[发明专利]基于深度学习的安卓恶意应用的检测和分析方法

权利要求书

1.一种基于深度学习的安卓恶意应用的检测和分析方法，其特征在于，包括：

基于类别提取恶意应用特征集；

采用深度学习算法对应用样本进行恶意性检测并依据检测结果将所述应用样本分为恶意应用和正常应用；

采用特征选择算法对恶意应用特征进行排序；

采用机器学习分类算法对恶意家族进行识别；

构建恶意家族特征子集并进行恶意家族行为分析；

其中，所述采用特征选择算法对恶意应用特征进行排序具体包括：

采用Fisher特征选择算法对恶意软件特征进行排序并给出恶意家族特征的重要性序列，基于所述重要性序列挑选特征子集；

基于频率的特征筛选算法，在特征选择结果的基础上挑选出能够描述恶意家族行为的特征；

定义五元组[F，N，M，NS，R]，其中包含如下定义：

F：当前待评估的特征类别，特征的维度表示为Dim_F，该特征集中的某一个特定的维度，即某一个特定的特定，表示为F_i；

N：样本数，其中N_be表示正常(benign)组中包含的样本数；N_ma表示恶意(malicious)组中包含的样本数；

M：特征数，其中M_be表示正常(benign)在当前特征数；M_ma表示恶意(malicious)组当前的特征数，采用样本数与特征维度的乘积来估计特征数，即M_be＝N_be*Dim_F，M-ma＝N_ma*Dim_F；

NS：某一个特征F_i在特征集中出现的次数，NS_be表示特征F_i在正常(benign)中出现的次数，NS_ma表示特征F_i在恶意(malicious)中出现的次数；

R：特征数量比值，用来衡量当前特征F_i是否纳入特征子集；

根据R值的大小，选择是否将当前特征纳入特征集。

2.根据权利要求1所述的基于深度学习的安卓恶意应用的检测和分析方法，其特征在于，采用静态分析方法提取恶意应用特征集，所述特征集至少包括以下类别的特征：可疑API调用(Suspicious API calls)、代码相关模式(Code related patterns)、硬件特征(Hardware features)、过滤的Intent对象(Filteredintents)、请求的权限(Requestedpermissions)、受限制的API调用(Restricted API calls)和应用的权限(Usedpermissions)。

3.根据权利要求1所述的基于深度学习的安卓恶意应用的检测和分析方法，其特征在于，所述对应用样本进行恶意性检测之前，还包括以下步骤：

通过清洗、构建特征表、数值化映射过程，并采用Word2Vector技术，将所提取的安卓软件特征处理为可以供深度学习训练的特征矩阵。

4.根据权利要求1所述的基于深度学习的安卓恶意应用的检测和分析方法，其特征在于，所述基于频率的特征筛选算法基于当前特征在恶意样本和正常样本中出现的概率，判断该特征是否能够用来描述恶意家族的特征。

5.根据权利要求1所述的基于深度学习的安卓恶意应用的检测和分析方法，其特征在于，所述基于频率的特征筛选算法具体包括：

针对特征选择排序结果中的一个特征，计算该特征在两个类别样本中分别出现的概率；

当出现在恶意样本中的概率大于出现在正常样本中的概率时，则认为当前特征能够用来描述恶意家族的特征；

当出现在正常样本中的概率大于或等于出现在恶意样本中的概率时，则认为当前特征不能用来描述恶意家族的特征。

6.根据权利要求1所述的基于深度学习的安卓恶意应用的检测和分析方法，其特征在于，对恶意家族进行识别采用SVM机器学习算法，将构建出的特征作为输入来识别出经过训练的恶意家族类型。

7.根据权利要求1所述的基于深度学习的安卓恶意应用的检测和分析方法，其特征在于，结合特征选择、特征筛选和所述特征子集进行恶意家族行为分析，用于反映并分类当前家族的恶意行为。