CN115080972A - 一种电力移动终端接口异常访问的检测方法及装置 - Google Patents
一种电力移动终端接口异常访问的检测方法及装置 Download PDFInfo
- Publication number
- CN115080972A CN115080972A CN202210844144.XA CN202210844144A CN115080972A CN 115080972 A CN115080972 A CN 115080972A CN 202210844144 A CN202210844144 A CN 202210844144A CN 115080972 A CN115080972 A CN 115080972A
- Authority
- CN
- China
- Prior art keywords
- target
- interface
- program
- mobile terminal
- service type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种电力移动终端接口异常访问的检测方法及装置。方法包括:获取当前待检测的目标电力移动终端,并确定目标电力移动终端对应的目标业务类型;从目标电力移动终端部署的至少一个程序中,获取与目标业务类型相关联的目标程序;采集目标程序在运行过程中的所有接口调用序列;利用目标业务类型对应的目标异常检测模型检测目标程序对应的所有接口调用序列,得到目标电力移动终端对应的目标检测结果。本申请根据电力移动终端对应的业务类型,获取相应程序的接口调用序列以及异常检测模型,通过异常检测模型对接口调用序列进行检测,能够针对不同业务类型实现电力移动终端的接口异常访问的有效检测,弥补电力移动终端的安全防护的不足。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种电力移动终端接口异常访问的检测方法及装置。
背景技术
目前基于接口调用进行异常检测主要针对市场上流行的正常软件与恶意软件,缺乏针对电力移动终端移动业务相关软件的异常检测研究。此外,传统的Android接口调用序列动态分析工具如Cuckoo sandBox、APIMonitor、DroidBox等,都是基于虚拟沙箱、模拟器环境搭建的,而电力移动终端部分业务软件存在反沙箱、反模拟器的情况,无法在虚拟环境中运行,因此传统的接口调用序列动态分析方法无法适用于电力移动业务软件。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本申请提供了一种电力移动终端接口异常访问的检测方法及装置。
根据本申请实施例的一个方面,提供了一种电力移动终端接口异常访问的检测,包括:
获取当前待检测的目标电力移动终端,并确定所述目标电力移动终端对应的目标业务类型;
从所述目标电力移动终端部署的至少一个程序中,获取与所述目标业务类型相关联的目标程序;
采集所述目标程序在运行过程中的所有接口调用序列;
利用所述目标业务类型对应的目标异常检测模型检测所述目标程序对应的所有接口调用序列,得到所述目标电力移动终端对应的目标检测结果,其中,所述目标检测结果用于指示所述目标电力移动终端是否存在异常访问。
进一步的,所述采集所述目标程序在运行过程中的所有接口调用序列,包括:
获取所述目标程序对应的第一安装包;
利用所述第一安装包在目标模拟器上部署所述目标程序;
通过所述目标模拟器运行所述目标程序,并在预设时间周期内捕获所述目标程序的运行文件;
从所述运行文件中提取被调用接口的接口名称、接口参数以及接口类型,并基于所述接口名称、接口参数以及所述接口类型生成所述接口调用序列。
进一步的,所述利用所述目标业务类型对应的目标异常检测模型检测所述目标程序对应的所有接口调用序列,得到所述目标电力移动终端对应的目标检测结果,包括:
从至少一个异常检测模型中,确定所述目标业务类型对应的目标异常检测模型;
将所述目标程序的所有接口调用序列输入至所述目标异常检测模型,以使所述目标异常检测模型提取所述所有接口调用序列对应的目标特征,并基于特征与访问类型之间的对应关系,确定所述目标特征对应的目标访问类型;
将所述目标访问类型确定为所述目标检测结果。
进一步的,所述方法还包括:
获取第一训练样本以及第二训练样本,其中,所述第一训练样本包括各个业务类型所关联正常程序的第一接口调用序列,所述第二训练样本包括各个业务类型所关联恶意程序的第二接口调用序列;
