CN116662990B - 恶意应用识别方法、电子设备、存储介质及程序产品 - Google Patents

恶意应用识别方法、电子设备、存储介质及程序产品 Download PDF

Info

Publication number
CN116662990B
CN116662990B CN202211474132.9A CN202211474132A CN116662990B CN 116662990 B CN116662990 B CN 116662990B CN 202211474132 A CN202211474132 A CN 202211474132A CN 116662990 B CN116662990 B CN 116662990B
Authority
CN
China
Prior art keywords
installation
feature
application
model
new
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211474132.9A
Other languages
English (en)
Other versions
CN116662990A (zh
Inventor
鲍璐
陈贵龙
陈虹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honor Device Co Ltd
Original Assignee
Honor Device Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honor Device Co Ltd filed Critical Honor Device Co Ltd
Priority to CN202211474132.9A priority Critical patent/CN116662990B/zh
Publication of CN116662990A publication Critical patent/CN116662990A/zh
Application granted granted Critical
Publication of CN116662990B publication Critical patent/CN116662990B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例提供了一种恶意应用识别方法、电子设备、存储介质及程序产品,涉及数据处理技术领域,应用于电子设备,上述方法包括:在安装新应用后,确定新应用在第一预设时间段内在各个电子设备中的安装数量,作为安装数量特征;基于各个设备型号的电子设备安装新应用的数量,获取安装型号特征;基于各个预设年龄段的用户所使用的电子设备安装新应用的数量,获取安装年龄特征;基于安装数量特征、安装型号特征、安装年龄特征,识别新应用是否为恶意应用。应用本申请实施例能够对快速的识别恶意应用。

