应用风险指数生成方法、模型构建方法、检测方法及设备与流程

本发明实施例涉及移动安全，尤其涉及一种应用风险指数生成方法、模型构建方法、应用风险检测方法、设备及介质。

背景技术：

1、随着移动终端对病毒、木马等恶意应用的治理，恶意应用的威胁在逐步降低。同时，风险应用的威胁显的较为突出。风险应用是指非良性开发者制作的用于承载其特定的商业模式和业务形态，并以此造成用户利益的侵害或存在潜在的侵害用户利益意图的应用。例如部分应用诱导用户付费，免密暗扣，强制用户浏览广告等，其往往没有明显的恶意代码且存在对抗能力(根据用户来源，用户画像，个性化触发风险行为)。

2、风险应用存在一定的隐蔽性，难以发现和取证，因此如何更全面的发现风险应用是治理风险应用的关键步骤。目前风险应用的发现主要通过分析应用程序的调用行为日志，这对于区分行为是否有风险是不充分的，例如同样的弹窗行为，在视频类应用和工具类应用中其代表的含义是不同的。

3、因此现有风险检测方法依赖的原始信息比较单一，无法从多个维度进行广度和深度的分析，因而影响了风险检测结果的准确性和可靠性。

技术实现思路

1、针对现有技术存在的问题，本发明实施例提供一种应用风险指数生成方法、应用风险检测方法、设备及介质，通过更丰富的信息维度进行检测和分析，克服单一检测方法准确度和可靠度低的问题。

2、第一方面，本发明实施例提供一种应用风险指数生成方法，应用于服务端，包括：

3、根据下述至少一种信息判断应用风险，生成待检测应用程序的应用风险指数值：

4、所述待检测应用程序的病毒检测信息、所述待检测应用程序的风险行为检测信息、所述待检测应用程序的风险应用感知信息、所述待检测应用程序的开发者风险信息、所述待检测应用程序的用户处置信息以及所述待检测应用程序的用户评价信息。

5、第二方面，本发明实施例提供一种应用程序风险预测模型构建方法，包括：

6、基于若干应用程序，获取若干组相关数据，所述相关数据包括应用风险指数值，还包括静态数据和/或运行数据；

7、获取每一组相关数据的风险等级标签，所述风险等级标签是根据每一组相关数据的风险分析结果得到；

8、将所述若干组相关数据及每一组相关数据的风险等级标签作为ai模型的输入数据，对所述ai模型进行训练和测试，得到应用程序风险预测模型，所述应用程序风险预测模型的输出数据为应用程序的风险预测结果；

9、其中，所述应用风险指数值通过第一方面任一项所述的应用风险指数生成方法得到；

10、其中，所述运行数据为应用程序运行时的行为向量和/或行为特征；

11、其中，所述静态数据包括如下至少一种：应用程序的用户量、应用品类、权限信息、集成sdk信息、病毒检测结果、开发者和/或关联开发者风险信息及代码特征。

12、第三方面，本发明实施例提供一种应用风险检测方法，应用于终端，包括：

13、若检测到待安装应用程序，则从服务端获取所述待安装应用程序的应用风险指数值及应用程序风险预测模型，所述应用风险指数值通过第一方面任一项所述的应用风险指数生成方法得到；所述应用程序风险预测模型通过第二方面任一项所述的应用程序风险预测模型构建方法得到；

14、将所述应用风险指数值及所述待检测应用程序的静态数据输入至应用程序风险预测模型，获取所述待检测应用程序的风险预测结果。

15、第四方面，本发明实施例提供一种应用风险检测方法，应用于终端，包括：

16、从服务端获取所述待检测应用程序的应用风险指数值及应用程序风险预测模型；所述应用风险指数值通过第一方面任一项所述的应用风险指数生成方法得到；所述应用程序风险预测模型通过第二方面任一项所述的应用程序风险预测模型构建方法得到；

17、获取指定时间段内待检测应用程序运行时的行为序列，所述行为序列是所述待检测应用程序调用指定应用编程接口api的数据信息、按时间顺序组成的数据序列；

18、根据预设行为处理规则，将所述行为序列处理成行为向量和/或特征向量，所述行为向量和/或特征向量为运行数据；

19、将所述应用风险指数值、及所述待检测应用程序的静态数据和/或所述运行数据，输入至所述应用程序风险预测模型，获取所述待检测应用程序的风险预测结果。

20、第五方面，本发明实施例提供一种电子设备，包括：

21、至少一个处理器；以及

22、与所述处理器通信连接的至少一个存储器，其中：

23、所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行本发明实施例第一方面所述应用风险指数生成方法及其任一可选实施例所述的方法，或执行本发明实施例第二方面所述应用程序风险预测模型构建方法及其任一可选实施例所述的方法，或执行本发明实施例第三方面所述应用风险检测方法及其任一可选实施例所述的方法，或执行本发明实施例第四方面所述应用风险检测方法及其任一可选实施例所述的方法。

