[发明专利]一种基于深度学习的软件抗分析方法和系统

说明书

本发明公开一种基于深度学习的软件抗分析方法和系统。该方法的步骤包括：1)将分析工具作为目标攻击模型，收集应用程序作为训练样本数据，并对训练样本数据进行特征选取和向量化；2)利用向量化后的训练样本数据，训练基于深度学习的替代模型来模拟目标攻击模型；3)利用训练完成的替代模型进行对抗攻击，产生对抗向量；4)根据对抗向量中不同类型的特征，采用不同的混淆技术来自动化生成抗分析软件。本发明无需获知目标系统的内部信息，能够在真实的黑盒情况下，实现自动化生成抗分析软件。

技术领域

本发明属于计算机软件技术领域，主要涉及一种软件(可执行文件)抗分析方法和系统，更确切地是涉及移动应用软件保护中抵制分析工具自动化分析的方法和系统。

背景技术

随着移动智能终端的普及，移动应用市场蓬勃发展，与此同时，随着各种分析工具的广泛传播与使用，越来越多的黑客利用分析工具来逆向移动应用。隐藏在软件之中的数据(如：源代码等)遭到巨大威胁。因此，如何抵御分析工具的检测成为了软件开发者亟待解决的难题。

分析工具平台是一种集成了多家分析工具的在线免费软件分析系统，例如，VirusTotal已集成了72家主流分析工具。与传统软件分析工具相比较，发现分析工具平台具有以下特点：

1)集成了各种类型的分析工具。分析工具平台利用各种类型分析工具扫描上传文件，例如：静态分析、动态分析和基于深度学习的分析等。

2)实时更新。例如：VirusTotal平均15分钟更新一次引擎状态，提供实时的分析服务。

3)共享分析软件样本。例如：VirusTotal每天接受百万级的文件上传，为了促进社区的发展，VirusTotal将所有的上传文件均共享给平台下的每个分析工具，来提高整个社区的能力。

4)黑盒子。当文件被上传后，分析工具平台只是给出各个分析工具的反馈结果与分析出的文件信息等，用户对于各个分析工具的内部信息一概不知，如：内部算法，内部参数，检测策略等。

5)限制上传频率。为了避免分析工具被攻击者利用与攻击，一般都会限制用户的访问次数与频率等。例如：VirusTotal针对每个公开API Key限制了访问次数到每分钟4次。

虽然已有大量的研究工作是针对如何抵抗软件分析工具，但是这些研究工作已经无法应对不断更新的软件分析平台。传统的研究工作主要通过利用各种混淆技术来抵抗分析，通过多种混淆技术的组合来抵御分析工具平台。例如：DroidChameleon实现了多种混淆技术来逃过10个主流的分析工具的检测；而Alan则是利用11种混淆技术来绕过VirusTotal的检测。但是，上述绕过方案已经过时，并且存在各种弊端，无法保证软件的正常运行。例如：

1)盲目地混淆大量的代码非常容易损坏原始软件，导致其功能无法运行。

2)盲目地组合混淆技术无法保证软件可以绕过分析工具平台。

3)需要重复上传不同组合模式的软件，成功绕过的效率低。

4)重复上传的行为容易引起分析工具平台的注意。

5)大量的原始软件变形的上传会泄露变形的规则。

发明内容

针对上述问题，本发明的目的在于提供一种基于深度学习的软件抗分析方法和系统，能够在真实的黑盒环境中，利用对抗攻击的思想，以分析工具为攻击目标，来自动化生成抗分析的应用程序。