Description

恶意应用识别方法、电子设备、存储介质及程序产品
技术领域
本申请涉及数据处理技术领域,特别是涉及一种恶意应用识别方法、电子设备、存储介质及程序产品。
背景技术
恶意应用是会恶意弹出广告影响用户正常使用设备的应用,当前用户在使用设备的过程中,由于误触广告、误点击链接等,容易现在用户容易安装到恶意应用,而恶意应用会对用户造成较差的用户体验,甚至会对用户所使用的设备造成损坏,因此需要能够对恶意应用进行识别。
相关现有技术可以提取表示待识别应用所进行的行为的行为信息,然后基于行为信息识别待识别应用是否是恶意应用,但是当上述待识别应用刚安装到用户所使用的设备时,待识别应用所进行的行为较少,使得上述行为信息较少,基于少量的行为信息难以准确地对待识别应用是否是恶意应用进行识别。因此基于也就是说相关现有技术需要较长的时间才能够可以提取到足够的行为信息来识别上述待识别应用是否是恶意应用。但在此情况下,恶意应用已经对用户体验造成了较大的影响
,因为现有技术需要消耗较长的时间才能够对上述待识别应用进行识别,所以如果上述待识别应用为恶意应用,当现有技术能够对上述待识别应用进行识别时,上述待识别应用可能已经对用户造成较差的用户体验,甚至可能已经对用户所使用的设备造成损坏。
鉴于上述情况,需要一种恶意应用识别方案,能够快速的识别出恶意应用。
发明内容
有鉴于此,本申请提供一种恶意应用识别方法、电子设备、存储介质及程序产品,以能够快速的识别恶意应用。
第一方面,本申请实施例提供了一种恶意应用识别方法,上述方法包括:
在安装新应用后,电子设备确定所述新应用在第一预设时间段内在各个电子设备中的安装数量,作为安装数量特征;
电子设备基于各个设备型号的电子设备安装所述新应用的数量,获取安装型号特征;
电子设备基于各个预设年龄段的用户所使用的电子设备安装所述新应用的数量,获取安装年龄特征;
电子设备基于所述安装数量特征、安装型号特征、安装年龄特征,识别所述新应用是否为恶意应用。
由以上可见,本申请实施例中的电子设备依次获取上述安装数量特征、安装型号特征和安装年龄特征,安装数量特征表示各个电子设备安装上述新应用的数量,由于恶意应用会频繁的安装在电子设备中,即恶意应用安装在各个电子设备中的数量较多,因此电子设备可以基于上述安装数量特征识别上述新应用是否是恶意应用;上述安装型号特征可以表示各个设备型号的电子设备安装上述新应用的数量,由于软硬件配置较低的电子设备安装恶意应用的数量较多,软硬件配置较高的电子设备安装恶意应用的数量较少,因此电子设备可以基于上述安装型号特征识别上述新应用是否是恶意应用;上述安装年龄特征表示各个预设年龄段的用户所使用的电子设备安装上述新应用的数量,因为不同年龄段的用户所使用的电子设备安装上述应用的数量会明显的不同,因此电子设备可以基于上述安装年龄特征识别上述新应用是否是恶意应用。因此,电子设备可以同时基于上述安装数量特征、安装型号特征、安装年龄特征,识别上述新应用是否为恶意应用。
另外,本申请实施例中的电子设备是基于上述安装数量特征、安装型号特征、安装年龄特征,识别上述新应用是否为恶意应用,不需要获取上述新应用的行为信息,并且上述装数量特征、安装型号特征、安装年龄特征可以在安装上述新应用之后便可以获取,因此与相关技术相比,可以较快的识别上述新应用是否是恶意应用。
本申请的一个实施例中,上述电子设备基于各个设备型号的电子设备安装所述新应用的数量,获取安装型号特征,包括:
针对每一设备型号,电子设备计算该设备型号的电子设备安装所述新应用的数量与电子设备安装所述新应用的总数量之比,作为安装型号特征;
所述电子设备基于各个预设年龄段的用户所使用的电子设备安装所述新应用的数量,获取安装年龄特征,包括:
针对每一预设年龄段,电子设备计算属于该预设年龄段的用户所使用的电子设备安装所述新应用的数量与电子设备安装所述新应用的总数量之比,作为安装年龄特征。
由以上可见,因为针对每一设备型号,该设备型号的电子设备安装上述新应用的数量与上述总数量之比越大,说明该设备型号的电子设备安装上述新应用的数量越多,该设备型号的电子设备安装上述新应用的数量与上述总数量之比越小,说明该设备型号的电子设备安装上述新应用的数量越少,所以上述该设备型号的电子设备安装上述新应用的数量与上述总数量之比可以表示各个设备型号的电子设备安装上述新应用的数量,因此本申请实施例可以基于上述该设备型号的电子设备安装上述新应用的数量与上述总数量之比,获取安装型号特征。
同理,针对每一预设年龄段,属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量与上述总数量之比越大,说明属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量越多,属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量与上述总数量之比越小,说明属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量越少,所以属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量与上述总数量之比可以表示各个预设年龄段的用户所使用的电子设备安装上述新应用的数量,因此本申请实施例可以基于属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量与电子设备安装上述新应用的总数量之比,获取安装年龄特征。
本申请的一个实施例中,上述电子设备基于各个设备型号的电子设备安装所述新应用的数量,获取安装型号特征,包括:
针对每一设备型号,电子设备计算该设备型号的电子设备的数量与电子设备的总数量之比,作为型号基准比;
电子设备基于各个设备型号的电子设备安装所述新应用的数量以及所述型号基准比,获取安装型号特征。
由以上可见,如果某一设备型号的电子设备的用户使用基数较高,说明有较多的用户使用该设备型号的电子设备,那么无论新应用是否是恶意应用,该设备型号的电子设备均可能安装有较多上述新应用,使得基于安装型号特征难以区分该新应用是否是恶意应用。为此本申请实施例计算表示不同设备型号的电子设备的用户使用基数的型号基准比,基于上述型号基准比,可以消除不同设备型号的电子设备的用户使用基数对安装型号特征的影响,因此可以基于各个设备型号的电子设备安装上述新应用的数量以及上述型号基准比,可以更准确的获取安装型号特征。
本申请的一个实施例中,上述电子设备基于各个预设年龄段的用户所使用的电子设备安装所述新应用的数量,获取安装年龄特征,包括:
针对每一预设年龄段,电子设备计算属于该预设年龄段的用户所使用的电子设备的数量与电子设备的总数量之比,作为年龄基准比;
电子设备基于各个预设年龄段的用户所使用的电子设备安装所述新应用的数量以及所述年龄基准比,获取安装年龄特征。
由以上可见,如果某一预设年龄段的年龄基准比较高,说明该预设年龄段中有较多的用户使用电子设备,那么即使该预设年龄段中的年龄较小,该预设年龄段的用户所使用的电子设备依旧可能安装较多上述新应用,因此获取的安装年龄特征可能不准确,进而可能将上述新应用错误的识别为恶意应用,因此本申请实施例还计算表示不同预设年龄段的年龄基准比,基于上述年龄基准比,可以消除不同预设年龄段的用户所使用的电子设备的使用基数的影响,因此可以基于各个预设年龄段的用户所使用的电子设备安装上述新应用的数量以及上述年龄基准比,可以更准确的获取安装年龄特征。
本申请的一个实施例中,在上述电子设备基于所述安装数量特征、安装型号特征、安装年龄特征,识别所述新应用是否为恶意应用之前,还包括:
电子设备确定所述新应用生成弹窗的时刻;
电子设备对所确定的各个时刻进行聚类,确定各个检测时间段;
针对每一检测时间段,电子设备统计该检测时间段内所述新应用生成弹窗的弹窗数量;
针对每一检测时间段,电子设备基于该检测时间段的弹窗数量,确定该检测时间段所属的弹窗强度类别,其中,所述弹窗强度类别包括:表示该检测时间段的弹窗数量小于第一预设数量的静默类别、表示该检测时间段的弹窗数量大于第二预设数量的频繁类别、表示该检测时间段的弹窗数量大于等于第一预设数量小于等于第二预设数量的普通类别,所述第二预设数量大于第一预设数量;
电子设备基于所述安装数量特征、安装型号特征、安装年龄特征以及各个检测时间段的弹窗数量与弹窗强度类别,识别所述新应用是否为恶意应用。
由以上可见,本申请实施例还确定各个检测时间段的弹窗数量与弹窗强度类别恶意应用为防止被用户卸载或被识别算法识别等原因,因为恶意应用生成弹窗的时间较为分散,因此如果上述新应用是恶意应用,则各个检测时间段的弹窗数量都不会较多,并且应用有较多的检测时间段弹窗强度类别为普通类别,也就是说可以基于各个检测时间段的弹窗数量与弹窗强度类别,识别上述新应用是否为恶意应用,因此本申请实施例提供的方案基于上述安装数量特征、安装型号特征、安装年龄特征以及各个检测时间段的弹窗数量与弹窗强度类别,可以更准确的识别上述新应用是否为恶意应用。
本申请的一个实施例中,在上述电子设备对所确定的各个时刻进行聚类,确定各个检测时间段之后,还包括:
针对每一检测时间段,电子设备获得表示该检测时间段内所述新应用进行的行为的行为信息;
所述基于所述安装数量特征、安装型号特征、安装年龄特征以及各个检测时间段的弹窗数量与弹窗强度类别,识别所述新应用是否为恶意应用,包括:
电子设备基于所述安装数量特征、安装型号特征、安装年龄特征以及各个检测时间段的弹窗数量、弹窗强度类别与行为信息,识别所述新应用是否为恶意应用。
由以上可见,本申请实施例提供的方案还可以获取上述行为信息,因为正常应用进行的行为与恶意应用进行的行为会明显的不同,所以可以基于上述新应用的行为信息,识别上述新应用是否为恶意应用,因此本方案同时基于上述上述安装数量特征、安装型号特征、安装年龄特征以及各个检测时间段的弹窗数量、弹窗强度类别与行为信息,可以更准确的识别上述新应用是否为恶意应用。
本申请的一个实施例中,上述电子设备基于所述安装数量特征、安装型号特征、安装年龄特征以及各个检测时间段的弹窗数量、弹窗强度类别与行为信息,识别所述新应用是否为恶意应用,包括:
电子设备对各个检测时间段的弹窗数量、弹窗强度类别和行为信息进行特征提取,得到更新系数;
电子设备基于所述更新系数,对各个检测时间段的弹窗数量进行更新;
电子设备基于所述安装数量特征、安装型号特征、安装年龄特征以及更新后的弹窗数量,识别所述新应用是否为恶意应用。
由以上可见,因为恶意应用生成弹窗的时刻较为分散,也就是恶意应用在各个检测时间段内生成的弹窗数量都不会较多,而正常应用生成弹窗的时刻较为集中,也就是正常应用可能再某些检测时间段内生成弹窗数量非常多,在某些检测时间段内生成弹窗数量非常少,由此可知,上述弹窗数量是识别上述新应用是否是恶意应用的一个重要特征,因此本申请实施例提供的方案可以基于上述更新系数,对各个检测时间段的弹窗数量进行更新,以增强上述弹窗数量的特征的重要程度,因此基于上述安装数量特征、安装型号特征、安装年龄特征以及更新后的弹窗数量,可以更加准确的识别上述新应用是否为恶意应用。
第二方面,本申请实施例提供了一种电子设备,包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被所述处理器执行时,触发所述电子设备执行权第一方面中任一项所述的步骤。
第三方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的程序,其中,在所述程序运行时控制所述计算机可读存储介质所在设备执行第一方面中任意一项所述的方法。
第四方面,本申请实施例提供了一种计算机程序产品,所述计算机程序产品包含可执行指令,当所述可执行指令在计算机上执行时,使得计算机执行第一方面中任意一项所述的方法。
本申请实施例的有益效果:
本申请实施例提供了一种恶意应用识别方法,在安装新应用后,确定上述新应用在第一预设时间段内在各个电子设备中的安装数量,作为安装数量特征;基于各个设备型号的电子设备安装上述新应用的数量,获取安装型号特征;基于各个预设年龄段的用户所使用的电子设备安装上述新应用的数量,获取安装年龄特征;基于上述安装数量特征、安装型号特征、安装年龄特征,识别上述新应用是否为恶意应用。
由以上可见,本申请实施例中的电子设备依次获取上述安装数量特征、安装型号特征和安装年龄特征,安装数量特征表示各个电子设备安装上述新应用的数量,由于恶意应用会频繁的安装在电子设备中,即恶意应用安装在各个电子设备中的数量较多,因此电子设备可以基于上述安装数量特征识别上述新应用是否是恶意应用;上述安装型号特征可以表示各个设备型号的电子设备安装上述新应用的数量,由于软硬件配置较低的电子设备安装恶意应用的数量较多,软硬件配置较高的电子设备安装恶意应用的数量较少,因此电子设备可以基于上述安装型号特征识别上述新应用是否是恶意应用;上述安装年龄特征表示各个预设年龄段的用户所使用的电子设备安装上述新应用的数量,因为不同年龄段的用户所使用的电子设备安装上述应用的数量会明显的不同,因此电子设备可以基于上述安装年龄特征识别上述新应用是否是恶意应用。因此,电子设备可以同时基于上述安装数量特征、安装型号特征、安装年龄特征,识别上述新应用是否为恶意应用。
另外,本申请实施例中的电子设备是基于上述安装数量特征、安装型号特征、安装年龄特征,识别上述新应用是否为恶意应用,不需要获取上述新应用的行为信息,并且上述装数量特征、安装型号特征、安装年龄特征可以在安装上述新应用之后便可以获取,因此与相关技术相比,可以较快的识别上述新应用是否是恶意应用。
附图说明
图1为本申请实施例提供的一种电子设备的示意图;
图2为本申请实施例提供的第一种恶意应用识别方法的流程示意图;
图3为本申请实施例提供的第二种恶意应用识别方法的流程示意图;
图4为本申请实施例提供的第三种恶意应用识别方法的流程示意图;
图5为本申请实施例提供的第四种恶意应用识别方法的流程示意图;
图6A为本申请实施例提供的第五种恶意应用识别方法的流程示意图;
图6B为本申请实施例提供的第一种表示弹窗的示意图;
图6C为本申请实施例提供的第二种表示弹窗的示意图;
图7为本申请实施例提供的第六种恶意应用识别方法的流程示意图;
图8为本申请实施例提供的第七种恶意应用识别方法的流程示意图;
图9为本申请实施例提供的第八种恶意应用识别方法的流程示意图;
图10为本申请实施例提供的第一种训练分类模型的流程示意图;
图11为本申请实施例提供的第二种训练分类模型的流程示意图。
具体实现方式
