【技术实现步骤摘要】
本申请涉及计算机领域,尤其涉及一种安装包分类方法、安装包分类模型的训练方法及相关设备。
技术介绍
1、随着互联网功能越来越强大,例如网络诈骗,网络赌博等,这些网络犯罪行为一般以软件为载体进行,故只需要在软件安装前识别出对应的黑灰产安装包,就可以有效控制网络犯罪。但目前对安装包的检测仅限于对其源码源文件的检测,其构建模型可解释性差且构建难度较大,导致构建出的模型并不能很好的检测出黑灰产安装包。
技术实现思路
1、本申请实施例提供了一种安装包分类方法、安装包分类模型的训练方法及相关设备,可以快速准确地检测出黑灰产安装包。
2、第一方面,本申请实施例提供了一种安装包分类方法,包括:在沙箱对安装包进行解析,得到目标动态特征和目标静态特征;将所述动态特征输入动态分类网络,得到动态分类结果;将所述静态特征输入静态分类网络,得到静态分类结果;根据所述动态分类结果和所述静态分类结果,确定最终分类结果。
3、在一种可能的实现方式中,所述在沙箱对安装包进行解析,得到目标动态特征和目标静态特征,具体包括:在沙箱对所述安装包进行静态解析,得到目标静态特征;在沙箱对所述安装包进行动态解析,得到目标动态特征。
4、在一种可能的实现方式中,所述在沙箱对所述安装包进行静态解析,得到目标静态特征,具体包括:在沙箱对所述安装包进行静态解析,得到初步静态特征,所述初步静态特征包括图标、文本、软件名、文件名、文件哈希;对所述初步静态特征进行信息增益,得到目标静态特征。
5、
6、在一种可能的实现方式中,所述网络请求包括协议地址和文本标签,所述文本信息包括地址文件、路径文件、标签信息和文本文件,所述对所述网络请求进行解析,得到文本信息,具体包括:对所述协议地址进行解析,得到地址文件、路径文件;对所述文本标签进行解析,得到标签信息和文本文件。
7、在一种可能的实现方式中,所述对所述运行截图进行识别,得到截图信息,具体包括:对所述运行截图进行图像识别,得到截图内容;对所述运行截图进行图像哈希,得到截图特征。
8、第二方面,本申请实施例提供了一种安装包分类模型的训练方法,其特征在于,所述安装包分类模型包括动态分类网络和静态分类网络,所述安装包分类模型的训练方法包括:获取安装包样本集,所述安装包样本集中包含有多个安装包样本,每个安装包样本均标记有对应的安装包分类标签;在沙箱对所述安装包样本进行解析,得到样本动态特征和样本静态特征;将所述样本动态特征输入动态分类网络,得到样本动态分类结果;将所述样本静态特征输入静态分类网络,得到样本静态分类结果;根据所述样本动态分类结果和所述样本静态分类结果,确定样本最终分类结果;根据所述样本最终分类结果和所述安装包分类标签,对所述安装包分类模型进行参数调整,直至符合训练结束条件,得到训练后的安装包分类模型。
9、第三方面,本申请实施例提供了一种安装包分类装置,所述安装包分类装置包括:沙箱解析模块,用于在沙箱对安装包进行解析,得到目标动态特征和目标静态特征;动态分类模块,用于将所述动态特征输入动态分类网络,得到动态分类结果;静态分类模块,用于将所述静态特征输入静态分类网络,得到静态分类结果;最终分类模块,用于根据所述动态分类结果和所述静态分类结果,确定最终分类结果。
10、在一种可能的实现方式中,所述沙箱解析模块具体包括:静态解析子模块,用于在沙箱对所述安装包进行静态解析,得到目标静态特征;动态解析子模块,用于在沙箱对所述安装包进行动态解析,得到目标动态特征。
11、在一种可能的实现方式中,所述静态解析子模块具体包括:静态特征单元,用于在沙箱对所述安装包进行静态解析,得到初步静态特征,所述初步静态特征包括图标、文本、软件名、文件名、文件哈希;信息增益单元,用于对所述初步静态特征进行信息增益,得到目标静态特征。
12、在一种可能的实现方式中,所述目标动态特征包括文本信息和截图信息,所动态解析子模块具体包括:动态特征单元,用于在沙箱对所述安装包进行动态解析,得到初步动态特征,所述初步动态特征包括网络请求和运行截图;请求解析单元,用于对所述网络请求进行解析,得到文本信息;图像解析单元,用于对所述运行截图进行识别,得到截图信息。
13、在一种可能的实现方式中,所述网络请求包括协议地址和文本标签,所述文本信息包括地址文件、路径文件、标签信息和文本文件,所述请求解析单元具体用于执行:对所述协议地址进行解析,得到地址文件、路径文件;对所述文本标签进行解析,得到标签信息和文本文件。
