[发明专利]一种基于异质网络的Android恶意软件检测方法

说明书

本发明公开了一种基于异质网络的Android恶意软件检测方法，通过编译模块使用Apktool反编译所有测试样本；结合异质网络中节点与边关系的特点，提取多种API调用信息作为矩阵构建元素；利用BM25方法对API调用信息降维，随后再进行矩阵构建；采样分类模块采用针对矩阵的随机游走方法，并将游走得到的节点序列作为Skip‑gram模型的特征进行嵌入表征，并使用SVM算法对恶意软件进行分类和检测。本发明通过预定义的元路径对矩阵进行随机游走，构建了包含丰富语义的节点序列；并使用Skip‑gram方法针对不同应用节点的多条游走序列生成了嵌入值，实现了对恶意软件进行检测和分类。

技术领域

本发明属于网络安全技术领域，涉及一种基于异质网络的Android恶意软件检测方法。

背景技术

Android是世界上使用最广的移动设备智能平台，它是一种基于Linux开发的开放性平台。自从2007年Google推出第一代Android操作系统至今，已有将近十几年时间，移动设备的市场份额在急剧增长，随着智能设备的普及率的提高，随之上线的各类应用(Application，APP)也越来越多，广泛的功能各异的APP可以满足人们日常的各种需要，但随之而来的安全隐患也逐渐升高。

2020年Android恶意软件的活跃度高于2019年末的预期，一些已知类型恶意软件的检测记录显著增长，其中就包括特洛伊木马病毒、虚假广告信息、银行类虚假软件等。这些软件首先会要求在其他应用程序上显示权限，还会要求允许从未知来源安装未知应用程序。一旦这些权限被用户接受，这些恶意软件就可以在其他应用程序上显示广告，并安装来自第三方应用商店的恶意软件。在获得许可的几分钟内，广告会以各种形式出现：打开默认的网络浏览器进入广告网站；在通知中弹出广告；甚至会伪造消息通知栏，用户在不知情的情况下点击时就会打开广告。

由于大多数工作将信息网络建模成同质信息网络(简称同质网络)，即网络中仅包含相同类型的对象和链接，例如社交网络和朋友圈等。同质网络建模方法往往只抽取了实际交互系统中的部分信息，而且没有区分对象及其之间关系的异质性，从而造成不可逆的信息损失。传统Android行为建模方法中，仅关注到API调用之间的互联关系，而忽视了API调用之间的丰富语义，比如说，API的包名和API出现的代码块等。

近年来，更多的研究者将多类型且互连的网络化数据建模为异质信息网络(简称异质网络)，实现对现实世界更完整自然的抽象；如果将这些信息与API调用序列相结合，使用异质图的方法建模的程序，语义也会更加丰富因此，使用异质图建模的Android恶意软件检测方法也成为了一个研究热点。Ye等人提出了HinDroid，首先提出构造一个异质图建模API和Android应用程序之间的复杂关系，该方法通过将APK与API设为节点，APK与API的多种关系设为边，利用异质网络建模方法，梳理了API调用间的结构信息，构建了三种关系，分别是包含关系(A)，代码块关系(B)和包关系(P)，存在四个APK节点与四个API节点，APK中使用到的API以椭圆表示，且API与API之间存在代码块关系和包关系，将APK与API定义为节点；将包含、代码块、包三种形式定义为边，即构建了关于Android软件的异质图。

基于所构建的Android异质图，使用Skip-gram模型最大化每个应用节点的条件概率，通过在每个应用a_i的多条游走序列构成的邻域N_t(a_i)上最大化网络似然条件概率，来学习Android异质网络中关于应用节点a_i的表征。最后，使用SVM方法对Skip-gram模型生成的嵌入值进行分类，通过有监督的方法实现了不同类型恶意软件的检测与分类；但是由于没有区分混淆，带来了极大的开销。

发明内容

本发明解决的技术问题在于提供一种基于异质网络的Android恶意软件检测方法，降低检测的开销，并提高监测的准确率。

本发明是通过以下技术方案来实现：