为了更好的理解本申请的技术方案,下面结合附图对本申请实施例进行详细描述。
为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。例如,第一指令和第二指令是为了区分不同的用户指令,并不对其先后顺序进行限定。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
需要说明的是,本申请中,“示例性地”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性地”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性地”或者“例如”等词旨在以具体方式呈现相关概念。
本申请实施例可应用于平板电脑、个人计算机(personal computer,PC)、个人数字助理(personal digital assistant,PDA)、智能手表、上网本、可穿戴电子设备、增强现实技术(augmented reality,AR)设备、虚拟现实(virtual reality,VR)设备、车载设备、智能汽车、机器人、智能眼镜、智能电视等电子设备中。
如图1所示,图1为本申请实施例提供的一种电子设备的示意图,图1所示的电子设备可以包括处理器110、外部存储器接口120、内部存储器121、通用串行总线(UniversalSerial Bus,USB)接口130、充电管理模块140、电源管理模块141、电池142、天线1、天线2、移动通信模块150、无线通信模块160、音频模块170、扬声器170A、受话器170B、麦克风170C、耳机接口170D、传感器模块180、按键190、马达191、指示器192、摄像头193、显示屏194、以及用户标识模块(Subscriber Identity Module,SIM)卡接口195等。其中,传感器模块180可以包括压力传感器180A、陀螺仪传感器180B、气压传感器180C、磁传感器180D、加速度传感器180E、距离传感器180F、接近光传感器180G、指纹传感器180H、温度传感器180J、触摸传感器180K、环境光传感器180L、以及骨传导传感器180M等。
可以理解的是,本申请实施例示意的结构并不构成对电子设备的具体限定。在本申请另一些实施例中,电子设备可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件、或软件和硬件的组合实现。
处理器110可以包括一个或多个处理单元,例如:处理器110可以包括应用处理器(Application Processor,AP)、调制解调处理器(modem)、图形处理器(GraphicsProcessing Unit,GPU)、图像信号处理器(Image Signal Processor,ISP)、控制器、视频编解码器、数字信号处理器(Digital Signal Processor,DSP),基带处理器,和/或神经网络处理器(neural-network processing unit,NPU)等。其中,不同的处理单元可以是独立的器件,也可以集成在一个或多个处理器中。
处理器110可以根据指令操作码和时序信号,产生操作控制信号,完成取指令和执行指令的控制。
处理器110中还可以设置存储器,用于存储指令和数据。在一些实施例中,处理器110中的存储器为高速缓冲存储器。该存储器可以保存处理器110刚用过或循环使用的指令或数据。如果处理器110需要再次使用该指令或数据,可从所述存储器中直接调用。避免了重复存取,减少了处理器110的等待时间,因而提高了系统的效率。
在一些实施例中,处理器110可以包括一个或多个接口。接口可以包括集成电路(Inter-Integrated Circuit,I2C)接口、集成电路内置音频(Inter-Integrated CircuitSound,I2S)接口、脉冲编码调制(Pulse Code Modulation,PCM)接口、通用异步收发传输器(Universal Asynchronous Receiver/Transmitter,UART)接口、移动产业处理器接口(Mobile Industry Processor Interface,MIPI)、通用输入输出(General-PurposeInput/Output,GPIO)接口、以及用户标识模块(Subscriber Identity Module,SIM)接口。
I2C接口是一种双向同步串行总线,包括一根串行数据线(Serial Data Line,SDA)和一根串行时钟线(Derail Clock Line,SCL)。在一些实施例中,处理器110可以包含多组I2C总线。处理器110可以通过不同的I2C总线接口分别耦合触摸传感器180K、充电器,闪光灯、摄像头193等。例如:处理器110可以通过I2C接口耦合触摸传感器180K,使处理器110与触摸传感器180K通过I2C总线接口通信,实现电子设备的触摸功能。
I2S接口可以用于音频通信。在一些实施例中,处理器110可以包含多组I2S总线。处理器110可以通过I2S总线与音频模块170耦合,实现处理器110与音频模块170之间的通信。在一些实施例中,音频模块170可以通过I2S接口向无线通信模块160传递音频信号,实现通过蓝牙耳机接听电话的功能。
PCM接口也可以用于音频通信,将模拟信号抽样,量化和编码。在一些实施例中,音频模块170与无线通信模块160可以通过PCM总线接口耦合。音频模块170可以将获取到的下行音频流数据和上行音频流数据通过无线通信模块160传输到与电子设备无线连接的电子设备。
在一些实施例中,音频模块170也可以通过PCM接口向无线通信模块160传递音频信号,实现通过蓝牙耳机接听电话的功能。所述I2S接口和所述PCM接口都可以用于音频通信。
UART接口是一种通用串行数据总线,用于异步通信。该总线可以为双向通信总线。它将要传输的数据在串行通信与并行通信之间转换。在一些实施例中,UART接口通常被用于连接处理器110与无线通信模块160。例如:处理器110通过UART接口与无线通信模块160中的蓝牙模块通信,实现蓝牙功能。在一些实施例中,音频模块170可以通过UART接口向无线通信模块160传递音频信号,实现通过蓝牙连接的电子设备获得下行音频流的功能。
MIPI接口可以被用于连接处理器110与显示屏194,摄像头193等外围器件。MIPI接口包括摄像头串行接口(Camera Serial Interface,CSI)、以及显示屏串行接口(DisplaySerial Interface,DSI)等。在一些实施例中,处理器110和摄像头193通过CSI接口通信,实现电子设备100的拍摄功能。处理器110和显示屏194通过DSI接口通信,实现电子设备的显示功能。
可以理解的是,本申请实施例示意的各模块间的接口连接关系,只是示意性说明,并不构成对电子设备的结构限定。在本申请另一些实施例中,电子设备也可以采用上述实施例中不同的接口连接方式,或多种接口连接方式的组合。
电子设备的无线通信功能可以通过天线1、天线2、移动通信模块150、无线通信模块160、调制解调处理器以及基带处理器等实现。
天线1和天线2用于发射和接收电磁波信号。电子设备中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用,以提高天线的利用率。例如:可以将天线1复用为无线局域网的分集天线。在另外一些实施例中,天线可以和调谐开关结合使用。
移动通信模块150可以提供应用在第一电子设备上的包括2G/3G/4G/5G等无线通信的解决方案。在一些实施例中,可以通过移动通信模块150实现两个电子设备之间的通话数据的传输,例如,作为被呼叫方设备时,可以获得来自呼叫方设备的下行音频流数据,以及可以向呼叫方设备传输上行音频流数据。
无线通信模块160可以提供应用在电子设备上的包括无线局域网(WirelessLocal Area Networks,WLAN)(如无线保真(Wireless Fidelity,Wi-Fi)网络)、蓝牙(Bluetooth,BT)、全球导航卫星系统(Global Navigation Satellite System,GNSS)、调频(Frequency Modulation,FM)、近距离无线通信技术(Near Field Communication,NFC)、以及红外技术(infrared,IR)等无线通信的解决方案。
在一些实施例中,电子设备的天线1和移动通信模块150耦合,天线2和无线通信模块160耦合,使得电子设备可以通过无线通信技术与网络以及其他设备通信。在本申请的一个实施例中,电子设备可以通过无线通信模块160实现与另一电子设备的局域网络连接。无线通信技术可以包括全球移动通讯系统(Global System for Mobile Communications,GSM)、通用分组无线服务(General Packet Radio Service,GPRS)、码分多址接入(CodeDivision Multiple Access,CDMA)、宽带码分多址(Wideband Code Division MultipleAccess,WCDMA)、时分同步码分多址(Time-Division-Synchronous Code DivisionMultiple Access,TD-SCDMA),长期演进(Long Term Evolution,LTE)、BT、GNSS、WLAN、NFC、FM、和/或IR技术等。GNSS可以包括全球卫星定位系统(Global Positioning System,GPS)、全球导航卫星系统(Global Navigation Satellite System,GLONASS)、北斗卫星导航系统(Beidou Navigation Satellite System,BDS)、准天顶卫星系统(Quasi-ZenithSatellite System,QZSS)、和/或星基增强系统(Satellite Based Augmentation System,SBAS)等。
显示屏194用于显示图像,视频等。显示屏194包括显示面板。显示面板可以采用液晶显示屏(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-EmittingDiode,OLED)、有源矩阵有机发光二极体或主动矩阵有机发光二极体(Active-MatrixOrganic Light Emitting Diode的,AMOLED)、柔性发光二极管(Flex Light-EmittingDiode,FLED)、MiniLED、MicroLED、Micro-OLED、以及量子点发光二极管(Quantum dotLight Emitting Diode,QLED)等。在一些实施例中,电子设备可以包括1个或N个显示屏194,N为大于1的正整数。
外部存储器接口120可以用于连接外部存储卡,例如Micro安全数码(SecureDigital Memory,SD)卡,实现扩展电子设备的存储能力。外部存储卡通过外部存储器接口120与处理器110通信,实现数据存储功能。例如将音乐、视频、录音文件等文件保存在外部存储卡中。
内部存储器121可以用于存储计算机可执行程序代码,所述可执行程序代码包括指令。内部存储器121可以包括存储程序区和存储数据区。其中,存储程序区可存储操作系统、以及至少一个功能所需的应用程序(比如声音播放功能、图像播放功能和录音功能等)等。存储数据区可存储电子设备使用过程中所创建的数据(比如上行音频数据、下行音频数据和电话本等)等。此外,内部存储器121可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、通用闪存存储器(Universal FlashStorage,UFS)等。处理器110通过运行存储在内部存储器121的指令和/或存储在设置于处理器110中的存储器的指令,执行电子设备的各种功能应用以及数据处理。
电子设备可以通过音频模块170、扬声器170A、受话器170B、麦克风170C、耳机接口170D、以及应用处理器等实现通话冲突处理功能等。
音频模块170用于将数字音频信息转换成模拟音频信号输出,也用于将模拟音频输入转换为数字音频信号。音频模块170还可以用于对音频信号编码和解码。在一些实施例中,音频模块170可以设置于处理器110中,或将音频模块170的部分功能模块设置于处理器110中。
受话器170B,也称“听筒”,用于将音频电信号转换成声音信号。当电子设备接听电话或语音信息时,可以通过受话器170B听到呼叫方设备传输的语音。
麦克风170C,也称“话筒”,“传声器”,用于将声音信号转换为电信号。当拨打电话或发送语音信息时,用户可以通过人嘴靠近麦克风170C发声,将声音信号输入到麦克风170C,实现上行音频流的采集。
压力传感器180A用于感受压力信号,可以将压力信号转换成电信号。在一些实施例中,压力传感器180A可以设置于显示屏194。在一些实施例中,当用户点击按压显示屏194上的接听键时,可实现手动接听通话功能,当用户点击按压显示屏194上的挂断键时,可实现手动挂断通话功能。
触摸传感器180K,也称“触控器件”。触摸传感器180K可以设置于显示屏194,由触摸传感器180K与显示屏194组成触摸屏,也称“触控屏”。触摸传感器180K用于检测作用于其上或附近的触摸操作。触摸传感器180K可以将检测到的触摸操作传递给应用处理器,以确定触摸事件类型。可以通过显示屏194提供与触摸操作相关的视觉输出。在另一些实施例中,触摸传感器180K也可以设置于电子设备的表面,与显示屏194所处的位置不同。
按键190包括开机键,音量键等。按键190可以是机械按键。也可以是触摸式按键。电子设备可以接收按键输入,产生与电子设备的用户设置以及功能控制有关的键信号输入。
马达191可以产生振动提示。马达191可以用于来电振动提示,也可以用于触摸振动反馈。例如,作用于不同应用(例如拍照,音频播放等)的触摸操作,可以对应不同的振动反馈效果。作用于显示屏194不同区域的触摸操作,马达191也可对应不同的振动反馈效果。不同的应用场景(例如:时间提醒,接收信息,闹钟,游戏等)也可以对应不同的振动反馈效果。触摸振动反馈效果还可以支持自定义。