14、在一种可能的实现方式中,所述截图信息包括截图内容和截图特征,所述图像解析单元具体用于执行:对所述运行截图进行图像识别,得到截图内容;对所述运行截图进行图像哈希,得到截图特征。
15、第四方面,本申请实施例提供了一种安装包分类模型的训练装置,其特征在于,所述安装包分类模型包括动态分类网络和静态分类网络,所述安装包分类模型的训练装置包括:样本获取模块,用于获取安装包样本集,所述安装包样本集中包含有多个安装包样本,每个安装包样本均标记有对应的安装包分类标签;样本解析模块,用于在沙箱对所述安装包样本进行解析,得到样本动态特征和样本静态特征;第一分类模块,用于将所述样本动态特征输入动态分类网络,得到样本动态分类结果;第二分类模块,用于将所述样本静态特征输入静态分类网络,得到样本静态分类结果;样本结果模块,用于根据所述样本动态分类结果和所述样本静态分类结果,确定样本最终分类结果;参数调整模块,用于根据所述样本最终分类结果和所述安装包分类标签,对所述安装包分类模型进行参数调整,直至符合训练结束条件,得到训练后的安装包分类模型。
16、第五方面,本申请实施例提供了一种电子设备,包括:处理器和存储器;其中,所述存储器存储有计算机程序,所述计算机程序适于由处理器加载并执行:在沙箱对安装包进行解析,得到目标动态特征和目标静态特征;将所述动态特征输入动态分类网络,得到动态分类结果;将所述静态特征输入静态分类网络,得到静态分类结果;根据所述动态分类结果和所述静态分类结果,确定最终分类结果。
17、在一种可能的实现方式中,所述处理器在沙箱对安装包进行解析,得到目标动态特征和目标静态特征时,具体执行:在沙箱对所述安装包进行静态解析,得到目标静态特征;在沙箱对所述安装包进行动态解析,得到目标动态特征。
18、在一种可能的实现方式中,所述处理器在沙箱对所述安装包进行静态解析,得到目标静态特征时,具体执行:在沙箱对所述安装包进行静态解析,得到初步静态特征,所述初步静态特征包括图标、文本、软件名、文件名、文本文档来自技高网...
【技术保护点】
1.一种安装包分类方法,其特征在于,所述安装包分类方法包括:
2.如权利要求1所述的方法,其特征在于,所述在沙箱对安装包进行解析,得到目标动态特征和目标静态特征,具体包括:
3.如权利要求2所述的方法,其特征在于,所述在沙箱对所述安装包进行静态解析,得到目标静态特征,具体包括:
4.如权利要求2所述的方法,其特征在于,所述目标动态特征包括文本信息和截图信息,所述在沙箱对所述安装包进行动态解析,得到目标动态特征,具体包括:
5.如权利要求4所述的方法,其特征在于,所述网络请求包括协议地址和文本标签,所述文本信息包括地址文件、路径文件、标签信息和文本文件,所述对所述网络请求进行解析,得到文本信息,具体包括:
6.一种安装包分类模型的训练方法,其特征在于,所述安装包分类模型包括动态分类网络和静态分类网络,所述安装包分类模型的训练方法包括:
7.一种安装包分类装置,其特征在于,所述安装包分类装置包括:
8.一种安装包分类模型的训练装置,其特征在于,所述安装包分类模型包括动态分类网络和静态分类网络,所述安装
9.一种电子设备,其特征在于,包括:处理器和存储器;其中,所述存储器存储有计算机程序,所述计算机程序适于由处理器加载并执行如权利要求1-6任一项的方法步骤。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有多条指令,所述指令适于由处理器加载并执行如权利要求1-6任一项的方法步骤。
...【技术特征摘要】
1.一种安装包分类方法,其特征在于,所述安装包分类方法包括:
2.如权利要求1所述的方法,其特征在于,所述在沙箱对安装包进行解析,得到目标动态特征和目标静态特征,具体包括:
3.如权利要求2所述的方法,其特征在于,所述在沙箱对所述安装包进行静态解析,得到目标静态特征,具体包括:
4.如权利要求2所述的方法,其特征在于,所述目标动态特征包括文本信息和截图信息,所述在沙箱对所述安装包进行动态解析,得到目标动态特征,具体包括:
5.如权利要求4所述的方法,其特征在于,所述网络请求包括协议地址和文本标签,所述文本信息包括地址文件、路径文件、标签信息和文本文件,所述对所述网络请求进行解析,得到文本信息,具体包括:
【专利技术属性】
技术研发人员:尹露,栾克鑫,牛成,郭峰,胡振泉,
申请(专利权)人:三六零数字安全科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。