[发明专利]一种基于超分辨特征图像的安卓恶意软件分类方法

说明书

本发明公开了一种基于超分辨特征图像的安卓恶意软件分类方法，步骤如下：收集恶意安卓软件样本集；在沙盒环境中加载运行安卓软件；提取恶意软件的141个动态行为特征，包括内存特征、API特征、电池特征、网络特征、进程特征和日志特征；使用极限树分类器进行特征重要性值评估并提取特征；将提取的特征重塑成低分辨特征图像；对低分辨率的特征图像进行超分辨重建并得到高分辨率的特征图像；利用CNN技术，使用高分辨率的特征图像对卷积神经网络进行训练；通过卷积神经网络得到安卓恶意软件的分类结果。本发明对动态行为特征进行分析，并采用超分辨率方法进行特征图像重建，基于重建后的高分辨率的特征图像进行分类，显著提高分类准确率。

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于超分辨特征图像的安卓恶意软件分类方法。

背景技术

2020年全球新冠爆发，在家远程办公需求大大增加，根据McAfee Labs于2020年11月发布的威胁报告显示，新的移动设备恶意软件比上一季度增长了15％；隐私信息被频繁地泄露，导致不断的骚扰电话与无节制的垃圾短信、移动程序的恶意广告推送、劫持HTTPS会话，嗅探用户密码和其他敏感信息等等，这些都是恶意软件带来的后果。不法分子在低成本、高收益的诱惑下，不断迭代技术，不断创造出新的恶意攻击方式，使用更为隐式的方式，在用户使用中无感地获取隐私信息或达成某些目的。

安卓恶意软件检测的典型方法包括：基于静态分析的检测方法、基于动态分析的检测方法。其中，基于静态分析的检测方法，为了提高检测的准确率，往往尽可能地解析压缩包中的多个文件，提取多类特征信息，保证对样本的完整性描述，带来了过高的分析复杂度和时间成本，特征之间的关联性造成数据的冗余；而动态分析的检测方法中，容易因为恶意行为的场景覆盖率低导致泛化能力低下。本方法利用动静态结合的分析方法，引入沙盒自动化地将基本场景全部覆盖，引入极限树过滤冗余的特征，减少分析的时间复杂度与空间复杂度，引入超分重建技术与卷积神经网络技术以提高分类精度。并在样本类别数量分配不平衡下，仍具有较不错的精度。

发明内容

本发明的目的是为了解决现有技术中的上述缺陷，提供一种基于超分辨特征图像的安卓恶意软件分类方法。

本发明的目的可以通过采取如下技术方案达到：

一种基于超分辨特征图像的安卓恶意软件分类方法，所述安卓恶意软件分类方法包括以下步骤：

S1、收集安卓恶意软件样本集；

S2、对于安卓恶意软件样本集的每一个样本，在沙盒环境中加载并运行该样本文件，通过telnet控制台模拟该样本的基本使用场景(包括电话、短信、GPS切换、网页浏览等)，收集其运行期间的网络流量及其API日志；

S3、对于安卓恶意软件样本集的每一个样本，对其收集到的网络流量文件与API日志文件进行整理，提取其动态行为特征并计算其特征值。其中，动态行为特征包括内存特征、API特征、电池特征、网络特征、进程特征和日志特征。

其后，将所有安卓恶意软件样本的一维特征矩阵按序进行整合，生成安卓恶意软件样本集的完整二维特征矩阵；

S4、对安卓恶意软件样本集的完整二维特征矩阵，使用极限树分类器进行重要性值评估，按照重要性值降序排序，提取重要性值高的特征及其特征值，删除重要性值低的特征及其特征值，最后，生成重要性值高的二维特征矩阵；

S5、对安卓恶意软件样本集的每一个样本，将其重要性值高的二维特征矩阵重塑成低分辨率的特征图像；

S6、对安卓恶意软件样本集的每一个样本，将其低分辨率的特征图像进行超分辨重建，得到高分辨率的特征图像；