SIM卡接口195用于连接SIM卡。SIM卡可以通过插入SIM卡接口195,或从SIM卡接口195拔出,实现和电子设备的接触和分离。电子设备可以支持1个或N个SIM卡接口,N为大于1的正整数。SIM卡接口195可以支持Nano SIM卡,Micro SIM卡,SIM卡等。同一个SIM卡接口195可以同时插入多张卡。所述多张卡的类型可以相同,也可以不同。SIM卡接口195也可以兼容不同类型的SIM卡。SIM卡接口195也可以兼容外部存储卡。电子设备通过SIM卡和网络交互,实现通话以及数据通信等功能。在一些实施例中,电子设备采用eSIM,即:嵌入式SIM卡。eSIM卡可以嵌在电子设备中,不能和电子设备分离。
图2为本申请实施例提供的第一种恶意应用识别方法的流程示意图,可以包括以下步骤:S201-S204。
步骤S201:在安装新应用后,电子设备确定上述新应用在第一预设时间段内在各个电子设备中的安装数量,作为安装数量特征。
具体的,由于正常应用的安装量往往较为稳定,不会在短期内发生较大变化,但恶意应用可能会自行隐秘安装,或者通过广告弹窗引导用户安装,导致恶意应用在短期内安装量可能会出现较大的提升,因此可以根据新应用的安装数量来识别上述新应用是否是恶意应用。
本申请的一个实施例中,可以确定安装的每一新应用在24小时内在各个电子设备中的安装数量,作为安装数量特征,其中,上述安装数量特征可以用向量[r1,r2,…,rk]表示,rk表示:第k个新应用在24小时内在各个电子设备中的安装数量。
或者可以确定安装的每一新应用在24小时内在各个电子设备中的安装数量,然后统计恶意应用在过去4天或过去7天内在各个电子设备中的平均每日安装数量,然后用上述安装数量除以上述平均每日安装数量,作为安装数量特征,其中,上述安装数量特征可以用向量[m1,m2,…,mk]表示,mk表示:第k个新应用的安装数量除以上述平均每日安装数量的数值。
另外,上述电子设备可以是手机设备、平板设备或电脑设备等。
步骤S202:电子设备基于各个设备型号的电子设备安装上述新应用的数量,获取安装型号特征。
具体的,因为恶意应用容易安装在软硬件配置较低的电子设备中,不容易安装在设备软硬件配置较高的电子设备中,也就是说在型号较低的电子设备中,恶意应用的安装数量较多,在型号较高的电子设备中,恶意应用的安装数量较低。所以可以基于各个设备型号的电子设备安装上述新应用的数量,获取用于识别上述新应用是否是恶意应用的安装型号特征。
本申请的一个实施例中,可以依次确定每一设备型号的电子设备安装上述新应用的数量,作为安装型号特征,其中,上述安装型号特征可以用向量[a1,a2,…,aN],aN表示:第N设备型号安装上述新应用的数量。
本申请的另一个实施例,上述步骤S202可以通过图3中的步骤S202A实现,也可以通过图4中的步骤S202B-S202C实现,详见后续实施例,这里暂不上述。
步骤S203:电子设备基于各个预设年龄段的用户所使用的电子设备安装上述新应用的数量,获取安装年龄特征。
具体的,因为不同年龄段的用户所使用的电子设备安装上述应用的数量会明显的不同,比如:年龄较大的用户容易被广告引导,或误触安装链接导致所使用的电子设备中安装恶意应用,使得恶意应用容易安装在年龄较大的用户所使用的电子设备中,因此可以基于不同预设年龄段的用户所使用的电子设备安装上述新应用的数量,获取用于识别上述新应用是否是恶意应用的安装年龄特征。
本申请的一个实施例中,可以依次确定各个预设年龄段的用户所使用的电子设备安装上述新应用的数量,作为安装型号特征,其中,上述安装型号特征可以用向量[b1,b2,…,bM],bM表示:第M个预设年龄段的用户所使用的电子设备安装上述新应用的数量。
本申请的另一个实施例,上述步骤S203可以通过图3中的步骤S203A实现,也可以通过图5中的步骤S203B-S203C实现,详见后续实施例,这里暂不上述。
步骤S204:电子设备基于上述安装数量特征、安装型号特征、安装年龄特征,识别上述新应用是否为恶意应用。
具体的,因为上述安装数量特征可以表示各个电子设备安装上述新应用的数量,如果各个电子设备安装上述新应用的数量较多,可以认为上述新应用是恶意应用;上述安装型号特征可以表示各个设备型号的电子设备安装上述新应用的数量,如果软硬件配置较低的设备安装上述新应用的数量较多,则可以认为上述新应用是恶意应用;上述安装年龄特征可以表示各个预设年龄段的用户所使用的电子设备安装上述新应用的数量,如果年龄较大的用户所使用的电子设备安装的新应用较多,则可以认为上述新应用是恶意应用。综上上述,可以同时基于上述安装数量特征、安装型号特征、安装年龄特征,识别上述新应用是否为恶意应用。
本申请的一个实施例中,可以将上述安装数量特征、安装型号特征、安装年龄特征输入到预先训练的神经网络模型中,识别上述新应用是否为恶意应用。
本申请的另一个实施例中,可以基于上述各个特征的重要程度,为上述各个特征都配置一个权重值,比如:若上述安装数量特征的重要程度较高,上述安装年龄特征的重要程度较低,上述安装型号特征的重要程度高于上述安装数量特征,低于上述安装年龄特征,可以将上述安装数量特征的权重值配置为0.5,上述安装型号特征的权重值配置为0.3,上述安装年龄特征的权重值配置为0.2,然后基于上述安装数量特征及安装数量特征的权重值,安装型号特征及安装数量特征的权重值,安装年龄特征及安装年龄特征的权重值,识别上述新应用是否为恶意应用。
由以上可见,本申请实施例中的电子设备依次获取上述安装数量特征、安装型号特征和安装年龄特征,安装数量特征表示各个电子设备安装上述新应用的数量,由于恶意应用会频繁的安装在电子设备中,即恶意应用安装在各个电子设备中的数量较多,因此电子设备可以基于上述安装数量特征识别上述新应用是否是恶意应用;上述安装型号特征可以表示各个设备型号的电子设备安装上述新应用的数量,由于软硬件配置较低的电子设备安装恶意应用的数量较多,软硬件配置较高的电子设备安装恶意应用的数量较少,因此电子设备可以基于上述安装型号特征识别上述新应用是否是恶意应用;上述安装年龄特征表示各个预设年龄段的用户所使用的电子设备安装上述新应用的数量,因为不同年龄段的用户所使用的电子设备安装上述应用的数量会明显的不同,因此电子设备可以基于上述安装年龄特征识别上述新应用是否是恶意应用。因此,电子设备可以同时基于上述安装数量特征、安装型号特征、安装年龄特征,识别上述新应用是否为恶意应用。
另外,本申请实施例中的电子设备是基于上述安装数量特征、安装型号特征、安装年龄特征,识别上述新应用是否为恶意应用,不需要获取上述新应用的行为信息,并且上述装数量特征、安装型号特征、安装年龄特征可以在安装上述新应用之后便可以获取,因此与相关技术相比,可以较快的识别上述新应用是否是恶意应用。
其次,上述安装数量特征、安装型号特征和安装年龄特征都是从上述新应用在安装阶段获取的特征,而不是应用运行之后才能获取的特征,因此根据本申请实施例提供的方案,电子设备可以在上述新应用在应用运行前的安装阶段中识别上述新应用是否为恶意应用,进而可以从根源上消除恶意应用对用户和电子设备的影响。
图3为本申请实施例提供的第二种恶意应用识别方法的流程示意图,与图2所示的实施例相比,上述步骤S202可以通过以下步骤S202A实现,上述步骤S203可以通过以下步骤S203A实现。
步骤S202A:针对每一设备型号,电子设备计算该设备型号的电子设备安装上述新应用的数量与电子设备安装上述新应用的总数量之比,作为安装型号特征。
具体的,针对每一设备型号,该设备型号的电子设备安装上述新应用的数量与电子设备安装上述新应用的总数量之比越大,说明该设备型号的电子设备安装上述新应用的数量越多,该设备型号的电子设备安装上述新应用的数量与电子设备安装上述新应用的总数量之比越小,说明该设备型号的电子设备安装上述新应用的数量越少,也就是说该设备型号的电子设备安装上述新应用的数量与上述总数量之比可以表示各个设备型号的电子设备安装上述新应用的数量,因此可以将该设备型号的电子设备安装上述新应用的数量与电子设备安装上述新应用的总数量之比作为安装型号特征。
本申请的一个实施例中,可以确定出各个设备型号的电子设备安装上述新应用的总数量,然后针对每一设备型号,可以确定出该设备型号的电子设备安装上述新应用的数量,进而可以确定该设备型号的电子设备安装上述新应用的数量与电子设备安装上述新应用的总数量之比,然后基于确定的各个数量比获取上述安装型号特征。
比如:一共存在三个设备型号的电子设备,上述三个设备型号的电子设备安装上述新应用的总数量为10000,然后第一设备型号的电子设备安装上述新应用的数量为6000,第二设备型号的电子设备安装上述新应用的数量为3000,第三设备型号的电子设备安装上述新应用的数量为1000,因此可以确定第一设备型号的电子设备安装上述新应用的数量与总数量之比为0.6,第二设备型号的电子设备安装上述新应用的数量与总数量之比为0.3,第三设备型号的电子设备安装上述新应用的数量与总数量之比为0.1,然后基于确定的各个数量比获取上述安装型号特征。
另外,上述安装型号特征可以用向量[v1,v2,…,vN]表示,其中,vN表示:第N个设备型号的电子设备安装上述新应用的数量与总数量之比,例如,在前述示例中获得的安装型号特征可以用[0.6,0.3,0.1]表示。
步骤S203A:针对每一预设年龄段,电子设备计算属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量与电子设备安装上述新应用的总数量之比,作为安装年龄特征。
具体的,针对每一预设年龄段,属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量与电子设备安装上述新应用的总数量之比越大,说明属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量越多,属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量与电子设备安装上述新应用的总数量之比越小,说明属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量越少,也就是说属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量与上述总数量之比可以表示各个预设年龄段的用户所使用的电子设备安装上述新应用的数量,因此可以将属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量与电子设备安装上述新应用的总数量之比为安装年龄特征。
本申请的一个实施例中,可以确定出电子设备安装上述新应用的总数量,然后针对每一预设年龄段,可以确定出属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量,进而可以确定属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量与电子设备安装上述新应用的总数量之比,进而可以获取上述安装年龄特征。
比如:若预先配置三个预设年龄段,若电子设备安装上述新应用的总数量为10000,然后属于第一预设年龄段的用户所使用的电子设备安装上述新应用的数量为5000,属于第二预设年龄段的用户所使用的电子设备安装上述新应用的数量为3000,属于第三预设年龄段的用户所使用的电子设备安装上述新应用的数量为2000,因此可以确定属于第一预设年龄段的用户所使用的电子设备安装上述新应用的数量与上述总数量之比为0.5,属于第二预设年龄段的用户所使用的电子设备安装上述新应用的数量与上述总数量之比为0.3,属于第三预设年龄段的用户所使用的电子设备安装上述新应用的数量与上述总数量之比为0.2,进而可以获取上述安装年龄特征。
另外,上述安装型号特征可以用向量[y1,y2,…,yM]表示,其中,yM表示:第M个预设年龄段的用户所使用的电子设备安装上述新应用的数量与总数量之比,例如,在前述示例中获得的安装年龄特征可以用[0.5,0.3,0.2]表示。
由以上可见,因为针对每一设备型号,该设备型号的电子设备安装上述新应用的数量与上述总数量之比越大,说明该设备型号的电子设备安装上述新应用的数量越多,该设备型号的电子设备安装上述新应用的数量与上述总数量之比越小,说明该设备型号的电子设备安装上述新应用的数量越少,所以上述该设备型号的电子设备安装上述新应用的数量与上述总数量之比可以表示各个设备型号的电子设备安装上述新应用的数量,因此本申请实施例可以基于上述该设备型号的电子设备安装上述新应用的数量与上述总数量之比,获取安装型号特征。
同理,针对每一预设年龄段,属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量与上述总数量之比越大,说明属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量越多,属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量与上述总数量之比越小,说明属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量越少,所以属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量与上述总数量之比可以表示各个预设年龄段的用户所使用的电子设备安装上述新应用的数量,因此本申请实施例可以基于属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量与电子设备安装上述新应用的总数量之比,获取安装年龄特征。
由于不同设备型号的电子设备的数量往往不同,对于任意新应用而言,若某一设备型号的电子设备本身的数量较多,则该设备型号的电子设备在理论上安装该新应用的总量也会较大。对于软硬件配置较高的设备型号的电子设备,在理论上该设备型号的电子设备安装恶意应用的数量应该较小,但若该设备型号的电子设备本身的数量较多,则该设备型号的电子设备中安装的恶意应用的数量也可能多于其他设备型号的电子设备。所以若直接基于不同设备型号的电子设备中安装新应用的数量判断新应用是否为恶意应用,可能会导致判断结果不准确。例如,若设备型号为M的电子设备的软硬件配置较高,总数为8000台,设备型号为N的电子设备的软硬件配置较低,总数为4000台,设备型号为M的电子设备安装某恶意应用的数量为400台,设备型号为N的电子设备安装该恶意应用的数量为300台,由于设备型号为M的软硬件配置较高的电子设备安装该恶意应用的数量较多,因此通过本申请实施例可能误将该恶意应用识别为正常应用。
为了解决上述问题,本申请实施例提供了以下图4所示的步骤S202B-S202C。
