定模块95可以包括：匹配子模块951和评分子模块952；

其中，匹配子模块951，用于将第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹进行匹配，根据匹配结果确定第一小程序的代码指纹的风险评分；

评分子模块952，用于根据第一小程序的代码指纹的风险评分，获得上述第一小程序的风险评分。

本实施例中，匹配子模块951，具体用于计算第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹的相似度；根据上述相似度，从第二小程序的代码指纹中，获取与第一小程序的代码指纹相匹配的代码指纹；以及根据上述相匹配的代码指纹所属第二小程序的处罚类型评分和风险类型评分，确定第一小程序的代码指纹的风险评分。

进一步地，确定模块95还可以包括：

聚类子模块953，用于在匹配子模块951计算第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹的相似度之前，将第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹进行聚类，获得第一小程序的代码指纹所属的类别；

匹配子模块951，具体用于计算第一小程序的代码指纹与所属类别中其他代码指纹的相似度；其中，上述其他代码指纹包括所属类别中除第一小程序的代码指纹之外的其他代码指纹。

本实施例中，转换模块93，具体用于通过序列学习算法，将第一小程序的代码包结构和第一小程序的代码特征转换为编码向量。

进一步地，上述小程序恶意代码的识别装置还可以包括：

处理模块96，用于在确定模块95根据第一小程序的风险评分，确定第一小程序的安装包中存在恶意代码的风险等级之后，根据第一小程序的安装包中存在恶意代码的风险等级，对第一小程序的上架请求进行处理。

图10所示实施例提供的小程序恶意代码的识别装置可用于执行本申请图1～图8所示方法实施例的技术方案，其实现原理和技术效果可以进一步参考方法实施例中的相关描述。

图11为本说明书电子设备一个实施例的结构示意图，如图11所示，上述电子设备可以包括至少一个处理器；以及与上述处理器通信连接的至少一个存储器，其中：存储器存储有可被处理器执行的程序指令，上述处理器调用上述程序指令能够执行本说明书图1～图8所示实施例提供的小程序恶意代码的识别方法。

其中，上述电子设备可以为服务器，例如：云服务器，本实施例中，上述服务器即为第三方服务平台所使用的服务器。

图11示出了适于用来实现本说明书实施方式的示例性电子设备的框图。图11显示的电子设备仅仅是一个示例，不应对本说明书实施例的功能和使用范围带来任何限制。

如图11所示，电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于：一个或者多个处理器410，通信接口420，存储器430，以及连接不同组件(包括存储器430、通信接口420和处理单元410)的通信总线440。

通信总线440表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，或者使用多种总线结构中的任意总线结构的局域总线。举例来说，通信总线440可以包括但不限于工业标准体系结构(industry standardarchitecture，ISA)总线，微通道体系结构(micro channel architecture，MAC)总线，增强型ISA总线、视频电子标准协会(video electronics standards association，VESA)局域总线以及外围组件互连(peripheral component interconnection，PCI)总线。

电子设备典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

存储器430可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(random access memory，RAM)和/或高速缓存存储器。存储器430可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本说明书图1～图3所示实施例的功能。

具有一组(至少一个)程序模块的程序/实用工具，可以存储在存储器430中，这样的程序模块包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块通常执行本说明书图1～图3所描述的实施例中的功能和/或方法。

处理器410通过运行存储在存储器430中的程序，从而执行各种功能应用以及数据处理，例如实现本说明书图1～图8所示实施例提供的小程序恶意代码的识别方法。

本说明书实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行本说明书图1～图8所示实施例提供的小程序恶意代码的识别方法。

上述非暂态计算机可读存储介质可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(read only memory，ROM)、可擦式可编程只读存储器(erasable programmable read onlymemory，EPROM)或闪存、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、电线、光缆、射频(radio frequency，RF)等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本说明书操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(localarea network，LAN)或广域网(wide area network，WAN)连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本说明书的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本说明书的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本说明书的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本说明书的实施例所属技术领域的技术人员所理解。

取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地，取决于语境，短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。

需要说明的是，本说明书实施例中所涉及的终端可以包括但不限于个人计算机(personal computer，PC)、个人数字助理(personal digital assistant，PDA)、无线手持设备、平板电脑(tablet computer)、手机、MP3播放器、MP4播放器等。

在本说明书所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

另外，在本说明书各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机，服务器，或者网络装置等)或处理器(processor)执行本说明书各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM)、随机存取存储器(RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本说明书的较佳实施例而已，并不用以限制本说明书，凡在本说明书的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书保护的范围之内。

Claims (14)

1.一种小程序恶意代码的识别方法，包括：

接收第一小程序的上架请求，所述第一小程序的上架请求中携带请求上架第三方服务平台的第一小程序的安装包；

从所述第一小程序的安装包中抽取所述第一小程序的代码包结构和所述第一小程序的代码特征；其中，所述第一小程序的代码特征包括所述第一小程序的静态语法树序列特征和所述第一小程序的动态语法树序列特征；

