[发明专利]基于深度学习的安卓恶意应用的检测和分析方法

说明书

本发明公开一种基于深度学习的安卓恶意应用的检测和分析方法，包括基于类别提取恶意应用特征集；采用深度学习算法对应用样本进行恶意性检测并依据检测结果将所述应用样本分为恶意应用和正常应用；采用特征选择算法对恶意应用特征进行排序；采用机器学习分类算法对恶意家族进行识别；构建恶意家族特征子集并进行恶意家族行为分析。本发明将深度学习方法应用于安卓恶意应用检测中，通过特征子集的构建对恶意家族进行行为分析。本发明能够提高现有的安卓恶意应用分类的准确率，改善当前安卓市场人工审核造成的工作量巨大、准确率不高的问题，有助于根据恶意应用的行为采取有针对性的防护措施。

技术领域

本发明涉及恶意软件的检测领域。更具体地，涉及一种基于深度学习的安卓恶意应用的检测和分析方法。

背景技术

安卓操作系统是一种基于Linux的自由及开放源代码的操作系统，主要使用于移动设备，如智能手机和平板电脑，是目前使用最为广泛的移动终端。随着智能手机和移动设备的快速发展，安卓平台服务已经成为大部分网络用户不可或缺的要素。与此同时，移动恶意软件也快速增长成为威胁网络安全和隐私的重要源头。最近的研究报告指出，安卓系统已经占据了87.6％的市场份额，同时高达91.1％的恶意软件来自于安卓市场。大量的安卓恶意软件对企业及个人信息造成了威胁。安卓恶意应用的检测已经成了现今移动互联网发展的重要技术保障，研究和实现高精准的安卓恶意应用检测具有很强的现实意义和实用价值，被相关学术界和业界所关注。安卓平台的开放性导致其成为了恶意应用攻击的重点，随着伪装、加壳等恶意软件的不断出现，如何提高安卓系统恶意软件检测的准确率，并且降低人工参与的难度，是当前亟待解决的问题。

当前，随着安卓移动智能终端的迅速普及、安卓应用(APP)的种类、数量也正在呈井喷式增长。然而，随之而来的网络与信息安全问题司益凸显，移动智能终端安全事件层出不穷，移动恶意应用肆意泛滥，个人隐私窃取、资费消耗等安全问题时有发生，严重影响行业的健康发展。而上述这些问题，大多是由移动恶意代码造成的。移动恶意代码通常在APP软件开发或二次打包过程中植入，通过诱骗欺诈、障私窃取、恶意扣费等方式莲取经济利益或传播垃圾信息。其中恶意在用增长尤其迅猛，给智能终端用户带来了严重的经济损失。

目前，安卓恶意应用检测技术手段主要依赖于一种风险评估机制，这种评估机制可以在恶意应用软件安装前提示并警告用户正在安装的应用所需求的系统权限信息。实际上，由于这种技术提示的“应用所需权限”过于单一和片面，很难使得普通用户仅根据此项信息能够快速地分辨出是否属于恶意应用。实践表明，许多的恶意应用与正常应用很可能所需求的权限是一致的，这使得用户更加难以分辨恶意应用和正常应用。因此，构建准确的安卓恶意家族分类和行为描述的特征子集十分有必要。

恶意家族是指具有相似性、继承性、以及衍生性的恶意软件集合，在恶意软件检测领域逐渐引起注意。然而针对恶意家族的研究，目前仍然存在如下问题：

1、恶意家族的界定不清，针对同一个恶意软件的样本，不同的杀毒软件可能将其定义为不同的家族；

2、家族识别方法不完善，不论是基于特征的检测，还是基于异常的检测方法，在当前的研究中都没有广泛接受的结论。恶意家族难以识别，主要是因为恶意软件本身可能会具有不只一种恶意行为，同时，也没有确定的结果指出，哪些特征可以有效的用于恶意家族的识别；

3、针对新出现的类型难以处理，恶意行为的伪装性和复杂度逐渐增强，因此对于新出现的恶意软件，通常难以在第一时间检测和分析，这也导致了在检测上的滞后性。

深度学习是近年来兴起的一种新的机器学习领域。传统的及其学习模型，像直齿向量机、逻辑回归、决策树、贝叶斯以及传统神经网络模型，均被认为含有少于三层的计算单元和浅层的学习构架。与之不同，深度学习拥有较深层次的学习构架，能够更好地模仿人脑更聪明的学习和认知。实际应用中，深度学习更多的是一种构架设计思想，可以采用不同的思路方式，利用多种不同的算法和方法共同实现。