[发明专利]基于RNN和CNN的Android恶意软件检测方法及系统

权利要求书

1.一种基于RNN和CNN的Android恶意软件检测方法，其特征在于：包括以下步骤：

S1，对训练样本的原始安装文件进行特征提取，获得操作码序列；

S2，利用操作码序列训练BLSTM网络，得到训练好的BLSTM网络；

S3，利用训练好的BLSTM网络将操作码序列提取为特征图片；

所述步骤S3具体包括以下处理：

S3-1，对照Dalvik指令表对操作码序列进行one-hot编码后再输入到训练好的BLSTM网络中；

S3-2，提取每个隐藏层的输出向量{h₁，h₂，…，h_L}；

S3-3，利用将L个隐藏层的输出向量分成N个向量组，对每个向量组求平均，得到N个特征向量；其中，f_k是固定长度向量序列的一个元素，L是操作码序列的长度，N是特征图片的高度，p_k是第k个向量组的最后一个数字；

S3-4，将N个特征向量拼在一起构成N*W的特征矩阵F：

其中W是BLSTM中隐藏层的维度，Dalvik指令共256个，故W＝256；

S3-5，用sigmoid函数将特征矩阵F中的元素转化为[0，1]，再乘255以形成256级灰色图片，得到尺寸为N*256的特征图片；

S4，利用特征图片训练卷积神经网络，得到训练好的卷积神经网络；

S5，对待检测Android应用，首先对其安装文件进行特征提取，获得其操作码序列；然后将该操作码序列输入步骤S2获得的训练好的BLSTM网络中，提取出特征图片；最后将该特征图片输入到步骤S4中训练好的卷积神经网络中，输出是否属于恶意软件的分类结果。

2.根据权利要求1所述的基于RNN和CNN的Android恶意软件检测方法，其特征在于：所述步骤S1具体包括以下处理：

S1-1，解压缩训练样本的.apk安装文件，获取.apk安装文件包含的class.dex文件；

S1-2，对class.dex文件进行反编译，获取Android应用的.smali文件；

S1-3，舍弃.smali文件中的操作数，得到操作码序列。

3.根据权利要求1所述的基于RNN和CNN的Android恶意软件检测方法，其特征在于：所述步骤S2具体包括以下处理：

S2-1，BLSTM网络参数和权重随机初始化；

S2-2，将操作码序列输入BLSTM网络，进行训练；

S2-3，通过对比当前神经元的输出向量和下一神经元的输入向量计算损失函数，通过反向传播算法更新参数和权重；循环执行S2-2至S2-3，直至BLSTM满足条件或训练周期结束。

4.根据权利要求1所述的基于RNN和CNN的Android恶意软件检测方法，其特征在于：所述步骤S4具体包括以下处理：

S4-1，卷积神经网络参数和权重随机初始化；

S4-2，将尺寸为N*256的特征图片输入卷积神经网络，进行训练；

S4-3，根据神经网络的误测精度反向传播进行权重和参数的调整，直至CNN满足条件或训练周期结束。