[发明专利]一种基于深度学习的Android恶意软件检测方法

说明书

本发明涉及一种基于深度学习的Android恶意软件检测方法，属于计算机与信息科学技术领域。本发明首先对Android应用软件进行特征提取，然后通过对Android应用文件进行解压缩和反编译等操作提取相关的安全特征。提取的特征包括3个方面：文件结构特征、安全经验特征和Dalvik指令集构成的N‑gram统计特征。然后对提取的特征进行数值化处理，构建特征向量。最后基于上述提取的相关特征构建DNN(Deep Neural Network)模型。通过构建的模型对新来的Android软件进行分类和识别。该方法融合了指令集的分析，具有对抗恶意软件混淆的作用，同时基于深度模型的恶意软件检测能够增强特征学习，能够很好地表达大数据的丰富内在信息，更加容易适应不断进化的恶意软件。

技术领域

本发明涉及一种基于深度学习的Android恶意软件检测方法，属于计算机与信息科学技术领域。

背景技术

随着移动互联网的不断发展，智能终端成为了每个人生活中重要组成部分。Android作为使用最广泛的移动操作系统，由于其开放和灵活的生态环境导致恶意软件泛滥。如何有效地检测Android恶意软件是一项具有重要价值的研究课题。当前主流的Android恶意代码检测方法大致分为静态检测方法和动态检测方法。

1.动态检测方法

所谓动态检测与分析，是指让被检测程序运行起来后再抽取特征进行检测和分析的方法。动态检测方法主要是通过将Android应用文件运行在Android设备上，然后通过采集软件运行过程中的API调用序列、资源使用等数据实现对软件的分析。虽然动态分析具有不受代码加壳、混淆等限制因素影响的优点，但是该方法在实际使用中存在数据采集提取困难、软件运行代价大、代码覆盖率低、容易被恶意软件通过对运行环境的检测而反检测等问题。因此，通过动态分析的方法来检测恶意软件在实际中使用较少。

2.静态检测方法

静态检测的方法主要是通过对Android应用文件进行扫描和分析，提取出Android文件中和安全相关的敏感信息和特征，例如敏感权限、系统动作、敏感系统调用等。然后针对提炼的这些特征进行分析和归纳并判断其是否为恶意软件。和动态分析方法相比，静态分析的方法具有较高的代码覆盖率和较小的时间开销，通常能够达到较好的检测准确率。该方法也是当前各种病毒查杀软件主流的检测方法。但是在实际的环境中，Android应用开发者为了对代码进行保护往往会进行混淆和加密等操作，这种环境下静态分析就不容易提取到有效特征从而对其进行误判。同时，恶意软件每年都在飞速的进化和发展，常规的检测方法难以适应不断涌现的新的恶意软件。

针对上述的问题，本课题提出了一种基于深度学习的恶意软件分类方法。一方面，通过对Android应用文件进行分析，提取出了一些恶意软件常见的静态特征。另一方面，通过对Android应用文件进行反编译提取出Smalli源码，然后从Smalli源码中提取出Dalvik操作码，然后对其指令集进行抽象并提取出N-gram序列特征。最后将上述提取的特征归一化处理后通过深度学习算法进行抽象建模完成恶意软件的识别。基于指令集分析的检测系统，具有对抗恶意软件混淆的作用。基于深度模型的恶意软件检测能够增强特征学习，对大数据的丰富内在信息能够进行很好的表达，更加容易适应不断进化的恶意软件。

发明内容

本发明的目的是解决常规Android恶意软件检测方法检测准确率低、检测适用范围有限、且难以适应新出现的软件的问题，提出一种基于深度学习的恶意软件检测方法。

本发明的设计原理为：首先对Android应用软件进行特征提取。然后通过对Android应用文件进行解压缩和反编译等操作提取相关的安全特征。提取的特征包括3个方面：文件结构特征、安全经验特征和Dalvik指令集构成的N-gram统计特征。然后对提取的特征，进行数值化处理构建特征向量。最后基于上述提取的相关特征构建DNN(Deep NeuralNetwork)模型。通过构建的模型对新来的Android进行软件分类和识别。