【技术实现步骤摘要】
本专利技术涉及网络安全,特别是指基于多层级特征协同及关键线索溯源的非法移动应用组织识别方法及系统。
技术介绍
1、随着移动互联网的快速发展,非法应用(如色情、赌博、诈骗等)层出不穷,对用户隐私、信息安全以及社会秩序构成严重威胁。这些非法应用通常采用复杂的技术手段,通过使用多样化的开发框架(如flutter、reactnative等)、滥用权限、伪造签名以及隐藏网络通信的方式,规避传统检测手段的监管。这些应用不仅在功能设计上具备隐蔽性,运行过程中也表现出强烈的动态性和分散性,使得单一的检测维度难以全面覆盖其非法行为的全貌。此外,部分非法应用通过嵌入第三方sdk(如广告类、支付类、社交类等)扩展功能,进一步提升了溯源和识别的难度。
2、目前针对非法应用的检测方法多集中于权限分析、签名特征比对或网络流量的单维度分析。然而,这些方法在面对非法应用组织化运营时,存在识别效率低、关联性分析不足等问题,无法有效挖掘非法应用背后制作与运营组织的特征。
技术实现思路
1、本专利技术要解决的技术问题是提供基于多层级特征协同及关键线索溯源的非法移动应用组织识别方法及系统,能够整合应用的权限信息、签名信息、网络流量特征、动态行为以及日志数据,通过深度关联分析与聚类技术,快速、高效地识别非法应用背后的潜在组织,并揭示其运营模式和风险特征。
2、为解决上述技术问题,本专利技术的技术方案如下:
3、第一方面,基于多层级特征协同及关键线索溯源的非法移动应用组织识别方法,所述方法
4、步骤1,利用apk文件解析工具,从代码中提取关键静态信息,包括签名、证书和权限配置;
5、步骤2,通过动态沙箱运行应用,捕获动态行为,动态行为包括系统调用和权限请求,并结合网络流量分析,获取应用的网络通信特征;
6、步骤3,基于关键静态信息和应用的网络通信特征,对关键线索进行追踪,利用whois查询工具进行溯源,以得到溯源结果,其中,关键线索包括ip地址和域名;
7、步骤4,根据关键静态信息、应用的网络通信特征和溯源结果,利用深度学习模型进行特征学习,生成高维特征;
8、步骤5,根据高维特征和溯源结果,利用图神经网络进行多层级特征关联分析,以得到组织内部的层次结构和行为模式;
9、步骤6,基于组织内部的层次结构和行为模式,构建非法组织的网络拓扑,并通过强化学习机制动态更新,以适应不断变化的非法行为模式。
10、进一步的,利用apk文件解析工具,从代码中提取关键静态信息,包括签名、证书和权限配置,包括:
11、利用 apk文件解析工具提取代码层特征;
12、结合历史数据库分析复用签名或伪造签名的应用,标记潜在关联对象,提取第三方 sdk 分布与依赖信息。
13、进一步的,基于关键静态信息和应用的网络通信特征,对关键线索进行追踪,利用whois查询工具进行溯源,以得到溯源结果,其中,关键线索包括ip地址和域名,包括:
14、通过关键静态信息和应用的网络通信特征,对关键线索进行追踪和溯源分析;
15、结合 whois 查询、dns 解析记录和支付链条追踪系统,提取域名注册者的历史活动轨迹、服务器分布以及资金流向;
16、通过资源文件中嵌入的邮箱和联系方式,结合公开数据库进行反查,以得到非法应用之间的潜在关联,其中,非法应用之间的潜在关联为溯源结果。
17、进一步的,根据关键静态信息、应用的网络通信特征和溯源结果,利用深度学习模型进行特征学习,生成高维特征,包括:
18、根据关键静态信息、应用的网络通信特征和溯源结果,利用混合深度学习模型进行特征学习与建模;
19、通过深度信念网络(dbn)对基础特征进行预训练,提取代码层和流量层的潜在分布关系;
20、利用堆叠式自编码器(sae)融合代码层与流量层特征,生成语义丰富的高维特征。
21、进一步的,根据高维特征和溯源结果,利用图神经网络进行多层级特征关联分析,以得到组织内部的层次结构和行为模式,包括:
22、根据高维特征和溯源结果,对代码层和流量层的数据进行多层级关联分析;
23、通过因果推断技术构建特征间的因果关系,结合图神经网络(gnn)对组织内的成员角色和行为模式进行分析,以得到特征关联分析的结果。
24、进一步的,代码层特征包括签名信息、证书字段、权限配置、组件调用关系、控制流图、嵌入的 url 和密钥数据。
25、进一步的,关键线索包括ip地址、域名、支付账户、邮箱和联系方式。
26、第二方面,基于多层级特征协同及关键线索溯源的非法移动应用组织识别系统,包括:
27、提取模块,用于利用apk文件解析工具,从代码中提取关键静态信息,包括签名、证书和权限配置;
28、获取模块,用于通过动态沙箱运行应用,捕获动态行为,动态行为包括系统调用和权限请求,并结合网络流量分析,获取应用的网络通信特征;
29、溯源模块,用于基于关键静态信息和应用的网络通信特征,对关键线索进行追踪,利用whois查询工具进行溯源,以得到溯源结果,其中,关键线索包括ip地址和域名;
30、学习模块,用于根据关键静态信息、应用的网络通信特征和溯源结果,利用深度学习模型进行特征学习,生成高维特征;
31、关联分析模块,用于根据高维特征和溯源结果,利用图神经网络进行多层级特征关联分析,以得到组织内部的层次结构和行为模式;
32、构建模块,用于基于组织内部的层次结构和行为模式,构建非法组织的网络拓扑,并通过强化学习机制动态更新,以适应不断变化的非法行为模式。
33、第三方面,一种计算设备,包括:
34、一个或多个处理器;
35、存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现所述的方法。
36、第四方面,一种计算机可读存储介质,所述计算机可读存储介质中存储有程序,该程序被处理器执行时实现所述的方法。
37、本专利技术的上述方案至少包括以下有益效果:
38、通过代码层信息挖掘与动态行为捕获技术的深度融合,结合混合深度学习模型(堆叠式自编码器与深度信念网络)、因果推断与图神经网络分析,实现对非法应用(如色情、赌博、诈骗等app)制作与运营组织的精准识别,揭示其行为模式和组织架构,全面提升非法应用组织检测的效率和准确性。
本文档来自技高网...【技术保护点】
1.基于多层级特征协同及关键线索溯源的非法移动应用组织识别方法,其特征在于,所述方法包括:
2.根据权利要求1所述的基于多层级特征协同及关键线索溯源的非法移动应用组织识别方法,其特征在于,利用APK文件解析工具,从代码中提取关键静态信息,包括签名、证书和权限配置,包括:
3.根据权利要求2所述的基于多层级特征协同及关键线索溯源的非法移动应用组织识别方法,其特征在于,基于关键静态信息和应用的网络通信特征,对关键线索进行追踪,利用WHOIS查询工具进行溯源,以得到溯源结果,其中,关键线索包括IP地址和域名,包括:
4.根据权利要求3所述的基于多层级特征协同及关键线索溯源的非法移动应用组织识别方法,其特征在于,根据关键静态信息、应用的网络通信特征和溯源结果,利用深度学习模型进行特征学习,生成高维特征,包括:
5.根据权利要求4所述的基于多层级特征协同及关键线索溯源的非法移动应用组织识别方法,其特征在于,根据高维特征和溯源结果,利用图神经网络进行多层级特征关联分析,以得到组织内部的层次结构和行为模式,包括:
6.根据权利要求5所
7.根据权利要求6所述的基于多层级特征协同及关键线索溯源的非法移动应用组织识别方法,其特征在于,关键线索包括IP地址、域名、支付账户、邮箱和联系方式。
8.基于多层级特征协同及关键线索溯源的非法移动应用组织识别系统,其特征在于,该系统用于执行如权利要求1至7中任一项所述的方法,包括:
9.一种计算设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有程序,该程序被处理器执行时实现如权利要求1至7中任一项所述的方法。
...【技术特征摘要】
1.基于多层级特征协同及关键线索溯源的非法移动应用组织识别方法,其特征在于,所述方法包括:
2.根据权利要求1所述的基于多层级特征协同及关键线索溯源的非法移动应用组织识别方法,其特征在于,利用apk文件解析工具,从代码中提取关键静态信息,包括签名、证书和权限配置,包括:
3.根据权利要求2所述的基于多层级特征协同及关键线索溯源的非法移动应用组织识别方法,其特征在于,基于关键静态信息和应用的网络通信特征,对关键线索进行追踪,利用whois查询工具进行溯源,以得到溯源结果,其中,关键线索包括ip地址和域名,包括:
4.根据权利要求3所述的基于多层级特征协同及关键线索溯源的非法移动应用组织识别方法,其特征在于,根据关键静态信息、应用的网络通信特征和溯源结果,利用深度学习模型进行特征学习,生成高维特征,包括:
5.根据权利要求4所述的基于多层级特征协同及关键线索溯源的非法移动应用组织识别方...
【专利技术属性】
技术研发人员:张兆心,宁正尧,程亚楠,左明,孙凡荀,
申请(专利权)人:哈尔滨工业大学威海,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。