图4为本申请实施例提供的第三种恶意应用识别方法的流程示意图,与图2所示的实施例相比,上述步骤S202可以通过以下步骤S202B-S202C实现。
步骤S202B:针对每一设备型号,电子设备计算该设备型号的电子设备的数量与电子设备的总数量之比,作为型号基准比。
具体的,针对每一设备型号,该设备型号的电子设备安装上述新应用的数量与电子设备的总数量之比越大,说明有较多的用户使用该设备型号的电子设备,该设备型号的电子设备安装上述新应用的数量与电子设备的总数量之比越小,说明有较少的用户使用该设备型号的电子设备,因此上述型号基准比可以表示不同设备型号的电子设备的用户使用基数。
本申请的一个实施例中,可以确定电子设备的总数量,然后针对每一设备型号,确定该设备型号的电子设备的数量,进而可以将该设备型号的电子设备的数量与电子设备的总数量之比作为型号基准比。
比如:若一共存在三种设备型号的电子设备,电子设备的总数量为10000,然后第一设备型号的电子设备的数量为4000,第二设备型号的电子设备的数量为4000,第三设备型号的电子设备的数量为2000,因此可以确定第一设备型号的电子设备的数量与电子设备的总数量之比为0.4,第二设备型号的电子设备的数量与电子设备的总数量之比为0.4,第三设备型号的电子设备的数量与电子设备的总数量之比为0.2。
另外,上述型号基准比可以用向量[v 1,v 2,…,v N]表示,其中,v N表示:第N个设备型号的电子设备的数量与电子设备的总数量之比,例如,在前述示例中获得的型号基准比可以用[0.4,0.4,0.2]表示。
步骤S202C:电子设备基于各个设备型号的电子设备安装上述新应用的数量以及上述型号基准比,获取安装型号特征。
本申请的一个实施例中,针对每一设备型号,可以计算该设备型号的电子设备安装上述新应用的数量与该设备型号的型号基准比之比,然后将计算得到的各个比值作为安装型号特征,从而可以消除不同设备型号的电子设备之间的数量差距,对安装型号特征的影响。
比如:若设备型号为M的电子设备的软硬件配置较高,总数为8000台,设备型号为N的电子设备的软硬件配置较低,总数为4000台,设备型号为M的电子设备安装上述新应用的数量为400台,设备型号为N的电子设备安装上述新应用的数量为300台,由此可知,电子设备的总数为12000台,设备型号为M的型号基准比为设备型号为N的型号基准比为/>设备型号为M的电子设备安装上述新应用的数量与设备型号为M的型号基准比之比为600,设备型号为N的电子设备安装上述新应用的数量与设备型号为N的型号基准比之比900,然后将计算得到的600和900作为安装型号特征。因此,型号基准比可以消除不同设备型号的电子设备之间的数量差距对安装型号特征的影响,进而可以正确的识别出恶意应用。
由以上可见,如果某一设备型号的电子设备的用户使用基数较高,说明有较多的用户使用该设备型号的电子设备,那么无论新应用是否是恶意应用,该设备型号的电子设备均可能安装有较多上述新应用,使得基于安装型号特征难以区分该新应用是否是恶意应用。为此本申请实施例计算表示不同设备型号的电子设备的用户使用基数的型号基准比,基于上述型号基准比,可以消除不同设备型号的电子设备的用户使用基数对安装型号特征的影响,因此可以基于各个设备型号的电子设备安装上述新应用的数量以及上述型号基准比,可以更准确的获取安装型号特征。
由于不同年龄段的用户所使用的电子设备的数量往往不同,对于任意新应用而言,若属于某一年龄段的用户所使用的电子设备本身的数量较多,则该年龄段的用户所使用的电子设备在理论上安装该新应用的总量也会较大。对于年龄段较低的用户所使用的电子设备,在理论上属于该年龄段的用户所使用的电子设备安装恶意应用的数量应该较小,但若属于该年龄段的用户所使用的电子设备本身的数量较多,则属于该年龄段的用户所使用的电子设备中安装的恶意应用的数量也可能多于其他年龄段的用户所使用的电子设备。所以若直接基于不同年龄段的用户所使用的电子设备中安装新应用的数量判断新应用是否为恶意应用,可能会导致判断结果不准确。例如,若年龄段为50岁-60岁的用户所使用的电子设备总数为3000台,年龄段为20岁-30岁的用户所使用的电子设备的总数为7000台,若年龄段为50岁-60岁的用户所使用的电子设备安装某恶意应用的数量为300台,年龄段为20岁-30岁的用户所使用的电子设备安装该恶意应用的数量为400台,由于年龄段为50岁-60岁的用户所使用的电子设备安装该恶意应用的数量较少,因此通过本申请实施例可能误将该恶意应用识别为正常应用。
为了解决上述问题,本申请实施例提供了以下图5所示的步骤S203B-S203C。
图5为本申请实施例提供的第四种恶意应用识别方法的流程示意图,与图2所示的实施例相比,上述步骤S203可以通过以下步骤S203B-S203C实现。
步骤S203B:针对每一预设年龄段,电子设备计算属于该预设年龄段的用户所使用的电子设备的数量与电子设备的总数量之比,作为年龄基准比。
具体的,针对每一预设年龄段,属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量与电子设备的总数量之比越大,说明该预设年龄段的用户使用的电子设备较多,属于该预设年龄段的用户所使用的电子设备安装上述新应用的数量与电子设备的总数量之比越小,说明该预设年龄段的用户使用的电子设备较少,因此上述年龄基准比可以表示不同预设年龄段的用户所使用的电子设备的使用基数。
本申请的一个实施例中,可以确定电子设备的总数量,然后针对每一预设年龄段,确定属于该预设年龄段的用户所使用的电子设备的数量,进而可以将属于该预设年龄段的用户所使用的电子设备的数量与电子设备的总数量之比作为型号基准比。
比如:若预先设置三个预设年龄段,电子设备的总数量为10000,然后属于第一预设年龄段的用户所使用的电子设备的数量为2000,属于第二预设年龄段的用户所使用的电子设备的数量为5000,属于第三预设年龄段的用户所使用的电子设备的数量为3000,因此可以确定属于第一预设年龄段的用户所使用的电子设备的数量与电子设备的总数量之比为0.2,属于第二预设年龄段的用户所使用的电子设备的数量与电子设备的总数量之比为0.5,属于第三预设年龄段的用户所使用的电子设备的数量与电子设备的总数量之比为0.3。
另外,上述年龄基准比可以用向量[y 1,y,…,y M]表示,其中,y M表示:第M个预设年龄段的用户所使用的电子设备的数量与电子设备的总数量之比,例如,在前述示例中获得的型号基准比可以用[0.2,0.5,0.3]表示。
步骤S203C:电子设备基于各个预设年龄段的用户所使用的电子设备安装上述新应用的数量以及上述年龄基准比,获取安装年龄特征。
本申请的一个实施例中,针对每一预设年龄段,可以计算该预设年龄段的用户所使用的电子设备安装上述新应用的数量与该预设年龄段的年龄基准比之比,然后将计算得到的各个比值作为安装年龄特征。
比如:若年龄段为50岁-60岁的用户所使用的电子设备总数为3000台,年龄段为20岁-30岁的用户所使用的电子设备的总数为7000台,年龄段为50岁-60岁的用户所使用的电子设备安装上述新应用的数量为200台,年龄段为20岁-30岁的用户所使用的电子设备安装上述新应用的数量为400台,由此可知,电子设备的总数为10000台,年龄段为50岁-60岁的年龄基准比为0.3,年龄段为20岁-30岁的年龄基准比为0.7,年龄段为50岁-60岁的用户所使用的电子设备安装上述新应用的数量与年龄段为50岁-60岁的年龄基准比之比约为660,年龄段为20岁-30岁的用户所使用的电子设备安装上述新应用的数量与年龄段为20岁-30岁的年龄基准比之比约为571,进而可以将计算得到的660和571作为安装年龄特征。因此,年龄基准比可以消除不同设备型号的电子设备之间的数量差距对安装年龄特征的影响,进而可以正确的识别出恶意应用。
由以上可见,如果某一预设年龄段的年龄基准比较高,说明该预设年龄段中有较多的用户使用电子设备,那么即使该预设年龄段中的年龄较小,该预设年龄段的用户所使用的电子设备依旧可能安装较多上述新应用,因此获取的安装年龄特征可能不准确,进而可能将上述新应用错误的识别为恶意应用,因此本申请实施例还计算表示不同预设年龄段的年龄基准比,基于上述年龄基准比,可以消除不同预设年龄段的用户所使用的电子设备的使用基数的影响,因此可以基于各个预设年龄段的用户所使用的电子设备安装上述新应用的数量以及上述年龄基准比,可以更准确的获取安装年龄特征。
图6A为本申请实施例提供的第五种恶意应用识别方法的流程示意图,与图2所示的实施例相比,在上述步骤S204之前,还包括以下步骤:S205-S208,上述步骤S204可以通过步骤S204A实现。
步骤S205:电子设备确定上述新应用生成弹窗的时刻。
具体的,在安装上述新应用之后,上述新应用可能会进行生成弹窗的行为,每当上述新应用生成弹窗时,可以确定上述新应用生成弹窗的时刻。其中,上述弹窗包括广告弹窗、音乐应用的播放控制器弹窗、社交应用的新消息弹窗等。
图6B为本申请实施例提供的第一种表示弹窗的示意图,图6C为本申请实施例提供的第二种表示弹窗的示意图。上述新应用生成弹窗可能如图6B所示,也可能如图6C所示,也可能是其他类型的弹窗。
本申请的另一个实施例中,可以确定12小时内、24小时内或其他时间段内新应用生成每一弹窗的时刻。
步骤S206:电子设备对所确定的各个时刻进行聚类,确定各个检测时间段。
具体的,可以对所确定的各个时刻进行聚类,得到多个类别,然后针对每一类别,基于该类别中的各个时刻,确定包含该类别中的各个时刻的检测时间段。
本申请的一个实施例中,可以根据确定的各个时刻的分布情况,对所确定的各个时刻进行聚类,比如:上述确定的时刻包括:9:00、9:05、9:07、9:10、9:15、9:17、9:25、10:10、10:40、11:20等,由于9:00、9:05、9:07、9:10、9:15、9:17和9:25的时刻分布较近,可以聚类为同一检测时间段,该检测时间段为9:00-9:25,10:10、10:40、11:20的时刻分布较分散,可以聚类为同一检测时间段,该检测时间段为10:10-11:20,由于9:30-10:00上述新应用未生成弹窗,因此可以将9:30-10:00聚类为同一检测时间段。
本申请的另一个实施例中,可以基于DBSCAN(Density-Based SpatialClustering of Applications with Noise,基于密度的噪声应用空间聚类)方法,对所确定的各个时刻进行聚类,确定各个检测时间,基于DBSCAN方法聚类为相关现有技术,具体实现方式不再赘述。
步骤S207:针对每一检测时间段,电子设备统计该检测时间段内上述新应用生成弹窗的弹窗数量。
具体的,因为上述每一检测时间段都是基于上述新应用生成各个弹窗的时刻确定的,所以针对每一检测时间段,可以统计该检测时间段内上述新应用生成弹窗的弹窗数量。
本申请的一个实施例中,针对每一检测时间段,可以确定该检测时间段内的新应用生成弹窗的时刻,进而可以统计该检测时间段内上述新应用生成弹窗的弹窗数量。
本申请的另一个实施例中,可以将统计的各个检测时间段内上述新应用生成弹窗的弹窗数量用向量[c1,c2,…,cm]表示,该向量的长度为确定的检测时间段的数量,cm表示:第m个检测时间段内上述新应用生成弹窗的弹窗数量。
步骤S208:针对每一检测时间段,电子设备基于该检测时间段的弹窗数量,确定该检测时间段所属的弹窗强度类别。
其中,上述弹窗强度类别包括:表示该检测时间段的弹窗数量小于第一预设数量的静默类别、表示该检测时间段的弹窗数量大于第二预设数量的频繁类别、表示该检测时间段的弹窗数量大于等于第一预设数量小于等于第二预设数量的普通类别,上述第二预设数量大于第一预设数量。
比如:通过前述示例可以得到第一检测时间段9:00-9:25,第二检测时间段10:10-11:20和第三检测时间段9:30-10:00,上述第一检测时间段的弹窗数量为7个,第二检测时间段的弹窗数量为3个,第三检测时间段的弹窗数量为0个,若上述第一预设数量为2,上述第二预设数量为6,因为上述第一检测时间段9:00-9:25的弹窗数量大于上述第二数量,所以该第一检测时间段9:00-9:25为频繁类别;上述第二检测时间段10:10-11:20的弹窗数量大于上述第一预设数量小于上述第二预设数量,所以该第二检测时间段10:10-11:20为普通类别;上述第三检测时间段9:30-10:00的弹窗数量小于上述第一预设数量,所以该第三检测时间段9:30-10:00为静默类别。
具体的,恶意应用为防止被用户卸载或被识别算法识别等原因,恶意应用生成弹窗的时刻较为分散,即在每一弹窗时间段内,恶意应用生成弹窗的数量都比较少,而用户使用正常应用的时间较为固定,因此正常应用生成弹窗的时刻较为集中,即在每一弹窗时间段内,正常应用生成弹窗的数量要么非常少,要么非常多。例如,用户使用正常的音乐应用,在使用过程中音乐应用可以持续在通知栏中弹出播放控制器弹窗以便于用于控制音乐的暂停、播放、切换等。用户使用正常的社交应用与其他用户互相发送信息,则正常的社交应用可能频繁弹出新消息弹窗。由此可见,正常应用生成弹窗的时刻往往较为集中。
另外,因为上述静默类别表示该检测时间段的弹窗数量小于第一预设数量,说明为静默类别的检测时间段内新应用生成弹窗的数量非常少,上述频繁类别表示该检测时间段的弹窗数量大于第二预设数量,说明为频繁类别的检测时间段内新应用生成弹窗的数量非常多,上述普通类别表示该检测时间段的弹窗数量大于等于第一预设数量小于等于第二预设数量,说明为频繁类别的检测时间段内新应用生成弹窗的数量适中。
本申请的一个实施例中,可以将确定的各个检测时间段所属的弹窗强度类别可以用向量[d1,d2,…,dm]表示,该向量的长度为确定的检测时间段的数量,dm表示:第m个检测时间段所属的弹窗强度类别,如果第m个检测时间段所属的弹窗强度类别为静默类别,则dm可以用0表示,如果第m个检测时间段所属的弹窗强度类别为频繁类别,则dm可以用1表示,如果第m个检测时间段所属的弹窗强度类别为普通类别,则dm可以用2表示。
步骤S204A:电子设备基于上述安装数量特征、安装型号特征、安装年龄特征以及各个检测时间段的弹窗数量与弹窗强度类别,识别上述新应用是否为恶意应用。
具体的,因为恶意应用生成弹窗的时间较为分散,因此如果上述新应用是恶意应用,则各个检测时间段的弹窗数量都不会较多,并且应用有较多的检测时间段弹窗强度类别为普通类别。因此本申请可以同时基于上述安装数量特征、安装型号特征、安装年龄特征以及各个检测时间段的弹窗数量与弹窗强度类别,识别上述新应用是否为恶意应用。