获取所述第一训练样本对应的第一标签,以及所述第二训练样本对应的第二标签,其中,所述第一标签用于标注所述第一训练样本对应的正常访问类型,所述第二标签用于标注所述第二训练样本对应的异常访问类型;
利用所述第一训练样本、第二训练样本、第一标签以及所述第二标签训练各个业务类型对应的深度学习网络模型,得到各个业务类型对应的异常检测模型。
进一步的,所述获取第一训练样本以及第二训练样本,包括:
获取各个业务类型对应的电力移动终端,并从所述电力移动终端获取与所述业务类型相关联的正常程序对应的第二安装包;
获取恶意程序对应的第三安装包;
利用所述第二安装包在目标模拟器上部署所述正常程序,利用所述第三安装包在目标模拟器上部署所述恶意程序;
通过所述目标模拟器运行所述正常程序以及恶意程序,采集所述正常程序在预设时间周期内的第一运行文件,以及所述恶意程序在所述预设时间周期内的第二运行文件;
从所述第一运行文件中提取所述正常程序对应的第一接口调用序列,以及从所述第二运行文件中提取所述恶意程序对应的第二接口调用序列;
将所述第一接口调用序列确定为所述第一训练样本,以及将所述第二接口调用序列确定为所述第二训练样本。
进一步的,所述从所述第一运行文件中提取所述正常程序对应的第一接口调用序列,以及从所述第二运行文件中提取所述恶意程序对应的第二接口调用序列,包括:
计算所述第一运行文件所携带的每个接口调用对应的第一信息增益值,并利用所述第一信息增益值最大的接口调用组成所述第一接口调用序列;
计算所述第二运行文件所携带的每个接口调用对应的第二信息增益值,并利用所述第二信息增益值最大的接口调用组成所述第二接口调用序列。
进一步的,所述深度学习网络模型包括:嵌入网络、卷积网络以及分类网络;
所述利用所述第一训练样本、第二训练样本、第一标签以及所述第二标签训练各个业务类型对应的深度学习网络模型,得到各个业务类型对应的异常检测模型,包括:
通过所述嵌入层将所述第一训练样本包括的第一接口调用序列,以及所述第二训练样本包括的第二接口调用序列分别转换为第一词向量和第二词向量;
通过所述卷积层提取所述第一词向量的第一特征,以及提取所述第二词向量的第二特征;
通过所述分类层学习所述第一特征与正常访问类型之间的第一对应关系,以及学习所述第二特征与异常访问类型之间的第二对应关系,得到各个业务类型对应的异常检测模型。
根据本申请实施例的另一个方面,还提供了一种终端异常访问的检测装置,包括:
第一获取模块,用于获取当前待检测的目标电力移动终端,并确定所述目标电力移动终端对应的目标业务类型;
第二获取模块,用于从所述目标电力移动终端部署的至少一个程序中,获取与所述目标业务类型相关联的目标程序;
采集模块,用于采集所述目标程序在运行过程中的所有接口调用序列;
检测模块,用于利用所述目标业务类型对应的目标异常检测模型检测所述目标程序对应的所有接口调用序列,得到所述目标电力移动终端对应的目标检测结果,其中,所述目标检测结果用于指示所述目标电力移动终端是否存在异常访问。
根据本申请实施例的另一方面,还提供了一种存储介质,该存储介质包括存储的程序,程序运行时执行上述的步骤。
根据本申请实施例的另一方面,还提供了一种电子装置,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;其中:存储器,用于存放计算机程序;处理器,用于通过运行存储器上所存放的程序来执行上述方法中的步骤。
本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述方法中的步骤。
本申请实施例提供的上述技术方案与现有技术相比具有如下优点:本申请实施例提供的方法根据电力移动终端对应的业务类型,获取相应程序的接口调用序列以及异常检测模型,通过异常检测模型对接口调用序列进行检测,能够针对不同业务类型实现电力移动终端的接口异常访问的有效检测,弥补电力移动终端层面的安全防护的不足。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种电力移动终端接口异常访问的检测方法的流程图;
图2为本申请另一实施例提供的一种电力移动终端接口异常访问的检测方法的流程图;
图3为本申请实施例提供的一种电力移动终端接口异常访问的检测装置的框图;
图4为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个类似的实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本申请实施例提供了一种电力移动终端接口异常访问的检测方法及装置。本发明实施例所提供的方法可以应用于任意需要的电子设备,例如,可以为服务器、终端等电子设备,在此不做具体限定,为描述方便,后续简称为电子设备。