将所述第一小程序的代码包结构和所述第一小程序的代码特征转换为编码向量；

根据所述编码向量获得所述第一小程序的代码指纹；

根据所述第一小程序的代码指纹确定所述第一小程序的风险评分；

根据所述第一小程序的风险评分，确定所述第一小程序的安装包中存在恶意代码的风险等级。

2.根据权利要求1所述的方法，其中，所述根据所述第一小程序的代码指纹确定所述第一小程序的风险评分包括：

将所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹进行匹配，根据匹配结果确定所述第一小程序的代码指纹的风险评分；

根据所述第一小程序的代码指纹的风险评分，获得所述第一小程序的风险评分。

3.根据权利要求2所述的方法，其中，所述将所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹进行匹配，根据匹配结果确定所述第一小程序的代码指纹的风险评分包括：

计算所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹的相似度；

根据所述相似度，从所述第二小程序的代码指纹中，获取与所述第一小程序的代码指纹相匹配的代码指纹；

根据所述相匹配的代码指纹所属第二小程序的处罚类型评分和风险类型评分，确定所述第一小程序的代码指纹的风险评分。

4.根据权利要求3所述的方法，其中，所述计算所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹的相似度之前，还包括：

将所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹进行聚类，获得所述第一小程序的代码指纹所属的类别；

所述计算所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹的相似度包括：

计算所述第一小程序的代码指纹与所属类别中其他代码指纹的相似度；其中，所述其他代码指纹包括所属类别中除所述第一小程序的代码指纹之外的其他代码指纹。

5.根据权利要求1所述的方法，其中，所述将所述第一小程序的代码包结构和所述第一小程序的代码特征转换为编码向量包括：

通过序列学习算法，将所述第一小程序的代码包结构和所述第一小程序的代码特征转换为编码向量。

6.根据权利要求1-5任意一项所述的方法，其中，所述根据所述第一小程序的风险评分，确定所述第一小程序的安装包中存在恶意代码的风险等级之后，还包括：

根据所述第一小程序的安装包中存在恶意代码的风险等级，对所述第一小程序的上架请求进行处理。

7.一种小程序恶意代码的识别装置，包括：

接收模块，用于接收第一小程序的上架请求，所述第一小程序的上架请求中携带请求上架第三方服务平台的第一小程序的安装包；

抽取模块，用于从所述第一小程序的安装包中抽取所述第一小程序的代码包结构和所述第一小程序的代码特征；其中，所述第一小程序的代码特征包括所述第一小程序的静态语法树序列特征和所述第一小程序的动态语法树序列特征；

转换模块，用于将所述第一小程序的代码包结构和所述第一小程序的代码特征转换为编码向量；

获得模块，用于根据所述编码向量获得所述第一小程序的代码指纹；

确定模块，用于根据所述第一小程序的代码指纹确定所述第一小程序的风险评分；以及根据所述第一小程序的风险评分，确定所述第一小程序的安装包中存在恶意代码的风险等级。

8.根据权利要求7所述的装置，其中，所述确定模块包括：

匹配子模块，用于将所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹进行匹配，根据匹配结果确定所述第一小程序的代码指纹的风险评分；

评分子模块，用于根据所述第一小程序的代码指纹的风险评分，获得所述第一小程序的风险评分。

9.根据权利要求8所述的装置，其中，

所述匹配子模块，具体用于计算所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹的相似度；根据所述相似度，从所述第二小程序的代码指纹中，获取与所述第一小程序的代码指纹相匹配的代码指纹；以及根据所述相匹配的代码指纹所属第二小程序的处罚类型评分和风险类型评分，确定所述第一小程序的代码指纹的风险评分。

10.根据权利要求9所述的装置，其中，所述确定模块还包括：

聚类子模块，用于在所述匹配子模块计算所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹的相似度之前，将所述第一小程序的代码指纹与预先保存的存在风险的第二小程序的代码指纹进行聚类，获得所述第一小程序的代码指纹所属的类别；

所述匹配子模块，具体用于计算所述第一小程序的代码指纹与所属类别中其他代码指纹的相似度；其中，所述其他代码指纹包括所属类别中除所述第一小程序的代码指纹之外的其他代码指纹。

11.根据权利要求7所述的装置，其中，

所述转换模块，具体用于通过序列学习算法，将所述第一小程序的代码包结构和所述第一小程序的代码特征转换为编码向量。

12.根据权利要求7-11任意一项所述的装置，其中，还包括：

处理模块，用于在所述确定模块根据所述第一小程序的风险评分，确定所述第一小程序的安装包中存在恶意代码的风险等级之后，根据所述第一小程序的安装包中存在恶意代码的风险等级，对所述第一小程序的上架请求进行处理。

13.一种电子设备，包括：

至少一个处理器；以及

与所述处理器通信连接的至少一个存储器，其中：

所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如权利要求1至6任一所述的方法。

14.一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行如权利要求1至6任一所述的方法。

Images