本申请的一个实施例中,可以将上述安装数量特征、安装型号特征、安装年龄特征以及各个检测时间段的弹窗数量与弹窗强度类别输入到预先训练的识别模型中,进而识别上述新应用是否为恶意应用。
由以上可见,本申请实施例还确定各个检测时间段的弹窗数量与弹窗强度类别恶意应用为防止被用户卸载或被识别算法识别等原因,因为恶意应用生成弹窗的时间较为分散,因此如果上述新应用是恶意应用,则各个检测时间段的弹窗数量都不会较多,并且应用有较多的检测时间段弹窗强度类别为普通类别,也就是说可以基于各个检测时间段的弹窗数量与弹窗强度类别,识别上述新应用是否为恶意应用,因此本申请实施例提供的方案基于上述安装数量特征、安装型号特征、安装年龄特征以及各个检测时间段的弹窗数量与弹窗强度类别,可以更准确的识别上述新应用是否为恶意应用。
图7为本申请实施例提供的第六种恶意应用识别方法的流程示意图,与图6A所示的实施例相比,在上述步骤S206之后,还包括以下步骤:S209,上述步骤S204A可以通过步骤S204B实现。
步骤S209:针对每一检测时间段,电子设备获得表示该检测时间段内上述新应用进行的行为的行为信息。
具体的,因为正常应用进行的行为与恶意应用进行的行为会明显的不同,因此可以针对每一检测时间段,获得表示该检测时间段内上述新应用进行的行为的行为信息。
本申请的一个实施例中,上述行为信息可以包括:电子设备锁屏后是否会生成弹窗、新应用在后台运行时是否会生成弹窗、上述新应用的桌面图标是否透明、上述新应用的桌面图标是否隐藏、电子设备锁屏后上述新应用是否处于禁用状态、上述新应用是否在后台自动启动、电子设备的系统应用是否会启动上述新应用,上述新应用生成的弹窗是否会访问恶意网站。
本申请的另一个实施例中,上述行为信息可以用向量[e1,e2,…,en]表示,其中,该向量中的元素数量为上述信息中包括的各个行为的数量,en表示该检测时间段内上述新应用进行的第n种行为。
步骤S204B:电子设备基于上述安装数量特征、安装型号特征、安装年龄特征以及各个检测时间段的弹窗数量、弹窗强度类别与行为信息,识别上述新应用是否为恶意应用。
具体的,因为正常应用进行的行为与恶意应用进行的行为会明显的不同,所以可以基于上述新应用的行为信息,识别上述新应用是否为恶意应用,因此可以同时基于上述安装数量特征、安装型号特征、安装年龄特征以及各个检测时间段的弹窗数量、弹窗强度类别与行为信息,可以更准确的识别上述新应用是否为恶意应用。
由以上可见,本申请实施例提供的方案还可以获取上述行为信息,因为正常应用进行的行为与恶意应用进行的行为会明显的不同,所以可以基于上述新应用的行为信息,识别上述新应用是否为恶意应用,因此本方案同时基于上述上述安装数量特征、安装型号特征、安装年龄特征以及各个检测时间段的弹窗数量、弹窗强度类别与行为信息,可以更准确的识别上述新应用是否为恶意应用。
图8为本申请实施例提供的第七种恶意应用识别方法的流程示意图,与图7所示的实施例相比,上述步骤S204B可以通过以下步骤S204C-步骤S204E实现。
步骤S204C:电子设备对各个检测时间段的弹窗数量、弹窗强度类别和行为信息进行特征提取,得到更新系数。
具体的,因为恶意应用生成弹窗的时刻较为分散,也就是恶意应用在各个检测时间段内生成的弹窗数量都不会较多,因此上述弹窗数量是识别上述新应用是否是恶意应用的一个重要特征,可以通过对各个检测时间段的弹窗数量、弹窗强度类别和行为信息进行特征提取,得到用于对上述弹窗数量进行更新的更新系数。
本申请的一个实施例中,可以将上述各个检测时间段的弹窗数量、弹窗强度类别和行为信息输入到预先训练好的CNN(Convolutional Neural Networks,卷积神经网络)模型中,得到上述更新系数。
步骤S204D:电子设备基于上述更新系数,对各个检测时间段的弹窗数量进行更新。
具体的,可以基于上述更新系数,对各个检测时间段的弹窗数量进行更新,以增强上述弹窗数量的特征的重要程度。
本申请的一个实施例中,可以计算上述更新系数与各个检测时间段的弹窗数量之积,得到更新后的弹窗数量。其中,若上述各个检测时间段的弹窗数量用向量[c1,c2,…,cm]表示,上述更新系数可以用[f1,f2,…,fm],其中,cm表示:第m个检测时间段的弹窗数量,上述表示各个检测时间段的弹窗数量的向量中的元素的数量与上述更新系数中的元素的数量相同,然后可以依次计算表示各个检测时间段的弹窗数量的向量中的元素与上述更新系数中的元素之积,得到更新后的弹窗数量,更新后的弹窗数量可以用向量表示为:[c1*f1,c2*f2,…,cm*fm]。
步骤S204E:电子设备基于上述安装数量特征、安装型号特征、安装年龄特征以及更新后的弹窗数量,识别上述新应用是否为恶意应用。
具体的,因为上述弹窗数量是识别上述新应用是否是恶意应用的一个重要特征,而更新后的弹窗数量增强了这一特征的重要程度,因此同时基于上述安装数量特征、安装型号特征、安装年龄特征以及更新后的弹窗数量,可以更准确的识别上述新应用是否为恶意应用。
由以上可见,因为恶意应用生成弹窗的时刻较为分散,也就是恶意应用在各个检测时间段内生成的弹窗数量都不会较多,而正常应用生成弹窗的时刻较为集中,也就是正常应用可能再某些检测时间段内生成弹窗数量非常多,在某些检测时间段内生成弹窗数量非常少,由此可知,上述弹窗数量是识别上述新应用是否是恶意应用的一个重要特征,因此本申请实施例提供的方案可以基于上述更新系数,对各个检测时间段的弹窗数量进行更新,以增强上述弹窗数量的特征的重要程度,因此基于上述安装数量特征、安装型号特征、安装年龄特征以及更新后的弹窗数量,可以更加准确的识别上述新应用是否为恶意应用。
图9为本申请实施例提供的第八种恶意应用识别方法的流程示意图,可以包括以下步骤:S901-S910。
步骤S901:电子设备确定上述新应用生成弹窗的时刻,并对所确定的各个时刻进行聚类,确定各个检测时间段。
步骤S902:针对每一检测时间段,电子设备统计该检测时间段内上述新应用生成弹窗的弹窗数量。
步骤S903:针对每一检测时间段,电子设备基于该检测时间段的弹窗数量,确定该检测时间段所属的弹窗强度类别。
其中,上述弹窗强度类别包括:表示该检测时间段的弹窗数量小于第一预设数量的静默类别、表示该检测时间段的弹窗数量大于第二预设数量的频繁类别、表示该检测时间段的弹窗数量大于等于第一预设数量小于等于第二预设数量的普通类别,上述第二预设数量大于第一预设数量。
步骤S904:针对每一检测时间段,电子设备获得表示该检测时间段内上述新应用进行的行为的行为信息。
步骤S905:电子设备将上述弹窗数量、弹窗强度类别和行为信息输入到预先训练的CNN模型中,得到更新系数。
步骤S906:电子设备计算上述更新系数和弹窗数量之积,得到更新后的弹窗数量。
步骤S907:电子设备确定上述新应用在第一预设时间段内在各个电子设备中的安装数量,作为安装数量特征。
步骤S908:电子设备基于各个设备型号的电子设备安装上述新应用的数量,获取安装型号特征。
步骤S909:电子设备基于各个预设年龄段的用户所使用的电子设备安装上述新应用的数量,获取安装年龄特征。
步骤S910:电子设备将上述更新后的弹窗数量、安装数量特征、安装型号特征和安装年龄特征预先训练好的分类模型中,识别上述新应用是否为恶意应用。
其中,上述分类模型可以通过下文图10中的步骤进行训练。
具体的,上述步骤S901-S910中的具体实现方式在上文中已经详述,这里不再赘述。
具体的,参见图10,图10为本申请实施例提供的第一种训练分类模型的流程示意图,可以包括以下步骤S1001-S1007。
步骤S1001:电子设备获取恶意应用。
具体的,上述恶意应用是用于训练上述分类模型的样本。
步骤S1002:电子设备确定上述恶意应用在第一预设时间段内在各个电子设备中的安装数量,作为恶意应用的安装数量特征。
具体的,获取上述恶意应用的安装数量特征的具体实现方式与上文中获取上述新应用的安装数量特征的具体实现方式相似,这里不再赘述。
步骤S1003:电子设备基于各个设备型号的电子设备安装上述恶意应用的数量,获取上述恶意应用的安装型号特征。
具体的,获取上述恶意应用的安装型号特征的具体实现方式与上文中获取上述新应用的安装型号特征的具体实现方式相似,这里不再赘述。
步骤S1004:电子设备基于各个预设年龄段的用户所使用的电子设备安装上述恶意应用的数量,获取恶意应用的安装年龄特征。
具体的,获取上述恶意应用的安装年龄特征的具体实现方式与上文中获取上述新应用的安装年龄特征的具体实现方式相似,这里不再赘述。
步骤S1005:电子设备确定上述恶意应用生成弹窗的时刻,对所确定的各个时刻进行聚类,确定各个检测时间段。
具体的,确定上述恶意应用的各个检测时间段的具体实现方式与上文中确定上述新应用的各个检测时间段的具体实现方式相似,这里不再赘述。
步骤S1006:电子设备针对每一检测时间段,统计该检测时间段内上述恶意应用生成弹窗的弹窗数量。
具体的,统计上述恶意应用的弹窗数量的具体实现方式与上文中统计上述新应用的弹窗数量的具体实现方式相似,这里不再赘述。
步骤S1007:电子设备将上述恶意应用的安装型号特征、安装数量特征、安装年龄特征和弹窗数量输入到分类模型中进行训练,得到完成训练的分类模型。
具体的,在上述分类模型完成训练之后,可以将上述新应用的弹窗数量、安装数量特征、安装型号特征和安装年龄特征输入到上述分类模型中,识别上述新应用是否为恶意应用。
参见图11,图11为本申请实施例提供的第二种训练分类模型的流程示意图,首先获取恶意应用和正常应用,上述恶意应用和正常应用为用于训练上述分类模型的样本,然后获取上述恶意应用和正常应用的时间跨度决策和三路召回特征,上述时间跨度决策为上述恶意应用和正常应用在各个检测时间段内的弹窗数量,上述三路召回特征为上述恶意应用和正常应用的安装数量特征、安装型号特征和安装年龄特征,基于上述时间跨度决策和三路召回特征生成待训练的样本,将上述样本输入到待训练的深度模型中,得到完成训练的深度模型,然后在安装上述新应用之后,获取上述新应用的时间跨度决策和三路召回特征,将上述新应用的时间跨度决策和三路召回特征作为上述完成训练的深度模型的输入,识别上述新应用是否是恶意应用。
具体实现中,本申请还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,其中,在所述程序运行时控制所述计算机可读存储介质所在设备执行上述实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-onlymemory,简称:ROM)或随机存储记忆体(英文:random access memory,简称:RAM)等。
具体实现中,本申请实施例还提供了一种计算机程序产品,所述计算机程序产品包含可执行指令,当所述可执行指令在计算机上执行时,使得计算机执行上述方法实施例中的部分或全部步骤。
本申请公开的机制的各实施例可以被实现在硬件、软件、固件或这些实现方法的组合中。本申请的实施例可实现为在可编程系统上执行的计算机程序或程序代码,该可编程系统包括至少一个处理器、存储系统(包括易失性和非易失性存储器和/或存储元件)、至少一个输入设备以及至少一个输出设备。
可将程序代码应用于输入指令,以执行本申请描述的各功能并生成输出信息。可以按已知方式将输出信息应用于一个或多个输出设备。为了本申请的目的,处理系统包括具有诸如例如数字信号处理器(Digital Signal Processor,DSP)、微控制器、专用集成电路(Application Specific Integrated Circuit,ASIC)或微处理器之类的处理器的任何系统。
程序代码可以用高级程序化语言或面向对象的编程语言来实现,以便与处理系统通信。在需要时,也可用汇编语言或机器语言来实现程序代码。事实上,本申请中描述的机制不限于任何特定编程语言的范围。在任一情形下,该语言可以是编译语言或解释语言。
在一些情况下,所公开的实施例可以以硬件、固件、软件或其任何组合来实现。所公开的实施例还可以被实现为由一个或多个暂时或非暂时性机器可读(例如,计算机可读)存储介质承载或存储在其上的指令,其可以由一个或多个处理器读取和执行。例如,指令可以通过网络或通过其他计算机可读介质分发。因此,机器可读介质可以包括用于以机器(例如,计算机)可读的形式存储或传输信息的任何机制,包括但不限于,软盘、光盘、光碟、光盘只读存储器(Compact Disc Read Only Memory,CD-ROMs)、磁光盘、只读存储器(Read OnlyMemory,ROM)、随机存取存储器(RAM)、可擦除可编程只读存储器(Erasable ProgrammableRead Only Memory,EPROM)、电可擦除可编程只读存储器(Electrically ErasableProgrammable Read Only Memory,EEPROM)、磁卡或光卡、闪存、或用于利用因特网以电、光、声或其他形式的传播信号来传输信息(例如,载波、红外信号数字信号等)的有形的机器可读存储器。因此,机器可读介质包括适合于以机器(例如,计算机)可读的形式存储或传输电子指令或信息的任何类型的机器可读介质。
在附图中,可以以特定布置和/或顺序示出一些结构或方法特征。然而,应该理解,可能不需要这样的特定布置和/或排序。而是,在一些实施例中,这些特征可以以不同于说明书附图中所示的方式和/或顺序来布置。另外,在特定图中包括结构或方法特征并不意味着暗示在所有实施例中都需要这样的特征,并且在一些实施例中,可以不包括这些特征或者可以与其他特征组合。
需要说明的是,本申请各设备实施例中提到的各单元/模块都是逻辑单元/模块,在物理上,一个逻辑单元/模块可以是一个物理单元/模块,也可以是一个物理单元/模块的一部分,还可以以多个物理单元/模块的组合实现,这些逻辑单元/模块本身的物理实现方式并不是最重要的,这些逻辑单元/模块所实现的功能的组合才是解决本申请所提出的技术问题的关键。此外,为了突出本申请的创新部分,本申请上述各设备实施例并没有将与解决本申请所提出的技术问题关系不太密切的单元/模块引入,这并不表明上述设备实施例并不存在其它的单元/模块。
需要说明的是,在本专利的示例和说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
虽然通过参照本申请的某些优选实施例,已经对本申请进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本申请的精神和范围。