根据本申请实施例的一方面,提供了一种电力移动终端接口异常访问的检测方法的方法实施例。图1为本申请实施例提供的一种电力移动终端接口异常访问的检测方法的流程图,如图1所示,该方法包括:
步骤S11,获取当前待检测的目标电力移动终端,并确定目标电力移动终端对应的目标业务类型。
本申请实施例提供的方法应用于进行数据处理的智能移动终端,智能移动终端可以是笔记本电脑、平板电脑等等。具体的,智能移动终端可以获取检测任务,从检测任务中提取终端标识,并查询该终端标识对应的电力移动终端,将该电力移动终端确定为当前待检测的目标电力移动终端。同时可以依据终端标识从预设业务类型表中确定目标电力移动终端所承载的业务,并依据其承载的业务确定目标电力移动终端的目标业务类型,目标业务类型可以是:生产类型、营销类型以及办公类型等。
作为一个示例,当目标电力移动终端所承载的业务包括:移动巡检,和/或移动监控等业务时,其对应的目标业务类型为生产类型。当目标电力移动终端所承载的业务包括:移动营销服务等业务时,其对应的目标业务类型为营销类型。当目标电力移动终端所承载的业务包括:办公、移动学习与新闻等业务时,其对应的目标业务类型为办公类型。
步骤S12,从目标电力移动终端部署的至少一个程序中,获取与目标业务类型相关联的目标程序。
在本申请实施例中,在确定目标电力移动终端对应的目标业务类型之后,获取目标电力移动终端当前部署的程序,从部署的程序中获取与目标业务类型相关联的目标程序。
作为一个示例,当目标业务类型为生产类型的情况下,目标电力移动终端中的目标程序包括:监控程序、生产调度程序等等。当目标业务类型为办公类型的情况下,目标电力移动终端中的目标程序包括:审批程序、记录程序等等。
步骤S13,采集目标程序在运行过程中的所有接口调用序列。
在本申请实施例中,采集目标程序在运行过程中的所有接口调用序列,包括以下步骤A1-A4:
步骤A1,获取目标程序对应的第一安装包。
步骤A2,利用第一安装包在目标模拟器上部署目标程序。
步骤A3,通过目标模拟器运行目标程序,并在预设时间周期内捕获目标程序的运行文件。
步骤A4,从运行文件中提取被调用接口的接口名称、接口参数以及接口类型,并基于接口名称、接口参数以及接口类型生成接口调用序列。
在本申请实施例中,收集电力移动终端中目标程序的第一安装包(即apk安装包),然后利用第一安装包将目标程序安装到安卓模拟器,对于未能在安卓模拟器运行的目标程序则安装至已打开root权限的真实设备,并通过USB数据线连接真实设备与计算机使得数据能够互相传输。
启动安卓模拟器或连接已打开root权限真实设备之后,打开Android DeviceMonitor工具检查是否存在在线安卓设备,若存在,则通过adb命令行进入安卓shell,设置ro.debuggable=1为可调试模式,并通过stop;start;命令重启设备。
若不存在,则在安卓模拟器上运行目标程序,在进程列表中选定对应进程启动Method Profiling功能开始监视软件运行,同时通过adb命令进入安卓shell,启动Monkey工具模拟人为点击屏幕,维持软件运行预设时间后,结束Method Profiling功能停止监视软件运行,在AppData/Temp目录下自动生成trace跟踪文件,并在命令行启动Dmtracedump工具解析trace跟踪文件得到运行文件。从运行文件中提取被调用接口的接口名称,接口参数以及接口类型,并基于接口名称、接口参数以及接口类型生成接口调用序列。
步骤S14,利用目标业务类型对应的目标异常检测模型检测目标程序的所有接口调用序列,得到目标电力移动终端对应的目标检测结果,其中,目标检测结果用于指示目标电力移动终端是否存在异常访问。
在本申请实施例中,利用目标业务类型对应的目标异常检测模型检测目标程序的所有接口调用序列,得到目标电力移动终端对应的目标检测结果,包括以下步骤B1-B3:
步骤B1,从至少一个异常检测模型中,确定目标业务类型对应的目标异常检测模型。
步骤B2,将目标程序的所有接口调用序列输入至目标异常检测模型,以使目标异常检测模型提取所有接口调用序列对应的目标特征,并基于特征与访问类型之间的对应关系,确定目标特征对应的目标访问类型。
步骤B3,将目标访问类型确定为目标检测结果。
