[发明专利]一种基于字节码图像和深度学习的Android恶意应用检测方法

说明书

一种基于字节码图像和深度学习的Android恶意应用检测方法，包括如下步骤：1)APK程序代码映射成RGB图像；2)：计算局部信息熵，生成局部信息熵矩阵，融合RGB图像和局部信息熵矩阵，生成RGBA图像；3)使用卷积神经网络对Android恶意应用进行特征提取和分类。本发明检测精度较高、误报率较低且检测速度快。

技术领域

本发明涉及恶意代码分析技术领域，尤其是一种Android恶意应用检测方法。

背景技术

Android开源系统的出现迅速推动了全球互联网应用的发展，同时也引发了诸多安全问题。360公司在2017年Android恶意软件专题中指出2017年Android平台平均每天新增恶意软件2.1万，平均每天恶意软件感染量约为58.8万人次，监测到Android用户感染恶意软件2.14亿，其中超过80％的恶意软件以资费消耗的形式谋取不正当经济利益。当前恶意软件使用了多种新技术用以达到破坏和绕过检测的目的，例如新技术针对系统运行库攻击，利用Telegram软件协议进行远程控制操作等。同时，报告指出具备自动化和对抗能力的恶意软件工厂正在量产恶意APP，这种技术能探测杀毒软件的检测模型，推断出杀毒软件所使用的特征和检测规则，结合探测到的信息和混淆技术构造特定的APK，用以绕过杀毒软件检测。恶意软件生成与其检测方法形成对抗式发展，恶意软件层出不穷，检测方法也需推陈出新。

当前大部分安全厂商使用基于特征代码的检测方法。该类方法通过检测文件的特征代码来判断其是否为恶意软件。它的优点是速度快，准确率高且误报率低，但是需要及时更新特征库，难以抵御短时间爆发的恶意应用。同时该类方法易受代码混淆和加密的干扰。恶意软件可以通过加壳、变形等技术手段阻止研究员逆向程序，进而增加检测的难度和成本。以目前被认为最安全的Google Play商店为例，有很多研究指出已有大量的恶意软件绕过Google Play商城的安全检测。

基于行为的检测方法不易受代码混淆和加密的影响，但是需要收集恶意应用大量信息，例如权限、函数调用，运行行为等。该类方法对未知的恶意应用检测效果优于基于特征代码的检测方法，但是需要消耗大量的计算资源和时间。现阶段亟待提出一种检测速度快，时效性高，能抗混淆的检测方法。

大部分恶意应用仅仅是在某个恶意应用的基础上增加少量模块的变种，两者之间有大量的复用代码，具有明显的家族特征。恶意代码可视化方法旨在将恶意代码通过可视化方法转化为图片，结合代码同源性分析，提取图像特征，使用机器学习方法进行分类。2011年，Nataraj和Karthikeyan在论文中提出一种将桌面端恶意代码映射为灰度图，并从灰度图中提取GIST特征，通过K最近邻算法进行分类的方法。Kancherla等人使用Gabor滤波器对灰度图进行信号处理获得特征，使用SVM进行分类。韩晓光等人将恶意代码映射为无压缩灰阶图片，运用基于纹理的分割算法对图像进行分块，通过算法提取各块的纹理特征作为纹理指纹，同时建立纹理指纹索引，最后采用加权综合多分段纹理指纹相似性匹配方法检测。

深度学习在计算机视觉和语言处理方面以卓越的效果获得了大量的应用。HDHuang等人将DEX文件映射为RGB图像，将百万级别训练数据送入深度学习Inception-v3模型进行训练；DeepDroid结合Android的动态和静态特征，使用深度置信网络(DBN)作为训练模型进行检测；罗世奇等人将代码图像作为静态特征，收集恶意代码活动生成向量空间，利用栈式自编译模型提取特征并分类。

发明内容

为了克服已有Android恶意应用检测方法的误报率、漏报率较高的不足，本发明提供一种精测精度较高，误报率、漏报率较低的基于字节码图像和深度学习的Android恶意应用检测方法。

本发明解决其技术问题所采用的技术方案是：

一种基于字节码图像和深度学习的Android恶意应用检测方法，所述检测方法包括如下步骤：

1)APK程序代码映射成RGB图像