Claims (9)

1.一种恶意应用识别方法,其特征在于,应用于电子设备,所述方法包括:
在安装新应用后,确定所述新应用在第一预设时间段内在各个电子设备中的安装数量,作为安装数量特征;
基于各个设备型号的电子设备安装所述新应用的数量,获取安装型号特征;
基于各个预设年龄段的用户所使用的电子设备安装所述新应用的数量,获取安装年龄特征;
基于所述安装数量特征、安装型号特征、安装年龄特征,识别所述新应用是否为恶意应用;
在所述基于所述安装数量特征、安装型号特征、安装年龄特征,识别所述新应用是否为恶意应用之前,还包括:
确定所述新应用生成弹窗的时刻;
根据确定的各个时刻的分布情况,对所确定的各个时刻进行聚类,得到多个类别,针对每一类别,基于该类别中的各个时刻,确定包含该类别中的各个时刻的检测时间段;
针对每一检测时间段,统计该检测时间段内所述新应用生成弹窗的弹窗数量;
针对每一检测时间段,基于该检测时间段的弹窗数量,确定该检测时间段所属的弹窗强度类别,其中,所述弹窗强度类别包括:表示该检测时间段的弹窗数量小于第一预设数量的静默类别、表示该检测时间段的弹窗数量大于第二预设数量的频繁类别、表示该检测时间段的弹窗数量大于等于第一预设数量小于等于第二预设数量的普通类别,所述第二预设数量大于第一预设数量;
所述基于所述安装数量特征、安装型号特征、安装年龄特征,识别所述新应用是否为恶意应用,包括:
将所述安装数量特征、安装型号特征、安装年龄特征以及各个检测时间段的弹窗数量与弹窗强度类别输入到预先训练的识别模型中,识别所述新应用是否为恶意应用。
2.根据权利要求1所述的方法,其特征在于,所述基于各个设备型号的电子设备安装所述新应用的数量,获取安装型号特征,包括:
针对每一设备型号,计算该设备型号的电子设备安装所述新应用的数量与电子设备安装所述新应用的总数量之比,作为安装型号特征;
所述基于各个预设年龄段的用户所使用的电子设备安装所述新应用的数量,获取安装年龄特征,包括:
针对每一预设年龄段,计算属于该预设年龄段的用户所使用的电子设备安装所述新应用的数量与电子设备安装所述新应用的总数量之比,作为安装年龄特征。
3.根据权利要求1所述的方法,其特征在于,所述基于各个设备型号的电子设备安装所述新应用的数量,获取安装型号特征,包括:
针对每一设备型号,计算该设备型号的电子设备的数量与电子设备的总数量之比,作为型号基准比;
基于各个设备型号的电子设备安装所述新应用的数量以及所述型号基准比,获取安装型号特征。
4.根据权利要求1所述的方法,其特征在于,所述基于各个预设年龄段的用户所使用的电子设备安装所述新应用的数量,获取安装年龄特征,包括:
针对每一预设年龄段,计算属于该预设年龄段的用户所使用的电子设备的数量与电子设备的总数量之比,作为年龄基准比;
基于各个预设年龄段的用户所使用的电子设备安装所述新应用的数量以及所述年龄基准比,获取安装年龄特征。
5.根据权利要求1所述的方法,其特征在于,在所述对所确定的各个时刻进行聚类,确定各个检测时间段之后,还包括:
针对每一检测时间段,获得表示该检测时间段内所述新应用进行的行为的行为信息;
所述基于所述安装数量特征、安装型号特征、安装年龄特征以及各个检测时间段的弹窗数量与弹窗强度类别,识别所述新应用是否为恶意应用,包括:
基于所述安装数量特征、安装型号特征、安装年龄特征以及各个检测时间段的弹窗数量、弹窗强度类别与行为信息,识别所述新应用是否为恶意应用。
6.根据权利要求5所述的方法,其特征在于,所述基于所述安装数量特征、安装型号特征、安装年龄特征以及各个检测时间段的弹窗数量、弹窗强度类别与行为信息,识别所述新应用是否为恶意应用,包括:
对各个检测时间段的弹窗数量、弹窗强度类别和行为信息进行特征提取,得到更新系数;
基于所述更新系数,对各个检测时间段的弹窗数量进行更新;
基于所述安装数量特征、安装型号特征、安装年龄特征以及更新后的弹窗数量,识别所述新应用是否为恶意应用。
7.一种电子设备,其特征在于,包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被所述处理器执行时,触发所述电子设备执行权利要求1-6中任一项所述的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的程序,其中,在所述程序运行时控制所述计算机可读存储介质所在设备执行权利要求1-6中任意一项所述的方法。
9.一种计算机程序产品,其特征在于,所述计算机程序产品包含可执行指令,当所述可执行指令在计算机上执行时,使得计算机执行权利要求1-6中任意一项所述的方法。
CN202211474132.9A 2022-11-23 2022-11-23 恶意应用识别方法、电子设备、存储介质及程序产品 Active CN116662990B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211474132.9A CN116662990B (zh) 2022-11-23 2022-11-23 恶意应用识别方法、电子设备、存储介质及程序产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211474132.9A CN116662990B (zh) 2022-11-23 2022-11-23 恶意应用识别方法、电子设备、存储介质及程序产品

