[发明专利]一种基于词向量和深度神经网络的Android恶意代码检测方法

说明书

一种基于词向量和深度神经网络的Android恶意代码检测方法，包括如下步骤：1)利用静态分析对APK进行自动化分析，提取权限、Action、敏感API调用等特征，并使用随机森林进行特征选择工作；2)应用word2vec模型将特征转化成词向量，具体过程如下：2.1)首先将特征分成三类，将每一类的特征组成一句话，那么每个APK的特征列表可看做是包含三个句子的特征文档；2.2)使用word2vec的CBOW模型进行训练，最终生成N×(K×X)维矩阵，其中N为样本个数，K为词向量维度，X为特征数；3)使用深度置信网络进行特征训练，分类，最终可识别恶意应用。本发明精度较高，时效性较好。

技术领域

本发明涉及恶意代码分析技术领域，尤其是一种Android恶意应用分类方法。

背景技术

移动互联网迅速发展，智能手机出货量激增，尤其是以生产Android系统智能手机的国内厂商，同时，移动应用的恶意代码规模也呈现指数级增长。根据汇总CVE数据的网站出具的2017年度CVEDetails报告显示，Android系统以842个漏洞位居产品漏洞数量榜首，与2016年523个相比，增长61.0％。

如今在使用的恶意检测方法包括基于特征序列和基于应用行为的检测方法。恶意查杀软件多使用前者，安全厂商尽可能第一时间提取恶意应用的特征，更新特征库，从而进行匹配，误报率低，但存在更新滞后，难以抵御短时间爆发的恶意应用。恶意检测平台通常会使用后者，基于应用行为的检测方法需要提取应用的大量信息。例如，权限、函数调用等，以及沙箱动态运行的数据，对于新恶意应用的检测优于基于特征的方法，但是实现复杂，资源消耗大。亟待提出一种高效，高时效性的Android恶意检测方法。

恶意代码分析中最重要的就是对特征的表征。DREBIN采用静态分析，尽可能多的提取应用特征(例如权限、API调用、网络地址等)来表征恶意应用；Maldetect从DEX文件中提取Dalvik指令，通过符号化对其进行简化，再将指令序列进行N-gram编码作为分类的输入特征；DroidSieve以资源和语义为中心提取海量特征，并对特征进行排序，寻找核心特征；FrequenSel根据特征在恶意应用和良性应用程序之间的频率差异，提出了一种特征选择算法；HinDroid，提取API构建结构化的异构信息网络，表征了API之间的关系。通过对提取的特征进行深度的解析表征使得分类的效果优于传统的检测方法。

Yi Luan等人在口语理解任务中，将词向量作为神经网络的输入层，缓解了过度训练的问题；Edward Raff等人将PE header中的字节通过word2vec转化为词向量，将特征映射到高维空间，用于深度神经网络的输入层。多项研究工作表明，通过将特征转化成词向量用作深度神经网络的输入层，对于分类任务有较好的应用。

随着深度学习的发展，在Android恶意分析领域也有很好的应用。HinDroid提取API构建结构化的异构信息网络，提取多条元路径后用多核的架构来集成不同的相似度方法来构建识别能力更强的分类器；DroidDetector提取Android应用中的权限、敏感API和动态行为数据，首次使用深度学习模型——深度置信网络进行分类，取得较好的效果；MalDozer从DEX文件中提取出未经处理的API函数调用，将其离散化后，输入到卷积神经网络进行训练与分类，并且在多个公开数据集进行测试；Deep4MalDroid提取Linux系统内核调用，并构造加权有向图，使用深度置信网络进行恶意分类。

发明内容

为了弥补了已有Android恶意应用分类中特征提取和表征的不足，以及深度学习的效率问题，本发明提供一种精测精度较高、误报率较低的基于词向量和深度神经网络的Android恶意代码检测方法。

本发明解决其技术问题所采用的技术方案是：

一种基于词向量和深度神经网络的Android恶意代码检测方法，所述检测方法包括如下步骤：

1)APK文件特征提取