基于多模态融合的诈骗APP的识别方法与流程

基于多模态融合的诈骗app的识别方法
技术领域
1.本公开的实施例一般涉及数据分析领域，并且更具体地，涉及基于多模态融合的诈骗app的识别方法、装置、设备和计算机可读存储介质。


背景技术：

2.在信息通信技术快速发展的时代背景下，电信网络诈骗已经成为全社会影响最大的犯罪形式之一。躲在暗处的诈骗分子利用通信和网络技术，能够对不特定多数人群实施远程、非接触式诈骗，严重侵犯人民群众财产权利和人身权利，严重威胁我国社会安全。
3.随着移动互联网技术的发展，诈骗分子作案手段不断升级，诈骗手段已经由传统电信诈骗向新型网络诈骗转移。其中app类诈骗呈爆发式增长，究其原因，app诈骗具有制作成本低、更新速度快、接受门槛低、隐蔽性高等特点，以至于诈骗发展态势正在逐渐向app端转移。而传统反诈手段只能覆盖网站类诈骗，无法适应app类诈骗的发展态势；且传统反诈手段多依靠人工方式对诈骗网址打标，成本高且效率低，无法跟上app类诈骗的更新周期。
4.目前的对诈骗app的识别技术，一般采用包名、app名称匹配，以及沙盒运行提取url的方式进行分析，特征维度较少，且没有考虑诈骗案件的实际情况。


技术实现要素：

5.根据本公开的实施例，提供了一种基于多模态融合的诈骗app的识别方案。
6.在本公开的第一方面，提供了一种基于多模态融合的诈骗app的识别方法。该方法包括：获取app的安装程序文件；对所述安装程序文件进行特征提取，得到所述安装程序文件的特征；对所述安装程序文件的特征进行多模态融合，基于融合后的特征和涉诈特征库，对app进行识别；所述涉诈特征库包括诈骗app的原值特征集合和向量融合特征。
7.进一步地，所述获取app的安装程序文件包括：从上网行为日志、威胁情报、应用市场和/或论坛社区评论，获取应用下载线索信息；对所述应用下载线索信息进行过滤，爬取app的安装程序文件。
8.进一步地，所述对所述安装程序文件进行特征提取，得到所述安装程序文件的特征包括：根据所述安装程序文件的类型，进行特征提取，得到所述安装程序文件的特征；其中，通过元数据处理模型，提取所述安装程序文件中的元数据特征；所述元数据特征包括app名称、文件大小、证书和/或开发者信息；通过内容处理模型，提取所述安装程序文件中的内容类特征；所述内容类特征包括图标、内部文本；
通过动态提取模型，提取所述安装程序文件的动态特征；所述动态特征包括内存数据、地理位置信息；通过逆向提取模型，提取所述安装程序文件的逆向类特征，确定所述安装程序文件的注册逻辑、登录逻辑和/或sdk信息。
9.进一步地，所述通过逆向提取模型，提取所述安装程序文件的逆向类特征，确定所述安装程序文件的注册逻辑、登录逻辑包括：通过动态提取模型，对所述安装程序文件进行逆推，还原所述安装程序文件的源代码；通过枚举类型对所述源代码进行标识，得到所述注册逻辑、登录逻辑。
10.进一步地，所述对所述安装程序文件的特征进行多模态融合，基于融合后的特征和涉诈特征库，对app进行识别包括：对所述安装程序文件中的非数值特征进行原值合并，得到原值特征集合；将所述原值特征集合和涉诈特征库进行比对，完成对所述app的识别。
11.进一步地，所述对所述安装程序文件的特征进行多模态融合，基于融合后的特征和涉诈特征库，对app进行识别包括：通过自然语言模型，将所述安装程序文件中的文本形式特征转化为向量表示；通过预设的编码形式，将所述安装程序文件中的图片形式特征转化为向量表示；将与所述文本形式特征对应的向量，和与所述图片形式特征对应的向量进行拼接，得到向量融合特征；对所述向量融合特征和涉诈特征库进行聚类分析，确定所述app属于诈骗app的概率和类型，完成对所述app的识别。
12.进一步地，还包括：若所述app属于诈骗app，则提取所述app的网络指纹，识别出使用所述app的人群，向所述人群发送反诈信息；同时，将所述网络指纹更新到所述涉诈特征库。
13.在本公开的第二方面，提供了一种基于多模态融合的诈骗app的识别装置。该装置包括：获取模块，用于获取app的安装程序文件；提取模块，用于对所述安装程序文件进行特征提取，得到所述安装程序文件的特征；识别模块，用于对所述安装程序文件的特征进行多模态融合，基于融合后的特征和涉诈特征库，对app进行识别；所述涉诈特征库包括诈骗app的原值特征集合和向量融合特征。
14.在本公开的第三方面，提供了一种电子设备。该电子设备包括：存储器和处理器，所述存储器上存储有计算机程序，所述处理器执行所述程序时实现如以上所述的方法。
15.在本公开的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如根据本公开的第一方面的方法。
16.本技术实施例提供的基于多模态融合的诈骗app的识别方法，通过获取app的安装程序文件；对所述安装程序文件进行特征提取，得到所述安装程序文件的特征；对所述安装程序文件的特征进行多模态融合，基于融合后的特征和涉诈特征库，对app进行识别；所述
涉诈特征库包括诈骗app的原值特征集合和向量融合特征，实现了对诈骗app的高效识别。
17.应当理解，发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征，亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
18.结合附图并参考以下详细说明，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中，相同或相似的附图标记表示相同或相似的元素，其中：图1示出了能够在其中实现本公开的实施例的示例性运行环境的示意图；图2示出了根据本公开的实施例的基于多模态融合的诈骗app的识别方法的流程图；图3示出了根据本公开的实施例的安装程序文件的特征提取流程图；图4示出了根据本公开的实施例的基于多模态融合的诈骗app的识别装置的方框图；图5示出了能够实施本公开的实施例的示例性电子设备的方框图。
具体实施方式
19.为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例，都属于本公开保护的范围。
20.另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。
21.图1示出了可以应用本技术的基于多模态融合的诈骗app的识别方法或基于多模态融合的诈骗app的识别装置的实施例的示例性系统架构100。
22.如图1所示，系统架构100可以包括终端设备101、102、103，网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。
23.用户可以使用终端设备101、102、103通过网络104与服务器105交互，以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用，例如模型训练类应用、视频识别类应用、网页浏览器应用、社交平台软件等。
24.终端设备101、102、103可以是硬件，也可以是软件。当终端设备101、102、103为硬件时，可以是具有显示屏的各种电子设备，包括但不限于智能手机、平板电脑、电子书阅读器、mp3播放器（moving picture experts group audio layer iii，动态影像专家压缩标准音频层面3）、mp4（moving picture experts group audio layer iv，动态影像专家压缩标准音频层面4）播放器、膝上型便携计算机和台式计算机等等。当终端设备101、102、103为软件时，可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块（例如用来提供分布式服务的多个软件或软件模块），也可以实现成单个软件或软件模块。在此不做
具体限定。
25.当终端101、102、103为硬件时，其上还可以安装有视频采集设备。视频采集设备可以是各种能实现采集视频功能的设备，如摄像头、传感器等等。用户可以利用终端101、102、103上的视频采集设备来采集视频。
26.服务器105可以是提供各种服务的服务器，例如对终端设备101、102、103上显示的数据处理的后台服务器。后台服务器可以对接收到的数据进行分析等处理，并可以将处理结果（例如识别结果）反馈给终端设备。
27.需要说明的是，服务器可以是硬件，也可以是软件。当服务器为硬件时，可以实现成多个服务器组成的分布式服务器集群，也可以实现成单个服务器。当服务器为软件时，可以实现成多个软件或软件模块（例如用来提供分布式服务的多个软件或软件模块），也可以实现成单个软件或软件模块。在此不做具体限定。
28.应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。特别地，在目标数据不需要从远程获取的情况下，上述系统架构可以不包括网络，而只包括终端设备或服务器。
29.如图2所示，是本技术实施例基于多模态融合的诈骗app的识别方法的流程图。从图2中可以看出，本实施例的基于多模态融合的诈骗app的识别方法，包括以下步骤：s210，获取app的安装程序文件。
30.其中，本公开中所述的app安装程序文件，通常为非白名单内的批量app安装程序文件，即，大概率为诈骗app的安装程序文件，其类型可以为.apk等。
31.在本实施例中，用于基于多模态融合的诈骗app的识别方法的执行主体（例如图1所示的服务器）可以通过有线方式或者无线连接的方式获取app的安装程序文件。
32.进一步地，上述执行主体可以获取与之通信连接的电子设备（例如图1所示的终端设备）发送的app的安装程序文件，也可以是预先存储于本地的app的安装程序文件。
33.在一些实施例中，所述app的安装程序文件，可通过如下步骤进行获取：批量从上网行为日志、威胁情报、应用市场、论坛社区评论中获取应用下载线索信息；对用户上网日志进行过滤筛选，筛选出其中包含app安装程序（如.apk）的访问链接；持续监控高危论坛（通过人工标定或大数据分析确定）、社区（以股票、投资理财等非法类别为主）的评论区，获取个人用户在当中发布的包含app安装程序下载链接；对上述的包含app安装程序下载链接，进行白名单过滤，去除正常app的下载地址，减少数据的处理量；对过滤后的下载链接进行爬取，获取所述app的安装程序文件。