Publications (2)

Publication Number Publication Date
CN116662990A CN116662990A (zh) 2023-08-29
CN116662990B true CN116662990B (zh) 2024-05-31

Family

ID=87717702

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211474132.9A Active CN116662990B (zh) 2022-11-23 2022-11-23 恶意应用识别方法、电子设备、存储介质及程序产品

Country Status (1)

Country Link
CN (1) CN116662990B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101859349A (zh) * 2009-04-13 2010-10-13 珠海金山软件有限公司 用于查杀恶意程序的文件筛选系统和文件筛选方法
KR20150003452A (ko) * 2013-07-01 2015-01-09 주식회사 잉카인터넷 악성 모듈 처리 시스템 및 방법
CN105988847A (zh) * 2015-03-04 2016-10-05 中兴通讯股份有限公司 应用处理方法及装置
CN110008687A (zh) * 2019-02-19 2019-07-12 阿里巴巴集团控股有限公司 风险应用的处理方法及装置
CN111026479A (zh) * 2019-11-25 2020-04-17 深圳传音控股股份有限公司 切换界面的方法、终端及计算机可读存储介质
CN115061740A (zh) * 2021-11-19 2022-09-16 荣耀终端有限公司 应用程序处理方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101859349A (zh) * 2009-04-13 2010-10-13 珠海金山软件有限公司 用于查杀恶意程序的文件筛选系统和文件筛选方法
KR20150003452A (ko) * 2013-07-01 2015-01-09 주식회사 잉카인터넷 악성 모듈 처리 시스템 및 방법
CN105988847A (zh) * 2015-03-04 2016-10-05 中兴通讯股份有限公司 应用处理方法及装置
CN110008687A (zh) * 2019-02-19 2019-07-12 阿里巴巴集团控股有限公司 风险应用的处理方法及装置
CN111026479A (zh) * 2019-11-25 2020-04-17 深圳传音控股股份有限公司 切换界面的方法、终端及计算机可读存储介质
CN115061740A (zh) * 2021-11-19 2022-09-16 荣耀终端有限公司 应用程序处理方法及装置

Also Published As

Publication number Publication date
CN116662990A (zh) 2023-08-29

Similar Documents

Publication Publication Date Title
CN113163470B (zh) 对特定路线上的特定位置进行识别的方法及电子设备
US11922935B2 (en) Voice interaction method and apparatus, terminal, and storage medium
CN110134316B (zh) 模型训练方法、情绪识别方法及相关装置和设备
CN108496220B (zh) 电子设备及其语音识别方法
US11031011B2 (en) Electronic device and method for determining electronic device to perform speech recognition
CN111724775B (zh) 一种语音交互方法及电子设备
CN112154431B (zh) 一种人机交互的方法及电子设备
US20240038238A1 (en) Electronic device, speech recognition method therefor, and medium
CN112130714B (zh) 可进行学习的关键词搜索方法和电子设备
CN106203235B (zh) 活体鉴别方法和装置
CN111222836B (zh) 一种到站提醒方法及相关装置
CN111881315A (zh) 图像信息输入方法、电子设备及计算机可读存储介质
CN111556479B (zh) 信息共享方法及相关装置
CN111742539A (zh) 一种语音控制命令生成方法及终端
CN116662990B (zh) 恶意应用识别方法、电子设备、存储介质及程序产品
WO2022007757A1 (zh) 跨设备声纹注册方法、电子设备及存储介质
WO2021254294A1 (zh) 一种切换音频输出通道的方法、装置和电子设备
CN115878500A (zh) 内存回收方法、装置、电子设备及可读存储介质
CN115633114A (zh) 通信录字母的显示方法、装置和终端设备
CN114664306A (zh) 一种编辑文本的方法、电子设备和系统
CN116013334B (zh) 音频数据处理方法、电子设备及存储介质
CN115545049B (zh) 一种翻译方法、可读存储介质和电子设备
CN115421644B (zh) 确定弹窗消息来源的方法和装置
CN115695636B (zh) 一种智能语音交互的方法及电子设备
CN116700852B (zh) 一种卡片展示方法、终端、存储介质以及程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant