[发明专利]一种云平台上基于RNN的恶意软件检测方法

说明书

本发明涉及一种云平台上基于RNN的恶意软件检测方法，属于信息安全领域。依次包括以下步骤：基于时序的API调用序列的提取、API序列数据预处理、构建基于RNN的恶意软件检测模型、基于RNN的检测模型的训练。本发明选择的特征向量为软件的API调用序列，考虑到了API语义上的属性，对软件的API调用序列的语义识别更加准确，将这样的特征输入到双向LSTM神经网络模型中，不但有效提升检测效率，检测准确率也得到大幅提升，并且本发明设计的网络模型深度适当，模型中需要训练的参数适中，因此检测模型的泛化能力有了一定的提高。

技术领域

本发明涉及信息安全领域，具体为一种运行于云平台上的恶意软件检测方法。

背景技术

当今社会，人们对于智能手机的依赖越来越强，智能手机中潜藏的个人隐私信息也越来越多，这些信息关系着人们的生命财产安全，也因此遭到恶意软件的攻击。在传统恶意软件检测领域，基于固定特征的检测变得越来越困难，因此近年来，研究人员利用人工智能技术对恶意软件进行检测，取得了一定的成果。但在恶意软件检测研究发展初期，较常用的方法都是基于主机的，而随着互联网的发展，恶意软件数量及变种技术不断增加，基于主机的系统为了存储各种恶意软件的特征而变得十分臃肿复杂，所消耗的存储和计算资源不断增加，整体性能不断下降，难以满足实际安全需求。因此考虑设计一种运行于云平台上的恶意软件检测系统以实现检测的准确高效。

发明内容

要解决的技术问题

针对传统检测方法准确率低下以及常规检测系统低效等问题，本发明提出一种运行于云平台之上的恶意软件检测方法，在保证检测准确率的前提下提高检测效率。以解决恶意软件种类剧增所造成的检测效率低下以及检测准确率不足等问题，保护用户的个人隐私和财产安全。

技术方案

一种云平台上基于RNN的恶意软件检测方法，其特征在于步骤如下：

步骤1：基于时序的API调用序列的提取

为APK文件创建一个dex对象，通过对dex对象的分析，提取出该APK文件的函数调用图，通过对函数调用图中边信息的分析，获得各类内的函数调用关系；在此调用关系的基础上使用深度优先遍历算法完善每条调用序列；此时获得多条完整的类内调用序列，依据序列头节点在内存中的地址信息进行排序；最后按照地址递增的顺序将所有类内调用序列拼接在一起，构建成一条完整的API调用序列；

步骤2：API序列数据预处理

提取出API调用序列后，接下来对提取出来的API序列进行预处理：

(1)首先对API序列进行子序列提取，采用n-gram算法来执行此步骤，并将滑动窗口大小设置为4；

(2)上一步中提取出来的子序列数量很大，通过信息增益算法确认划分出来的子序列的有效性，依据信息增益算法得出来每个子序列的信息增益值，按照值大小将序列排序，然后选择信息量较高的子序列作为有效特征子序列；

(3)按照原始API序列中API调用顺序将提取出来的有效子序列连接起来；

(4)最后利用连续相同模式API去除法对得到的API序列进一步处理；

表1中给出了连续相同模式API去除的方法。

表1连续相同模式API去除示意表