(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210163209.4 (22)申请日 2022.02.22 (71)申请人 平安科技 （深圳） 有限公司 地址 518000 广东省深圳市福田区福田街 道福安社区益田路5033号平 安金融中 心23楼 (72)发明人 周荃　王文斌　郭玉桥　陈樑华　 (74)专利代理 机构 广州嘉权专利商标事务所有 限公司 4 4205 专利代理师 谭晓欣 (51)Int.Cl. G06F 11/34(2006.01) G06F 9/445(2018.01) G06N 20/10(2019.01) (54)发明名称 移动设备的异常检测方法、 系统、 电子设备 及存储介质 (57)摘要 本发明公开了一种移动设备的异常检测方 法、 系统、 电子设备及存储介质， 移动设备的异常 检测方法包括： 获取移动设备请求应用时的动态 链接库， 并将动态链接库拆分得到若干个插件 库； 获取各个插件库的第一标签数据和多个特征 信息， 将特征信息和第一标签数据输入至支持向 量机模型中， 得到插件库的风险评分； 根据风险 评分通过牛顿冷却定律得到插件库的权重； 根据 插件库的权重和对应的风险评分加权得到动态 链接库评分； 根据动态链接库评分判断对应的移 动设备是否为异常设备。 本发明在检测移动设备 的时候不需要依赖黑名单， 基于对插件库的识别 检测， 能够提高对异常设备检测的覆盖率， 提高 异常检测效率。 权利要求书2页 说明书10页 附图4页 CN 114518996 A 2022.05.20 CN 114518996 A 1.一种移动设备的异常检测方法， 其特 征在于， 包括： 获取移动设备请求应用时的动态链接库， 并将所述动态链接库拆分得到若干个插件 库； 获取各个所述插件库的第 一标签数据和多个特征信 息， 将所述特征信 息和所述第 一标 签数据输入至支持向量机模型中， 得到所述插 件库的风险评分； 根据所述 风险评分通过 牛顿冷却定律得到所述插 件库的权 重； 根据所述插 件库的权 重和对应的所述 风险评分加权得到动态 链接库评分； 根据所述动态 链接库评分判断对应的所述移动设备 是否为异常 设备。 2.根据权利要求1所述的移动设备的异常检测方法， 其特征在于， 所述特征信 息包括词 评分特征， 所述词评分特 征根据以下步骤得到： 获取所述插件库的插 件库名称， 并将所述插 件库名称拆分成若干个单词； 选取所述单词中的目标单词， 计算得到每个所述目标单词的同质性特征和差异性特 征； 根据所述同质性特 征和所述差异性特 征得到对应所述插 件库的词评分特 征。 3.根据权利要求2所述的移动设备的异常检测方法， 其特征在于， 所述计算得到每个所 述目标单词的同质性特 征和差异性特 征， 包括： 获取第二标签数据， 并根据 所述第二标签数据确定多个所述插件库中的异常插件库和 正常插件库； 获取包含所述目标单词的所述异常插件库的第 一请求数、 全部所述异常插件库的第 二 请求数和包 含所述目标 单词的所述 正常插件库的第三请求数； 根据所述第 一请求数和所述第 二请求数的比例关系得到所述同质性特征， 并根据包含 所述第一请求数和所述第三请求数的比例关系得到所述差异性特 征。 4.根据权利要求2所述的移动设备的异常检测方法， 其特征在于， 所述根据所述同质性 特征和所述差异性特 征得到对应所述插 件库的词评分特 征， 包括： 在所述插件库的所有单词的所述同质性特征和所述差异性特征中， 选取同质性特征最 大值和差异性特 征最大值； 根据所述同质性特 征最大值和所述差异性特 征最大值的乘积得到所述词评分特 征。 5.根据权利要求2所述的移动设备的异常检测方法， 其特征在于， 所述特征信 息还包括 所述插件库名称 中的连字符信息、 所述插件库名称中的字符信息、 所述插件库在包含所述 异常插件库的所述动态链接库中的数量、 所述插件库在所述动态链接库下的数量和拆分得 到的所述单词的数量中的至少一种。 6.根据权利要求1所述的移动设备的异常检测方法， 其特征在于， 所述将所述特征信 息 和所述第一标签数据输入至支持向量机模型中， 得到所述插 件库的风险评分， 包括： 计算多个所述特 征信息之间的相关系数； 获取用于特 征筛选的第一预设阈值； 当所述特征信 息之间的所述相关系数大于所述第 一预设阈值， 保留其中至少一个所述 特征信息； 将保留的所述特征信 息和所述第 一标签数据输入至所述支持向量机模型中， 得到所述 风险评分。权　利　要　求　书 1/2 页 2 CN 114518996 A 27.根据权利要求1所述的移动设备的异常检测方法， 其特征在于， 所述根据所述动态链 接库评分判断对应的所述移动设备 是否为异常 设备， 包括： 获取根据异常动态 链接库样本得到的第二预设阈值； 当所述动态链接库评分大于所述第二预设阈值， 确定对应的所述移动设备为异常设 备。 8.一种移动设备的异常检测系统， 其特 征在于， 包括： 数据获取模块， 用于获取移动设备请求应用时的动态链接库， 并将所述动态链接库拆 分得到若干个插 件库； 数据处理模块， 用于获取各个所述插件库的第一标签数据和多个特征信息， 将所述特 征信息和所述第一标签数据输入至支持向量机模型中得到所述插 件库的风险评分； 异常评分模块， 用于根据所述风险评分通过牛顿冷却定律得到所述插件库的权重， 并 根据所述插 件库的权 重和对应的所述 风险评分加权得到动态 链接库评分； 异常检测模块， 用于根据所述动态链接库评分判断对应的所述移动设备是否为异常设 备。 9.一种电子设备， 其特征在于， 包括存储器、 处理器， 所述存储器存储有计算机程序， 所 述处理器执行所述计算机程序时实现权利要求1至7中任意一项所述的移动设备 的异常检 测方法。 10.一种计算机可读存储介质， 其特征在于， 所述存储介质存储有程序， 所述程序被处 理器执行实现权利要求1至7中任意 一项所述的移动设备的异常检测方法。权　利　要　求　书 2/2 页 3 CN 114518996 A 3