[发明专利]一种基于卷积神经网络的Android勒索软件检测方法

说明书

本发明提供一种基于卷积神经网络的Android勒索软件检测方法，涉及检测技术领域。本发明对训练样本的原始安装文件进行特征提取，获得结构特征以及行为特征；利用特征构建特征向量，将权限和API、API和权限生成具有映射关系的图片特征形式，并读取dex文件生成具有dex文件结构特征的图片形式；利用特征图片转换成numpy数组形式训练卷积神经网络。对待检测Android勒索应用程序，首先对其安装文件进行特征提取，获得其权限和API、API和权限映射关系的两张特征图片，提取dex文件特征生成特征图片；然后将三张图片的numpy数组格式输入训练好的卷积神经网络中，输出是否属于勒索软件的分类结果。

技术领域

本发明涉及检测技术领域，尤其涉及一种基于卷积神经网络的Android勒索软件检测方法。

背景技术

Android系统的开放性促进了Android设备的爆炸性增长和第三方应用市场的繁荣。第三方申请市场是除了用户信任和依赖的Google Play之外的主要第三方渠道之一。由于第三方申请市场进行了利润，并且没有严格统一的申请安全审计机制，这在一定程度上对用户和设备带来了极大的风险。它为培育恶意软件提供了机会，为攻击者提供了攻击的机会，以执行隐私盗窃，遥控器，甚至勒索等恶意行为，这将为用户及其设备带来经济损失和伤害。例如，勒索软件通过锁定移动电话直接从用户处获取大量的资金，这会导致直接的经济损失。在这种情况下，第三方应用市场成为恶意软件感染最脆弱的渠道。一旦勒索软件出现在第三方应用市场中，如果大量用户在不知不觉中下载并安装申请，后果和经济损失将是不可估量的。因此，有必要为第三方应用市场提出勒索软件检测方法。

Android软件检测方法目前主要有两种，即静态分析和动态检测。静态分析是指通过分析程序代码来判断程序行为。动态分析是指在严格控制的环境下执行应用程序，尽可能的触发软件的全部行为并记录，以检测应用程序是否包含恶意行为。目前已有的静态方法，已经提出了一种基于启发式算法和机器学习的检测方法。它捕获了勒索软件的行为模式，并通过提取原始应用程序API调用和权限来构建检测框架。此外，还有一种已经提出的轻量级方法，可自动检测储物柜。它采用全面分析软件行为的方法来提取来自多个来源的特征和集成探测器，该方法结合了四种机器学习方法来进行分类。这些研究在勒索软件检测领域仅集中在理想的平衡数据集上而不是不平衡。近年来，许多研究人员试图改善不平衡数据集下的恶意软件检测问题。研究表明，数据级别方法是最早，最具影响力和最广泛使用的方法。由于采样方法的计算效率低，噪音容易影响，结合第三方市场的需求，本方法不考虑来自数据视角的方法。已有的动态分析方法，通过使用运行时分析获得的系统调用作为特征，并利用信息增益来选择最重要的系统调用，最后使用不同的机器学习算法来对实例的功能进行分类。运行时特征的提取需要浪费大量的计算资源并增加时间成本，因此不适合在第三方应用市场的检测方法中采用这些特征。

在静态方法检测中，大多的检测方法都集中在理想的平衡数据集下，对于非平衡数据集的检测，目前还存在问题，许多研究人员正在试图改善不平衡数据集下的恶意软件检测所带来的问题。在动态方法检测中，模拟软件运行时状态，这种方法不仅增加了检测和消耗资源的难度，而且难以涵盖应用程序的所有执行路线，使得难以在特定的触发条件下发现恶意行为，并且不适合处理大规模样本。在运行时也要消耗大量的计算资源，这也是动态检测中最常见的缺陷

发明内容

针对现有技术存在的问题，本发明提供一种基于卷积神经网络的Android勒索软件检测方法。

为了解决上述技术问题，本发明采用以下的技术方案：

一种基于卷积神经网络的Android勒索软件检测方法，包括以下步骤：

步骤1：安卓应用软件特征提取，对不平衡数据集中的Android非勒索软件和勒索软件的原始安装文件进行特征提取，具体包括行为特征以及结构特征；

所述行为特征为从XML文件中提取权限和API函数，具体包括以下步骤：