[发明专利]基于AST和跨层分析的安卓恶意软件检测方法及系统

说明书

本发明提出了一种基于AST和跨层分析的安卓恶意软件检测方法及系统，属于恶意代码分析技术领域，主要解决现有基于函数调用图中忽视敏感节点祖先节点代码语义信息以及函数调用图生成忽略Native层部分等问题。主要方案包括对待测AndroidAPK文件进行静态反编译以获取其Java层代码与Native层代码并生成函数调用图FCG；根据Java层代码中对Native层函数的调用将两部分FCG合成完整的FCG；基于敏感API对FCG进行简化，从而得到简化FCG；对非敏感API节点进行代码分析，生成对应的抽象语法树；使用图神经网络对融合了代码语义的简化FCG信息进行学习；将训练好的检测模型用于对Android恶意软件进行检测与识别。

技术领域

本发明属于恶意代码分析技术领域，提供了一种基于AST和跨层分析的安卓恶意软件检测方法及系统，具体的是一种使用图嵌入、跨层代码分析、抽象语法树（AST）以及图神经网络对安卓软件进行分析以及分类的方法，其分析的对象为安卓软件，可自动输出该安卓软件是否为恶意软件。

背景技术

随着数字化发展逐渐成为了发展中的一大主题，移动智能设备在这个时代中发挥着极其重要的作用，例如移动支付、网络购物以及人际交往等等。而Android操作系统因为其开源性、可扩展性等优点，逐渐成为移动终端以及物联网设备中使用最为广泛的操作系统之一。随之而来的是大量出现的Android恶意软件，这些恶意软件对互联网的威胁正快速增大，因此，对Android恶意软件智能识别相关技术的研究具有重要意义。

在恶意软件检测技术与检测规避技术的博弈中，二者不断发展。早期基于签名和特征匹配的检测方法已经不能用于每日新增的大量恶意程序的检测。随着人工智能技术的再度兴起，使用机器学习的方法逐渐成为了恶意软件分类的研究热点，其中使用深度学习的方法目前在检测和分类任务中表现良好。在对安卓恶意软件检测的研究中，图神经网络表现出很大的潜力，对于图结构数据这种非欧几里得数据，它能够更好地处理并分析，相比处理文本、图像和语音等数据的传统深度学习模型，它能够更好地挖掘恶意行为的特征。

在文献《GDroid: Android malware detection and classification withgraph convolutional network》中，Gao等人将应用程序和API映射成一个大的异构图，将原始问题转换为节点分类任务，然后通过GCN对异构图进行嵌入和后续的分类。该方法存在以下问题：

（1）虽然利用了代码中的语义信息，但仅仅是利用了API调用及使用模式相关的这一部分信息，对代码语义的使用并不充分；

（2）其使用的图结构数据是用来获取APP之间的关系，而并不是对APP自身行为的表征；

（3）其只分析了Java层代码，而忽视了Native层代码部分。

在文献《OpCode-Level Function Call Graph Based Android MalwareClassification Using Deep Learning》中，Niu等人使用FlowDroid为给定的APK文件生成函数调用图，并获取不同函数的代码文件，然后重新组织字节码顺序，得到opcode级别的函数调用图，最终使用LSTM对给定的AndroidAPK进行分类。该方法存在以下问题：

（1）在函数调用图的生成中只考虑了Java层代码，而忽视了Native层的代码，这使得获得的函数调用图并不完整；

（2）在对代码语义的表示中，使用自然语言处理对其进行处理，并未考虑到代码自身的结构；

（3）在对函数调用图时，基于opcode序列进行来拆分，一定程度上破坏了函数调用图的拓扑信息。

发明内容