(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111171237.2 (22)申请日 2021.10.08 (66)本国优先权数据 202011486505.5 2020.12.16 CN (71)申请人 中国科学院软件研究所 地址 100190 北京市海淀区中关村南四街 4 号 (72)发明人 黄承超　高嵩　张立军　付辰　 (74)专利代理 机构 北京君尚知识产权代理有限 公司 11200 专利代理师 余功勋 (51)Int.Cl. G06F 21/56(2013.01) G06N 20/00(2019.01) (54)发明名称 一种中文安卓应用程序的恶意行为静态检 测方法及装置 (57)摘要 本发明公开了一种中文安卓应用程序的恶 意行为静态检测方法， 包括： 解析训练集中每一 安卓应用程序的安装包， 得到相应的标签数据与 参数数据； 通过分类标签数据， 对参数数据进行 分类， 以构建参数预测模型； 将待测安卓应用程 序的标签数据输入参数预测模型， 并基于得到的 相应参数数据， 得到恶意行为静态检测结果。 本 发明完整独立， 集成度高， 在单个工具内即可完 成从读取安卓应用程序安装包开始到警告可能 的恶意行为的所有功能， 从而提升单个安卓应用 程序的检测效率与成功率， 降低用户使用成本 。 权利要求书1页 说明书3页 附图2页 CN 114637991 A 2022.06.17 CN 114637991 A 1.一种中文安卓应用程序的恶意行为静态检测方法， 其 步骤包括： 1)解析训练集中每一 安卓应用程序的安装 包， 得到相应的标签数据与参数 数据； 2)通过分类标签数据， 对参数 数据进行分类， 以构建参数 预测模型； 3)将待测安卓应用程序的标签数据输入参数预测模型， 并基于得到的相应参数数据， 得到恶意行为静态检测结果。 2.如权利要求1所述的方法， 其特征在于， 参数数据包括： 页面跳转关系数据和API调用 数据。 3.如权利要求1所述的方法， 其特 征在于， 通过以下步骤分类标签数据： 1)对标签数据进行 预处理； 2)将预处 理后的标签数据转 化为标签向量； 3)对标签向量进行分类。 4.如权利要求3所述的方法， 其特 征在于， 通过以下步骤 对标签数据进行 预处理： 1)使用分词技 术， 将中文标签数据条目划分为独立词语； 2)去除独立词语中的数字、 标点符号、 非中文字符及停用词。 5.如权利要求3所述的方法， 其特征在于， 将预处理后的标签数据转化为标签向量的方 法包括： 使用自然语言处 理中的word2vec技 术。 6.如权利要求3所述的方法， 其特征在于， 对标签向量进行分类的方法包括： 聚类或支 持向量机 。 7.如权利要求1所述的方法， 其特征在于， 得到恶意行为静态检测结果的方法包括： 使 用模型检测技 术。 8.一种存储介质， 所述存储介质中存储有计算机程序， 其中， 所述计算机程序被设置为 运行时执 行权利要求1 ‑7中任一所述方法。 9.一种电子装置， 包括存储器和处理器， 所述存储器中存储有计算机程序， 所述处理器 被设置为 运行所述计算机程序以执 行如权利要求1 ‑7中任一所述方法。权　利　要　求　书 1/1 页 2 CN 114637991 A 2一种中文安卓应用程序的恶 意行为静态检测方 法及装置 技术领域 [0001]本发明属于涉及程序分析与安全领域， 尤其涉及 一种中文安卓应用程序的恶意行 为静态检测方法及装置 。 背景技术 [0002]近年来移动终端发展速度非常快， 包括手机、 平板电脑、 车载移动设备等移动终端 被人们广泛的接受。 安卓操作系统(Andr oid)是目前移动设备主流的操作系统之一， 有非常 多的开发者在安卓平台上开发应用软件。 然而， 包含恶意行为的安卓应用(或者称之为安卓 恶意程序)可能非法窃取个人信息从而导致隐私泄露， 危害用户的财产甚至生命安全， 因此 安卓应用中的恶意行为检测也愈发受到关注。 [0003]目前， 针对中文安卓应用程序的恶意行为检测工具主 要包括： [0004]a.人工检测： 成本高， 效率低， 且恶意行为发现成功率 不高； [0005]b.以动态分析为主要手段的检测工具： 效率低， 耗时间， 没有完整的整合工具包， 且恶意行为发现成功率 不高。 发明内容 [0006]主要针对中文安卓应用程序中的恶意行为， 本发明设计了一种中文安卓应用程序 的恶意行为静态检测方法及装置， 从中文安卓应用程序安装包中解析出有效数据， 并通过 多种技术相结合对数据进 行筛选、 分析和处理， 一方面对海量中文安卓应用程序进 行分析， 构建通用模型， 并将数据整理为中文安卓应用程序安全信息数据库， 另一方面， 对于单个应 用程序， 通过分析其数据并构建模型， 发掘可能的恶意行为并给出警告， 维护使用者的信息 安全。 [0007]一种中文安卓应用程序的恶意行为静态检测方法， 其 步骤包括： [0008]1)解析训练集中每一 安卓应用程序的安装 包， 得到相应的标签数据与参数 数据； [0009]2)通过分类标签数据， 对参数 数据进行分类， 以构建参数 预测模型； [0010]3)将待测安卓应用程序的标签数据输入参数预测模型， 并基于得到的相应参数数 据， 得到恶意行为静态检测结果。 [0011]进一步地， 参数数据包括： 页面跳转关系数据和API调用数据。 [0012]进一步地， 通过以下步骤分类标签数据： [0013]1)对标签数据进行 预处理； [0014]2)将预处 理后的标签数据转 化为标签向量； [0015]3)对标签向量进行分类。 [0016]进一步地， 通过以下步骤 对标签数据进行 预处理： [0017]1)使用分词技 术， 将中文标签数据条目划分为独立词语； [0018]2)去除独立词语中的数字、 标点符号、 非中文字符及停用词。 [0019]进一步地， 将预处理后的标签数据转化为标签向量的方法包括： 使用自然语言处说　明　书 1/3 页 3 CN 114637991 A 3