[发明专利]一种基于卷积神经网络的Android恶意软件检测方法

说明书

技术领域

本发明涉及Android平台上恶意代码检测研究领域，为了能够更好地保护Android平台用户信息的安全性，提出一种基于卷积神经网络的Android恶意代码样本分类检测方法，该方法能够准确识别恶意软件所属类别，从而有效地实现对恶意软件的检测。

背景技术

近几年，恶意软件已经成为威胁网络和信息安全的关键因素之一。据Symantec的2016年度互联网安全威胁报告透露，2015年新增恶意软件数量达4.3亿个，其中涉及隐私窃取或者泄漏的个人信息超过5亿条。由于恶意代码检测技术的局限性，有大量恶意代码无法有效查杀。特别是进行代码混淆的恶意代码及其变种的不断出现，是恶意代码检测形势日益严峻的根本原因。Android平台是当前主流的两大移动终端平台之一，Android移动终端恶意代码家族逐年不断增长，同时，恶意代码的变种数目也急剧增长，这表明恶意代码开发人员更多的是对原型恶意代码做稍微修改或重新打包进而衍生出新的变种进行传播。因此需要能快速有效地检测出变种病毒的检测方法。

恶意代码检测技术可以分为两类，分别为静态恶意代码检测和动态恶意代码检测。静态恶意代码检测是在不运行代码的情况下，利用反编译技术，采用控制流分析、数据流分析和语义分析等方法来识别应用程序的行为特征。这种方法具有快速、高效等优点，但是难以对抗代码混淆等保护技术。动态恶意代码检测则是关注于应用程序实际运行的行为，通过在一个可执行的环境中运行待检测应用程序并实时监控其系统调用、网络访问、文件操作和内存修改等行为，来判断该应用程序是否具有恶意行为。与静态恶意代码检测方法相比，动态恶意代码检测方法无法有效地对所有代码进行审计，因为有些代码需要在特殊条件下才会被触发。在恶意代码检测领域中，国内外许多学者已经进行了大量的研究工作。王蕊和冯登国(Wang Rui,Feng Deng-guo,Yang Yi,Su Pu-rui.An Malware detection method based on the semantic of feature extraction[J].Journal of Software,2012,2:378-393)提出一种基于语义分析的静态恶意代码行为特征提取的检测方法。孔德光和谭小彬等(Kong De-guang,Tan Xiao-bin,Xi Hong-sheng,Gong Tao,Shuai Jian-mei.Lifting multidimensional characteristics testing confuse malicious code[J].Journal of Software,2011,3:522-533)提出从统计特性出发并结合代码中函数调用以及系统调用流程图，对家族恶意代码进行检测，这些静态检测方法有较高的检测效率，但是对使用代码混淆技术的恶意代码抵抗力不强。美国佐治亚理工学院的Dinaburg提出(Dinaburg A,Royal P,Sharif M,et al.Ether:malware analysis via hardware virtualization extensions[C]，Proceedings of the 15th ACM conference on Computer and communications security.ACM,2008:51-62)通过建立一个虚拟的应用程序执行环境来监听待检测应用程序运行时的内存操作、涉及的特权层级、系统调用等事件，针对这些事件来识别应用程序的恶意行为。西班牙德乌斯托大学的Santos提出(Santos I,Brezo F,Nieves J,et al.Idea:Opcode-sequence-based malware detection[C]，International Symposium on Engineering Secure Software and Systems.Springer Berlin Heidelberg,2010:35-43)利用信息论中方法来计算应用程序中各类特征间的关联程度，通过计算待检测应用程序与已知的恶意软件之间的联系来确定其是否具有恶意行为。西班牙蒙特拉贡大学的Burguera(Burguera I,Zurutuza U,Nadjm-Tehrani S.Crowdroid:behavior-based malware detection system for android[C]//Proceedings of the 1st ACM workshop on Security and privacy in smartphones and mobile devices.ACM,2011:15-26)提出一种直接将收集器和检测器嵌入到Android操作系统的方法来收集广大用户手机中应用程序的行为信息，在云端进行检测并将检测的结果及时通知用户。卢森堡大学的Kevin(Allix K,BissyandéT F,Jérome Q,et al.Empirical assessment of machine learning-based malware detectors for Android[J].Empirical Software Engineering,2016,21(1):183-211)利用机器学习的方法来提取Android应用程序中所使用权限的特征，并用于恶意代码检测。台湾科技大学的Dong-Jie Wu学者(Wu D J,Mao C H,Wei T E,et al.Droidmat:Android malware detection through manifest and api calls tracing[C]，Information Security(Asia JCIS),2012 Seventh Asia Joint Conference on.IEEE,2012:62-69)则以大量的样本数据为基础，从中提取与已知恶意软件的特征，并利用这些特征来用于对新样本的检测。这些方法都是通过提取恶意软件的特征来对未知软件进行识别，由于实际应用中软件的多样性，容易出现误检的情况。本发明提出通过从恶意软件的变种出发，利用深度学习的思想来检测出同种类的恶意软件。