[发明专利]一种基于深度学习的Android恶意软件检测方法

权利要求书

1.一种基于深度学习的Android恶意软件检测方法，其特征在于所述方法包括如下步骤：

步骤1，获取Android正负样本文件，然后对文件进行预处理，包括：选取正负Android应用软件，并对APK文件进行解压缩处理得到APK中文件中所有的文件；然后对class.dex文件进行反编译处理，提取出每个APK中每一份smalli文件里Dalvik操作码；

步骤2，就步骤1得到的文件进行特征提取并得到每一个软件特征向量，包括：对步骤1得到的文件进行处理得到APK文件的经验特征、结构特征和Dalvik指令集的N-gram统计特征，并将上述特征进行数值化和归一化处理后得到每一个软件的特征向量，其中结构化特征，包括APK申请的敏感权限，应用包含的系统动作、以及activity、service、BroadcastReceive、Content Provider数量共63维；经验特征，它主要包括长期恶意APK检测分析的经验总结的特征，包括资源文件中是否包含可执行文件，assets文件夹中是否包含APK文件、APK文件中资源文件中包含的图像文件个数和参数大于20的函数的个数共4维；Dalvik操作码的N-gram统计特征1000维，考虑到恶意软件实现恶意意图的功能代码都会集中在一个恶意文件中，因此在统计N-gram特征时以单个Smalli文件为单位，然后将每个文件统计的N-gram特征进行加权和归一化处理后作为最终的特征向量；

步骤3，根据步骤2提取的数据构建分类模型，在构建过程中在数据集上采用5折交叉验证方法对模型进行评估，最后基于构建神经网络分类器并对软件进行识别检测，构建恶意软件分类模型时采用全联接深度神经网络，一方面该模型适合处理高维数据的输入；另一方面，深度学习能够增强特征学习，模型学习过程中能对APK提取的1067维特征进行相应的组合变换，自动挖掘特征间深层次联系，以适应不断进化的恶意软件，实现较高的恶意软件检测准确率。