在本申请实施例中,由于不同业务类型对应不同的检测模型,因此利用目标业务类型确定目标异常检测模型,检测模型可以是基于基于PyTorch框架搭建CNN-BiLSTM神经网络模型,其中该模型共包含五层:第一层(Word2vec嵌入层):利用Word2vec算法作为嵌入层,将输入的接口调用序列转换为相同维度的词向量输入神经网络。第二层(卷积层):多通道多核融合的卷积层用于提取接口调用序列的目标特征,并经过ReLU函数进行非线性激活。第三层(池化层):池化层通过下采样操作,简化网络复杂度、压缩训练特征、减少训练参数。第四层(双向长短期记忆循环神经网络层):双向BiLSTM层对输入数据进行训练学习,充分从目标特征中捕获接口调用序列的上下文语义关系,并结合Dropout机制防止模型过拟合。第五层(全连接层):通过全连接层和softmax函数对接口调用序列进行分类,得到目标访问类型,将目标访问类型确定为目标检测结果。
本申请实施例提供的方法根据电力移动终端对应的业务类型,获取相应程序的接口调用序列以及异常检测模型,通过异常检测模型对接口调用序列进行检测,能够针对不同业务类型实现电力移动终端的接口异常访问的有效检测,弥补电力移动终端层面的安全防护的不足。
在图2为本申请实施例提供的一种电力移动终端接口异常访问的检测方法的流程图,如图2所示,该方法可以包括以下步骤:
步骤S21,获取第一训练样本以及第二训练样本,其中,第一训练样本包括各个业务类型所关联正常程序的第一接口调用序列,第二训练样本包括各个业务类型所关联恶意程序的第二接口调用序列。
在本申请实施例中,获取第一训练样本以及第二训练样本,包括以下步骤C1-C6:
步骤C1,获取各个业务类型对应的电力移动终端,并从电力移动终端获取与业务类型相关联的正常程序对应的第二安装包;
步骤C2,获取恶意程序对应的第三安装包;
步骤C3,利用第二安装包在目标模拟器上部署正常程序,利用第三安装包在目标模拟器上部署恶意程序;
步骤C4,通过目标模拟器运行正常程序以及恶意程序,采集正常程序在预设时间周期内的第一运行文件,以及恶意程序在预设时间周期内的第二运行文件;
步骤C5,从第一运行文件中提取正常程序对应的第一接口调用序列,以及从第二运行文件中提取恶意程序对应的第二接口调用序列;
步骤C6,将第一接口调用序列确定为第一训练样本,以及将第二接口调用序列确定为第二训练样本。
在本申请实施例中,分别收集不同业务类型下电力移动终端的程序的第二安装包,并从Virusshare网站下载恶意程序的第三安装包,然后将电力移动终端的程序,以及恶意程序安装至安卓模拟器,对于未能在安卓模拟器运行的应用软件则安装至已打开root权限的真实设备,并通过USB数据线连接真实设备与计算机使得数据能够互相传输。
启动安卓模拟器或连接已打开root权限真实设备之后,打开Android DeviceMonitor工具检查是否存在在线安卓设备,若存在,则通过adb命令行进入安卓shell,设置ro.debuggable=1为可调试模式,并通过stop;start;命令重启设备。
若不存在,则在安卓模拟器上运行目标程序,在进程列表中选定对应进程启动Method Profiling功能开始监视软件运行,同时通过adb命令进入安卓shell,启动Monkey工具模拟人为点击屏幕,维持软件运行预设时间后,结束Method Profiling功能停止监视软件运行,在AppData/Temp目录下自动生成trace跟踪文件,并在命令行启动Dmtracedump工具解析trace跟踪文件得到运行文件。从运行文件中提取被调用接口的接口名称,接口参数以及接口类型,并基于接口名称、接口参数以及接口类型生成接口调用序列。
步骤S22,获取第一训练样本对应的第一标签,以及第二训练样本对应的第二标签,其中,第一标签用于标注第一训练样本对应的正常访问类型,第二标签用于标注第二训练样本对应的异常访问类型。
在本申请实施例中从第一运行文件中提取正常程序对应的第一接口调用序列,以及从第二运行文件中提取恶意程序对应的第二接口调用序列,包括以下步骤D1-D2:
步骤D1,计算第一运行文件所携带的每个接口调用对应的第一信息增益值,并利用第一信息增益值较大的接口调用组成第一接口调用序列;
步骤D2,计算第二运行文件所携带的每个接口调用对应的第二信息增益值,并利用第二信息增益值较大的接口调用组成第二接口调用序列。
在本申请实施例中,计算第一运行文件所携带的每个接口调用对应的第一信息增益值,及计算第二运行文件所携带的每个接口调用对应的第二信息增益值的公式如下:
H(Y)=-∑p(y)log2p(y) (1)
H(Y|X)=∑p(x)H(Y|X=x) (2)
IG(x)=H(Y)-H(Y|X) (3)
式中,Y表示所有样本,X标识某个接口调用,通过公式(1)计算出总样本信息熵H(Y),通过公式(2)计算出每个接口的条件熵H(Y|X),通过公式(3)计算出每个接口的信息增益值IG(X)。