34.s220，对所述安装程序文件进行特征提取，得到所述安装程序文件的特征。
35.在一些实施例中，针对所述安装程序文件的类型特征，采用不同的提取模型，对所述安装程序文件进行特征提取；具体地，通过元数据处理模型，提取所述安装程序文件中的元数据特征；所述元数据特征包括包名、app名称、文件大小、索要权限、证书、开发者信息、是否加固、service和/或receive组件信息等；所述元数据为一个安装程序文件的基本元素，可通过所述元数据处
理模型直接进行分解；通过内容处理模型，提取所述安装程序文件中的内容类特征；当所述安装程序文件为apk文件时，所述内容类特征包括apk图标、apk内部文本和/或apk文件资源等；相同类型的安装文件的图标通常具有相同的共性，如，投资理财类的apk图标往往会具有金钱标志；网络招嫖类apk的图标往往带有暗示性等；所述内容处理模型，包括与安装程序文件对应解析工具，如与apk文件对应的解析工具；通过动态提取模型，提取所述安装程序文件的动态特征，将所述安装程序文件放入沙箱中运行，提取程序运行过程中访问的ip、url以及host，获取运行过程中的内存数据、io数据；通过服务器ip以及host，获取服务器所在地理位置等；通过逆向提取模型，提取所述安装程序文件的逆向类特征，确定所述安装程序文件的注册逻辑、登录逻辑和/或sdk信息；对安装程序文件的源代码进行逆推，还原安装程序文件的源代码，从源代码中可以分析得到程序的注册逻辑、登录逻辑以及调用的sdk信息，诈骗程序的注册逻辑以及登录逻辑往往没有正常程序那么严格，例如，不需要手机验证码；注册逻辑和登录逻辑可用枚举类型进行标识，例如人脸识别、银行卡注册、手机号注册、手机号验证、验证码验证和/或邀请码验证等，一个app可携带一个或多个枚举标识。诈骗app的安装程序往往会调用特殊的sdk接口，服务其诈骗过程。
36.需要说明的是，本步骤所用到的各类提取模型，可通过机械学习的方法训练得到，也可为现有的提取工具等，在本公开中不进行限定。
37.s230，对所述安装程序文件的特征进行多模态融合，基于融合后的特征和涉诈特征库，对app进行识别；所述涉诈特征库包括诈骗app的原值特征集合和向量融合特征。
38.在一些实施例中，参考图3，对所述安装程序文件中的非数值特征进行原值合并，得到原值特征集合；如，将涉诈app的包名特征形成集合，得到涉诈包名集合；将涉诈app的名称特征形成集合，得到涉诈app名称集合；将涉诈app的证书特征形成集合，得到涉诈证书集合；将涉诈app的开发者信息形成集合，得到涉诈开发者集合等；进一步地，将所述原值特征集合和涉诈特征库进行比对，当所述安装程序文件的某几项特征与所述涉诈特征库中的特征重合或相近时（可根据应用场景预先设定“某几项特征”），可直接将其判定为诈骗apk，进而决定其诈骗类型；所述诈骗类型根据重合或相似的特征进行确定。
39.在一些实施例中，参考图3，若集合类特征无法对一个apk进行判别时，则通过向量特征聚类的方法判别其是否属于涉诈app；具体地，通过自然语言模型，将所述安装程序文件中的文本形式特征转化为向量表示，如，包名、名称等，向量的余弦距离用于表示两文本间的相似程度；通过预设的编码形式，将所述安装程序文件中的图片形式特征转化为向量表示；如，对注册逻辑、登录逻辑进行one-hot编码，转化为向量形式；对图标进行处理时，利用卷积神经网络将图片进行降维，提取其向量化特征，向量的余弦距离用于表示两图片间的相似程度；将上述得到的向量特征进行拼接，得到融合特征。
40.进一步地，将所述融合特征与诈骗规则库中的融合特征进行聚类分析，判别其属
于诈骗app的概率以及相应的诈骗类型；其中，所述聚类分析可采用k-means聚类算法，以涉诈特征库为基准数据，该算法将得到待识别安装程序与各类涉诈安装程序集合的距离，距离最小即为最相似；进一步地，可在上述过程中设置距离阈值，距离小于该阈值为诈骗安装程序，并将该类诈骗安装程序的类型作为待识别安装程序的类别结果；安装程序的诈骗类别可分为金融贷款类诈骗、刷单类诈骗、冒充公检法类诈骗、网络招嫖类诈骗、“杀猪盘”类诈骗等，在本公开中不进行进一步限定。
41.在一些实施例中，所述涉诈特征库，可通过如下方法进行构建：通过大数据分析和/或人工标注等方式，获取涉诈app样本，如，受害人报案时，提供的apk文件和/或访问的网站等，若受害人提供的受骗网站，则需要人工访问网站，将下载涉案apk；提取所述apk文件的特征，参考步骤s220；诈骗app的原值特征集合和向量融合特征，参考步骤s230中对应的步骤，不再赘述；基于提取的特征、原值特征集合和向量融合特征，构建涉诈特征库。
42.进一步地，还包括：若所述app属于诈骗app，则提取所述app的网络指纹，识别出使用所述app的人群，向所述人群发送反诈信息；同时，将所述网络指纹更新到所述涉诈特征库；可通过静态解析与动态沙箱结合的方式，获取安装程序的网络指纹；所述网络指纹包括服务器域名、服务器ip和/或接口链接等；基于上述网络特征，识别正在使用诈骗app的人群，进行劝阻止损，如进行报案、向相关人员发送告警信息等，从而扼制诈骗案件的发生。
