[发明专利]一种云平台上基于SVM的恶意软件检测方法

说明书

本发明涉及一种云平台上基于SVM的恶意软件检测方法，属于信息安全领域。依次包括以下步骤：基于时序的API调用序列的提取、基于skip‑gram模型的API序列向量化、基于AutoEncoder模型的API向量降维、构建基于SVM的恶意软件检测模型、基于SVM的检测模型的训练。本发明选择的特征向量为软件的所有API调用序列，通过将序列进行压缩的操作尽最大可能地保留了序列特征，再将其输入到SVM模型中，不但有效提升检测效率，检测准确率也得到大幅提升。

技术领域

本发明涉及信息安全领域，具体为一种运行于云平台上的恶意软件检测方法。

背景技术

随着移动智能终端的普及，Android用户数量的不断扩大，智能手机等设备同人们生活的日益密切，恶意软件给人们造成的诸如经济损失、隐私泄露等后果也越来越严重，其中不仅有通话记录、联系人、短信记录等隐私信息，也有涉及经济生活等各方面的敏感数据。近年来，针对Android的恶意软件也呈现爆发的趋势，恶意软件种类逐渐增多，单纯依靠传统的检测方法进行判断面临着工作量巨大、效率低下以及准确率不足等问题。随着人们对手机的依赖越来越强，Android平台的恶意软件造成的危害将会更加严重。

发明内容

要解决的技术问题

针对传统检测方法准确率低下以及常规检测系统低效等问题，本发明提出了一种云平台上基于SVM的恶意软件检测方法以实现检测的准确高效，以解决恶意软件种类剧增所造成的检测效率低下以及检测准确率不足等问题，保护用户的个人隐私和财产安全。

技术方案

一种云平台上基于SVM的恶意软件检测方法，其特征在于步骤如下：

步骤1：基于时序的API调用序列的提取

为APK文件创建一个dex对象，通过对dex对象的分析，提取出该APK文件的函数调用图，通过对函数调用图中边信息的分析，获得各类内的函数调用关系；在此调用关系的基础上使用深度优先遍历算法完善每条调用序列；此时获得多条完整的类内调用序列，依据序列头节点在内存中的地址信息进行排序；最后按照地址递增的顺序将所有类内调用序列拼接在一起，构建成一条完整的API调用序列；

步骤2：基于skip-gram模型的API序列向量化

获得API调用序列之后，需要将提取出来的API序列向量化：

(1)首先对每个API函数用特定的整数表示，每个API序列构建成为一个one-hot向量；

(2)然后利用构建的one-hot向量来训练skip-gram网络模型，所述的skip-gram网络模型：输入为构建的one-hot向量；隐藏层没有使用任何激活函数；输出层是一个softmax回归分类器；模型中还需要定义skip_windows的参数，它表示从当前input word的一侧选取词的数量，另一个参数叫num_skips，它表示从整个窗口中选取多少个不同的词作为output word；隐藏层的权值矩阵是最终的学习目标，因此权重矩阵每行的维度需要根据具体的训练情况进行设置；输出层的每个节点将会输出一个0-1之间的值，表示当前词是输入样本中output word的概率大小，这些所有输出层神经元节点的概率之和为1；

(3)训练完成后，取出模型中的Embedding矩阵，用API序列的one-hot向量与Embedding权重矩阵的乘积来表示该序列的Embedding向量；

步骤3：基于AutoEncoder模型的API向量降维