然后将第一运行文件中信息增益值最大的接口调用序列,或信息增益值大于预设阈值的接口调用序列作为第一接口调用序列,将第一运行文件中信息增益值最大的接口调用序列,或信息增益值大于预设阈值的接口调用序列作为第二接口调用序列。
步骤S23,利用第一训练样本、第二训练样本、第一标签以及第二标签训练各个业务类型对应的深度学习网络模型,得到各个业务类型对应的异常检测模型。
在本申请实施例中,深度学习网络模型包括:嵌入层、卷积层以及分类层;
在本申请实施例中,利用第一训练样本、第二训练样本、第一标签以及第二标签训练各个业务类型对应的深度学习网络模型,得到各个业务类型对应的异常检测模型,包括以下步骤D1-D3:
步骤D1,通过嵌入层将第一训练样本包括的第一接口调用序列,以及第二训练样本包括的第二接口调用序列分别转换为第一词向量和第二词向量;
步骤D2,通过卷积层提取第一词向量的第一特征,以及提取第二词向量的第二特征;
步骤D3,通过分类层学习第一特征与正常访问类型之间的第一对应关系,以及学习第二特征与异常访问类型之间的第二对应关系,得到各个业务类型对应的异常检测模型。
在本申请实施例中,基于PyTorch框架搭建CNN-BiLSTM神经网络模型,其中该模型共包含五层:第一层(Word2vec嵌入层):利用Word2vec算法作为嵌入层,将输入的API调用序列转换为相同维度的词向量输入神经网络。第二层(卷积层):多通道多核融合的卷积层用于提取API调用序列特征,并经过ReLU函数进行非线性激活。第三层(池化层):池化层通过下采样操作,简化网络复杂度、压缩训练特征、减少训练参数。第四层(双向长短期记忆循环神经网络层):双向BiLSTM层对输入数据进行训练学习,充分捕获API序列的上下文语义关系,并结合Dropout机制防止模型过拟合。第五层(全连接层):通过全连接层和softmax函数对正常样本(第一训练样本)和恶意样本(第二训练样本)进行分类。
在本申请实施例中,分别将生产类型、营销类型与办公类型的接口调用序列训练集输入CNN-BiLSTM模型中进行训练学习,生成三类异常访问检测模型。再分别将生产、营销与办公应用场景下的接口调用序列测试集输入对应的接口异常访问检测模型中以测试模型的检测效果,若检测准确率达到要求,否则调整模型参数继续训练。
需要说明的是,本申请实施例提出的CNN-BiLSTM深度学习算法的检测准确率均优于传统机器学习算法KNN,SVM,决策树和随机森林。因此,本发明能够为不同应用场景下的电力移动终端提供有效的API异常访问检测模型,而且可以用于辅助电力移动终端的安全状态评估,弥补电力移动终端层面的安全防护的不足。
图3为本申请实施例提供的一种电力移动终端接口异常访问的检测装置的框图,该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。如图3所示,该装置包括:
第一获取模块31,用于获取当前待检测的目标电力移动终端,并确定目标电力移动终端对应的目标业务类型。
第二获取模块32,用于从目标电力移动终端部署的至少一个程序中,获取与目标业务类型相关联的目标程序。
采集模块33,用于采集目标程序在运行过程中的所有接口调用序列。
检测模块34,用于利用目标业务类型对应的目标异常检测模型检测目标程序对应的所有接口调用序列,得到目标电力移动终端对应的目标检测结果,其中,目标检测结果用于指示目标电力移动终端是否存在异常访问。
在本申请实施例中,采集模块33,用于获取目标程序对应的第一安装包;利用第一安装包在目标模拟器上部署目标程序;通过目标模拟器运行目标程序,并在预设时间周期内捕获目标程序的运行文件;从运行文件中提取被调用接口的接口名称、接口参数以及接口类型,并基于接口名称、接口参数以及接口类型生成接口调用序列。
在本申请实施例中,检测模块34,用于从至少一个异常检测模型中,确定目标业务类型对应的目标异常检测模型;将目标程序的所有接口调用序列输入至目标异常检测模型,以使目标异常检测模型提取所有接口调用序列对应的目标特征,并基于特征与访问类型之间的对应关系,确定目标特征对应的目标访问类型;将目标访问类型确定为目标检测结果。
在本申请实施例中,终端异常访问的检测装置还包括:训练模块,用于获取第一训练样本以及第二训练样本,其中,第一训练样本包括各个业务类型所关联正常程序的第一接口调用序列,第二训练样本包括各个业务类型所关联恶意程序的第二接口调用序列;获取第一训练样本对应的第一标签,以及第二训练样本对应的第二标签,其中,第一标签用于标注第一训练样本对应的正常访问类型,第二标签用于标注第二训练样本对应的异常访问类型;利用第一训练样本、第二训练样本、第一标签以及第二标签训练各个业务类型对应的深度学习网络模型,得到各个业务类型对应的异常检测模型。
