(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111370653.5 (22)申请日 2021.11.18 (71)申请人 奇安信科技 集团股份有限公司 地址 100088 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 网神信息技 术 （北京） 股份有限公司 (72)发明人 应凌云　陈孟达　王珂林　和亮　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 代理人 王宇杨 (51)Int.Cl. G06F 21/56(2013.01) G06N 20/00(2019.01) (54)发明名称 恶意应用检测方法、 装置、 设备、 存储介质和 程序 (57)摘要 本发明实施例提供一种恶意应用检测方法、 装置、 设备、 存储介质和程序。 该恶意应用检测方 法包括： 对应用程序的多个特征进行编码， 得到 各个特征的第一编码； 将各个特征的第一编码输 入训练后的编码模型， 得到应用程序的第二编 码； 根据应用程序的第二编码以及训练后的检测 模型， 获取检测结果， 检测结果用于表示应用程 序是否为恶意应用； 其中， 编码模型是由特征编 码样本和解码 模型训练得到的， 解码 模型用于基 于输入的中间编码得到重构后的特征编码样本； 中间编码是编码模型基于特征编码样本得到的。 上述方案能够处理经过混淆的恶意应用， 降低检 测过程中的误报率和漏报率， 准确性较高。 权利要求书2页 说明书10页 附图3页 CN 114329460 A 2022.04.12 CN 114329460 A 1.一种恶意应用检测方法， 其特 征在于， 包括： 对应用程序的多个特 征进行编码， 得到各个所述特 征的第一编码； 将各个所述特 征的第一编码输入训练后的编码模型， 得到所述应用程序的第二编码； 根据所述应用程序的第二编码以及训练后的检测模型， 获取检测结果， 所述检测结果 用于表示所述应用程序是否为恶意应用； 其中， 所述编码模型是由特征编码样本和解码模型训练得到的， 所述解码模型用于基 于输入的中间编码得到重构后的特征编 码样本； 所述中间编码是所述编码模型基于所述特 征编码样本得到的。 2.根据权利要求1所述的恶意应用检测方法， 其特 征在于， 所述方法还 包括： 建立初始的编码模型； 基于所述特 征编码样本对所述初始的编码模型进行训练， 得到中间编码； 基于所述中间编码、 所述解码模型对所述初始 的编码模型的模型参数进行优化， 直至 满足收敛 条件， 得到所述训练后的编码模型。 3.根据权利要求2所述的恶意应用检测方法， 其特征在于， 所述基于所述中间编码、 所 述解码模型对所述初始的编码模型 的模型参数进行优化， 直至满足收敛条件， 得到所述训 练后的编码模型， 包括： 将所述中间编码输入所述 解码模型， 得到所述重构后的特 征编码样本； 基于所述重构后的特征编码样本和所述特征编码样本的相似度， 对所述初始的编码模 型的模型参数进行优化， 直至满足收敛 条件， 得到所述训练后的编码模型。 4.根据权利要求1 ‑3任一项所述的恶意应用检测方法， 其特 征在于， 所述方法还 包括： 建立初始的机器学习模型； 利用训练数据， 对所述机器学习模型进行训练， 得到所述检测模型； 所述训练数据包 括： 应用程序的编码 样本和是否为恶意应用的标签。 5.根据权利要求1 ‑3任一项所述的恶意应用检测方法， 其特征在于， 所述多个特征包 括： 第一类型的特征和第二类型的特征， 对所述应用程序的多个特征进 行编码， 得到各个所 述特征的第一编码， 包括： 基于第一编码方式， 对所述第一类型的特征进行编码， 得到所述第一类型的特征的第 一编码； 基于第二编码方式， 对所述第二类型的特征进行编码， 得到所述第二类型的特征的第 一编码。 6.根据权利要求5所述的恶意应用检测方法， 其特征在于， 所述第 一类型的特征包括以 下至少一项： 应用程序编程接口API调用特 征、 反射API调用特 征和短信发送特 征； 所述基于第一编码方式， 对所述第一类型的特 征进行编码， 包括： 按照API调用次数对所述API调用特 征和/或所述反射API调用特 征进行编码； 按照短信发送次数对所述短信发送特 征进行编码。 7.根据权利要求5所述的恶意应用检测方法， 其特征在于， 所述第 二类型的特征包括以 下至少一项： 危险权限特 征、 展示组件特 征、 组件通信特 征和服务组件特 征； 所述第二编码方式为独热编码， 所述基于第二编码方式， 对所述第二类型的特征进行 编码， 包括：权　利　要　求　书 1/2 页 2 CN 114329460 A 2基于所述独热编码对所述第二类型的特 征进行编码。 8.根据权利要求1 ‑3任一项所述的恶意应用检测方法， 其特征在于， 所述对应用程序的 多个特征进行编码之前， 还 包括： 获取应用程序的安装 包APK文件； 根据所述应用程序的APK文件， 获取 所述应用程序的多个特 征。 9.根据权利要求1 ‑3任一项所述的恶意应用检测方法， 其特征在于， 所述特征为应用程 序中代码混淆 前后不发生变化的特 征； 所述应用程序为经 过代码混淆的应用程序。 10.一种恶意应用检测装置， 其特 征在于， 包括： 预处理模块， 用于对应用程序的多个特 征进行编码， 得到各个所述特 征的第一编码； 处理模块， 用于将各个所述特征的第一编码输入训练后的编码模型， 得到所述应用程 序的第二编码； 所述处理模块， 还用于根据所述应用程序的第二编码以及训练后的检测模型， 获取检 测结果， 所述检测结果用于表示所述应用程序是否为恶意应用； 其中， 所述编码模型是由特征编码样本和解码模型训练得到的， 所述解码模型用于基 于输入的中间编码得到重构后的特征编 码样本； 所述中间编码是所述编码模型基于所述特 征编码样本得到的。 11.一种电子设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计算 机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至9任一项所述恶意应 用检测方法的步骤。 12.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该计算机 程序被处 理器执行时实现如权利要求1至9任一项所述恶意应用检测方法的步骤。 13.一种计算机程序产品， 其上存储有可执行指令， 其特征在于， 该指令被处理器执行 时使处理器实现如权利要求1至9中任一项所述恶意应用检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114329460 A 3