24、第六方面，本发明实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令执行本发明实施例第一方面所述应用风险指数生成方法及其任一可选实施例所述的方法，或执行本发明实施例第二方面所述应用程序风险预测模型构建方法及其任一可选实施例所述的方法，或执行本发明实施例第三方面所述应用风险检测方法及其任一可选实施例所述的方法，或执行本发明实施例第四方面所述应用风险检测方法及其任一可选实施例所述的方法。

25、本发明实施例提供的应用风险指数生成方法及应用风险检测方法，在服务端，根据病毒检测信息、风险行为检测信息、风险应用感知信息、开发者风险信息、用户处置信息以及用户评价信息，对应用风险进行综合分析，根据分析结果赋予风险指数，从多角度更加丰富的信息维度对应用程序进行了风险判定，其结果相较于单一的信息检测，更准确，更可靠。进一步，通过应用风险指数值，静态数据和/或运行数据，训练ai模型，构建应用程序风险预测模型。在终端，在应用程序安装时，及时进行风险提示；在应用程序运行时，将应用风险指数结合应用行为进行更加精准的风险检测和判断，使得风险检测结果更加精准可靠，能够实现更加全面及时的风险检测。本发明实施例通过服务端终端相结合的方式进行终端应用风险检测，可以将需要大量资源的计算逻辑(如风险预测模型构建和迭代优化)部署在服务端，减轻终端压力，因此也可以通过最大量的数据来源获取最大量最多样的数据来实现风险检测的精准；同时服务端模型优化后，可以即时同步到所有终端，使得所有终端具有相同的风险检测能力。

技术特征：

1.一种应用风险指数生成方法，应用于服务端，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述根据下述至少一种信息判断应用风险，生成待检测应用程序的应用风险指数值，具体包括：

3.根据权利要求2所述的方法，其特征在于，所述获取终端对待检测应用程序的风险行为检测信息，则根据所述风险行为的占比，设置第二风险指数值，具体包括：

4.根据权利要求2或3所述的方法，其特征在于，所述若检测出所述待检测应用程序具有风险应用特征，则根据所述待检测应用程序属于风险应用的概率，设置第三风险指数值，具体包括：

5.根据权利要求2-4任一项所述的方法，其特征在于，所述若检测出所述待检测应用程序的开发者和/或关联开发者具有恶意风险信息，则根据所述恶意风险信息，设置第四风险指数值，具体包括：

6.根据权利要求5所述的方法，其特征在于，所述根据所述应用开发者关联信息，获取相关的应用和/或开发者的风险信息，并设置第四风险指数值，具体包括：

7.一种应用程序风险预测模型构建方法，其特征在于，包括：

8.根据权利要求7所述的方法，其特征在于，所述方法还包括：

9.一种应用风险检测方法，应用于终端，其特征在于，包括：

10.根据权利要求9所述的方法，其特征在于，所述方法还包括：

11.根据权利要求9或10所述的方法，其特征在于，所述方法还包括：

12.一种应用风险检测方法，应用于终端，其特征在于，包括：

13.根据权利要求12所述的方法，其特征在于，所述预设行为处理规则包括第一预设规则和第二预设规则；

14.根据权利要求13所述的方法，其特征在于，所述根据第一预设规则将所述行为序列转换为行为向量，具体包括：

15.根据权利要求13或14所述的方法，其特征在于，所述第二预设规则包括如下至少一种：目标行为的触发次数达到阈值、多个目标行为依次按序的触发次数达到阈值以及多个目标行为在预设时间内依次按序的触发次数达到阈值；

16.根据权利要求12-15任一项所述的方法，其特征在于，所述方法还包括：

17.根据权利要求12-16任一项所述的方法，其特征在于，所述方法还包括：

18.根据权利要求12-16任一项所述的方法，其特征在于，所述方法还包括：

19.一种电子设备，其特征在于，包括：

20.一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行如权利要求1至6任一所述的应用风险指数生成方法，或执行如权利要求7或8所述的应用风险检测方法，或执行如权利要求9至11任一所述的应用风险检测方法，或执行如权利要求12至18任一所述的应用风险检测方法。

技术总结本发明实施例提供一种应用风险指数生成方法、模型构建方法、检测方法、设备及介质。所述方法根据病毒检测信息、风险行为检测信息、风险应用感知信息、开发者风险信息、用户处置信息以及用户评价信息，对应用风险进行综合分析，根据分析结果赋予风险指数，从多角度更加丰富的信息维度对应用程序进行了风险判定，其结果相较于单一的信息检测，更准确，更可靠。进一步，在应用程序安装时，及时进行风险提示；在应用程序运行时，将应用风险指数结合应用行为进行更加精准的风险检测和判断，使得风险检测结果更加精准可靠，能够实现更加全面及时的风险检测。技术研发人员：潘宣辰,刘汝帅,董超,潘博文,钟翔,陈家林受保护的技术使用者：武汉安天信息技术有限责任公司技术研发日：技术公布日：2024/9/12