在本申请实施例中,训练模块,用于获取各个业务类型对应的电力移动终端,并从电力移动终端获取与业务类型相关联的正常程序对应的第二安装包;获取恶意程序对应的第三安装包;利用第二安装包在目标模拟器上部署正常程序,利用第三安装包在目标模拟器上部署恶意程序;通过目标模拟器运行正常程序以及恶意程序,采集正常程序在预设时间周期内的第一运行文件,以及恶意程序在预设时间周期内的第二运行文件;从第一运行文件中提取正常程序对应的第一接口调用序列,以及从第二运行文件中提取恶意程序对应的第二接口调用序列;将第一接口调用序列确定为第一训练样本,以及将第二接口调用序列确定为第二训练样本。
在本申请实施例中,训练模块,用于计算第一运行文件所携带的每个接口调用对应的第一信息增益值,并利用第一信息增益值较大的接口调用组成第一接口调用序列;计算第二运行文件所携带的每个接口调用对应的第二信息增益值,并利用第二信息增益值较大的接口调用组成第二接口调用序列。
在本申请实施例中,深度学习网络模型包括:嵌入网络、卷积网络以及分类网络。
训练模块,用于通过嵌入层将第一训练样本包括的第一接口调用序列,以及第二训练样本包括的第二接口调用序列分别转换为第一词向量和第二词向量;通过卷积层提取第一词向量的第一特征,以及提取第二词向量的第二特征;通过分类层学习第一特征与正常访问类型之间的第一对应关系,以及学习第二特征与异常访问类型之间的第二对应关系,得到各个业务类型对应的异常检测模型。
本申请实施例还提供一种电子设备,如图4所示,电子设备可以包括:处理器1501、通信接口1502、存储器1503和通信总线1504,其中,处理器1501,通信接口1502,存储器1503通过通信总线1504完成相互间的通信。
存储器1503,用于存放计算机程序;
处理器1501,用于执行存储器1503上所存放的计算机程序时,实现上述实施例的步骤。
上述终端提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述终端与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,简称RAM),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的一种电力移动终端接口异常访问的检测方法。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的一种电力移动终端接口异常访问的检测方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘SolidState Disk)等。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
以上所述仅是本申请的具体实施方式,使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种电力移动终端接口异常访问的检测方法,其特征在于,包括:
获取当前待检测的目标电力移动终端,并确定所述目标电力移动终端对应的目标业务类型;
从所述目标电力移动终端部署的至少一个程序中,获取与所述目标业务类型相关联的目标程序;
采集所述目标程序在运行过程中的所有接口调用序列;
利用所述目标业务类型对应的目标异常检测模型检测所述目标程序对应的所有接口调用序列,得到所述目标电力移动终端对应的目标检测结果,其中,所述目标检测结果用于指示所述目标电力移动终端是否存在异常访问。
2.根据权利要求1所述的方法,其特征在于,所述采集所述目标程序在运行过程中的所有接口调用序列,包括:
获取所述目标程序对应的第一安装包;
利用所述第一安装包在目标模拟器上部署所述目标程序;
通过所述目标模拟器运行所述目标程序,并在预设时间周期内捕获所述目标程序的运行文件;
从所述运行文件中提取被调用接口的接口名称、接口参数以及接口类型,并基于所述接口名称、接口参数以及所述接口类型生成所述接口调用序列。
3.根据权利要求1所述的方法,其特征在于,所述利用所述目标业务类型对应的目标异常检测模型检测所述目标程序对应的所有接口调用序列,得到所述目标电力移动终端对应的目标检测结果,包括:
从至少一个异常检测模型中,确定所述目标业务类型对应的目标异常检测模型;
将所述目标程序的所有接口调用序列输入至所述目标异常检测模型,以使所述目标异常检测模型提取所述所有接口调用序列对应的目标特征,并基于特征与访问类型之间的对应关系,确定所述目标特征对应的目标访问类型;