43.根据本公开的实施例，实现了以下技术效果：通过多模态融合的方式，从多维度对app进行识别，实现了对诈骗app的高效识别，保护了人民群众的财产权利和人身权利。
44.需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本公开并不受所描述的动作顺序的限制，因为依据本公开，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本公开所必须的。
45.以上是关于方法实施例的介绍，以下通过装置实施例，对本公开所述方案进行进一步说明。
46.图4示出了根据本公开的实施例的基于多模态融合的诈骗app的识别装置400的方框图。如图4所示，装置400包括：获取模块410，用于获取app的安装程序文件；提取模块420，用于对所述安装程序文件进行特征提取，得到所述安装程序文件的特征；识别模块430，用于对所述安装程序文件的特征进行多模态融合，基于融合后的特征和涉诈特征库，对app进行识别；所述涉诈特征库包括诈骗app的原值特征集合和向量融合特征。
47.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，所述描述的模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
48.图5示出了可以用来实施本公开的实施例的电子设备700的示意性框图。如图所示，设备500包括中央处理单元（cpu）501，其可以根据存储在只读存储器（rom）502中的计算机程序指令或者从存储单元508加载到随机访问存储器（ram）503中的计算机程序指令，来执行各种适当的动作和处理。在ram 503中，还可以存储设备500操作所需的各种程序和数据。cpu 501、rom502以及ram503通过总线504彼此相连。输入/输出（i/o）接口505也连接至总线504。
49.设备500中的多个部件连接至i/o接口505，包括：输入单元506，例如键盘、鼠标等；输出单元507，例如各种类型的显示器、扬声器等；存储单元508，例如磁盘、光盘等；以及通信单元509，例如网卡、调制解调器、无线通信收发机等。通信单元509允许设备500通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
50.处理单元501执行上文所描述的各个方法和处理，例如方法200。例如，在一些实施例中，方法200可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元508。在一些实施例中，计算机程序的部分或者全部可以经由rom 502和/或通信单元509而被载入和/或安装到设备500上。当计算机程序加载到ram 703并由cpu 501执行时，可以执行上文描述的方法200的一个或多个步骤。备选地，在其他实施例中，cpu 501可以通过其他任何适当的方式（例如，借助于固件）而被配置为执行方法200。
51.本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：场可编程门阵列（fpga）、专用集成电路（asic）、专用标准产品（assp）、芯片上系统的系统（soc）、负载可编程逻辑设备（cpld）等等。
52.用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
53.在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器（ram）、只读存储器（rom）、可擦除可编程只读存储器（eprom或快闪存储器）、光纤、便捷式紧凑盘只读存储器（cd-rom）、光学储存设备、磁储存设备、或上述内容的任何合适组合。
54.此外，虽然采用特定次序描绘了各操作，但是这应当理解为要求这样操作以所示出的特定次序或以顺序次序执行，或者要求所有图示的操作应被执行以取得期望的结果。在一定环境下，多任务和并行处理可能是有利的。同样地，虽然在上面论述中包含了若干具体实现细节，但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文
中描述的某些特征还可以组合地实现在单个实现中。相反地，在单个实现的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实现中。
55.尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题，但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反，上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。