将所述目标访问类型确定为所述目标检测结果。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取第一训练样本以及第二训练样本,其中,所述第一训练样本包括各个业务类型所关联正常程序的第一接口调用序列,所述第二训练样本包括各个业务类型所关联恶意程序的第二接口调用序列;
获取所述第一训练样本对应的第一标签,以及所述第二训练样本对应的第二标签,其中,所述第一标签用于标注所述第一训练样本对应的正常访问类型,所述第二标签用于标注所述第二训练样本对应的异常访问类型;
利用所述第一训练样本、第二训练样本、第一标签以及所述第二标签训练各个业务类型对应的深度学习网络模型,得到各个业务类型对应的异常检测模型。
5.根据权利要求4所述的方法,其特征在于,所述获取第一训练样本以及第二训练样本,包括:
获取各个业务类型对应的电力移动终端,并从所述电力移动终端获取与所述业务类型相关联的正常程序对应的第二安装包;
获取恶意程序对应的第三安装包;
利用所述第二安装包在目标模拟器上部署所述正常程序,利用所述第三安装包在目标模拟器上部署所述恶意程序;
通过所述目标模拟器运行所述正常程序以及恶意程序,采集所述正常程序在预设时间周期内的第一运行文件,以及所述恶意程序在所述预设时间周期内的第二运行文件;
从所述第一运行文件中提取所述正常程序对应的第一接口调用序列,以及从所述第二运行文件中提取所述恶意程序对应的第二接口调用序列;
将所述第一接口调用序列确定为所述第一训练样本,以及将所述第二接口调用序列确定为所述第二训练样本。
6.根据权利要求5所述的方法,其特征在于,所述从所述第一运行文件中提取所述正常程序对应的第一接口调用序列,以及从所述第二运行文件中提取所述恶意程序对应的第二接口调用序列,包括:
计算所述第一运行文件所携带的每个接口调用对应的第一信息增益值,并利用所述第一信息增益值较大的接口调用组成所述第一接口调用序列;
计算所述第二运行文件所携带的每个接口调用对应的第二信息增益值,并利用所述第二信息增益值较大的接口调用组成所述第二接口调用序列。
7.根据权利要求4所述的方法,其特征在于,所述深度学习网络模型包括:嵌入层、卷积层以及分类层;
所述利用所述第一训练样本、第二训练样本、第一标签以及所述第二标签训练各个业务类型对应的深度学习网络模型,得到各个业务类型对应的异常检测模型,包括:
通过所述嵌入层将所述第一训练样本包括的第一接口调用序列,以及所述第二训练样本包括的第二接口调用序列分别转换为第一词向量和第二词向量;
通过所述卷积层提取所述第一词向量的第一特征,以及提取所述第二词向量的第二特征;
通过所述分类层学习所述第一特征与正常访问类型之间的第一对应关系,以及学习所述第二特征与异常访问类型之间的第二对应关系,得到各个业务类型对应的异常检测模型。
8.一种终端异常访问的检测装置,其特征在于,包括:
第一获取模块,用于获取当前待检测的目标电力移动终端,并确定所述目标电力移动终端对应的目标业务类型;
第二获取模块,用于从所述目标电力移动终端部署的至少一个程序中,获取与所述目标业务类型相关联的目标程序;
采集模块,用于采集所述目标程序在运行过程中的所有接口调用序列;
检测模块,用于利用所述目标业务类型对应的目标异常检测模型检测所述目标程序对应的所有接口调用序列,得到所述目标电力移动终端对应的目标检测结果,其中,所述目标检测结果用于指示所述目标电力移动终端是否存在异常访问。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行上述权利要求1至7中任一项所述的方法步骤。
10.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;其中:
存储器,用于存放计算机程序;
处理器,用于通过运行存储器上所存放的程序来执行权利要求1至7中任一项所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210844144.XA CN115080972A (zh) | 2022-07-18 | 2022-07-18 | 一种电力移动终端接口异常访问的检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210844144.XA CN115080972A (zh) | 2022-07-18 | 2022-07-18 | 一种电力移动终端接口异常访问的检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115080972A true CN115080972A (zh) | 2022-09-20 |
Family
ID=83260469
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210844144.XA Pending CN115080972A (zh) | 2022-07-18 | 2022-07-18 | 一种电力移动终端接口异常访问的检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115080972A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117235708A (zh) * | 2023-11-13 | 2023-12-15 | 紫光同芯微电子有限公司 | 应用程序运行时的接口授权调用方法、装置、系统和介质 |
-
2022
- 2022-07-18 CN CN202210844144.XA patent/CN115080972A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117235708A (zh) * | 2023-11-13 | 2023-12-15 | 紫光同芯微电子有限公司 | 应用程序运行时的接口授权调用方法、装置、系统和介质 |
CN117235708B (zh) * | 2023-11-13 | 2024-03-26 | 紫光同芯微电子有限公司 | 应用程序运行时的接口授权调用方法、装置、系统和介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112417439B (zh) | 账号检测方法、装置、服务器及存储介质 | |
CN110321371B (zh) | 日志数据异常检测方法、装置、终端及介质 | |
CN101751535B (zh) | 通过应用程序数据访问分类进行的数据损失保护 | |
CN108366045B (zh) | 一种风控评分卡的设置方法和装置 | |
CN109933984B (zh) | 一种最佳聚类结果筛选方法、装置和电子设备 | |
CN109120429B (zh) | 一种风险识别方法及系统 | |
CN109905385B (zh) | 一种webshell检测方法、装置及系统 | |
CN108614970B (zh) | 病毒程序的检测方法、模型训练方法、装置及设备 | |
WO2021174812A1 (zh) | 用于画像的数据的清洗方法、装置、介质及电子设备 | |
CN111858242A (zh) | 一种系统日志异常检测方法、装置及电子设备和存储介质 | |
CN104252592A (zh) | 外挂应用程序的识别方法及装置 | |
CN110351299B (zh) | 一种网络连接检测方法和装置 | |
WO2019242442A1 (zh) | 基于多模型特征的恶意软件识别方法、系统及相关装置 | |
CN115080972A (zh) | 一种电力移动终端接口异常访问的检测方法及装置 | |
CN112688966A (zh) | webshell检测方法、装置、介质和设备 | |
CN110909005A (zh) | 一种模型特征分析方法、装置、设备及介质 | |
CN113127320B (zh) | 应用程序异常检测方法、装置、设备及系统 | |
CN108427882B (zh) | 基于行为特征抽取的安卓软件动态分析检测法 | |
CN113312619B (zh) | 基于小样本学习的恶意进程检测方法、装置、电子设备及存储介质 | |
CN114492576A (zh) | 一种异常用户检测方法、系统、存储介质及电子设备 | |
CN114638304A (zh) | 图像识别模型的训练方法、图像识别方法及装置 | |
CN114662099A (zh) | 基于ai模型的应用程序恶意行为检测方法及设备 | |
CN113946826A (zh) | 一种漏洞指纹静默分析监测的方法、系统、设备和介质 | |
CN114189585A (zh) | 骚扰电话异常检测方法、装置及计算设备 | |
CN113254292A (zh) | 距离感应功能检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |