[发明专利]一种基于元路径嵌入的图神经网络安卓恶意软件检测方法

说明书

本发明涉及一种基于元路径嵌入的图神经网络安卓恶意软件检测方法，采用提取静态特征，得到API和Permission的步骤；构造异质图的步骤；定义元路径，对每个APP节点进行嵌入的步骤；计算每种元路径的权重的步骤；得到APP的分类结果的的步骤；本发明方法通过使用RotatE编码器对每一条元路径进行嵌入，聚合了元路径上中间节点的特征，并将目的节点本身的特征也考虑在内，获取了更多利于恶意软件检测的信息，因此本发明的方法使用少量样本就能超过其他方法使用大量样本训练达到的准确率；同时本发明通过定义λ参数，限制了元路径的数量，减少了系统资源消耗。

技术领域

本发明涉及一种基于元路径嵌入的图神经网络安卓恶意软件检测方法，属于网络安全技术领域。

背景技术

Android系统在当下拥有庞大的用户数量和设备数量，拥有丰富的应用程序，凭借其可扩展性和开放性，Android已成为最为流行的移动智能操作系统。同时，针对Android的各类恶意软件数量急剧增加，Android设备面临严重安全风险，Android用户面临着隐私窃取、数据泄露和垃圾邮件等各种攻击行为的威胁。

近些年来，图神经网络的蓬勃发展给许多其他领域带来灵感，尤其是包含不同类型节点和边的异质图神经网络，在安卓恶意软件检测领域，将提取的静态特征和APP建模为节点，并且定义节点之间的关系在节点之间建立起连接，然后运用图神经网络来解决相关问题不乏是一种好的选择。

在文献《HAWK:Rapid Android Malware Detection Through HeterogeneousGraph Attention Networks》中，Hei等人将Android实体和行为关系建模为一个异构信息网络，利用其丰富的语义元结构来表示隐含的高阶关系。但是该方法存在以下不足：(1).该方法仅仅是通过元路径来获取APP节点的邻居节点，忽略了元路径上中间节点的特征以及元路径路径本身的信息；(2).该方法还舍弃了目的节点本身的特征，只聚合它的邻居节点特征；以上两点对于安卓恶意软件检测问题来说是不可或缺的。

发明内容

针对上述问题，本发明要解决的技术问题是提供一种能够通过编码元路径来获取元路径上中间节点的特征和元路径本身的特征，同时将目的节点本身的特征聚合到元路径实例中，获取更多恶意软件相关的特征信息，能够更精确地进行恶意软件检测的基于元路径嵌入的图神经网络安卓恶意软件检测方法。

为解决上述问题，本发明采用的技术方案如下：

本发明基于元路径嵌入的安卓恶意软件检测方法，采用如下步骤：

步骤一、使用APK分析工具androguard对安卓APK文件进行反编译，提取静态特征，得到API和Permission；

步骤二、将按步骤一得到的API和Permission与APP一起作为三种类型的节点，并通过定义节点之间的关系来构造边，然后根据APP与API、Permission之间的包含关系来产生邻接矩阵，构造异质图；

步骤三、定义元路径，对每个APP节点进行嵌入：在每种元路径下，对于每个邻居节点，在它们之间提取出λ条具体的元路径，然后对提取出的元路径使用RotatE编码器进行编码，把编码后的元路径与该APP节点一起构成同质图送入图注意力网络模型中，得到该种元路径下这个APP节点的嵌入表示；

步骤四、计算每种元路径的权重，然后将步骤三得到的APP嵌入和对应的元路径权重相乘累加得到最终的APP嵌入表示；

步骤五、将步骤四得到的APP嵌入表示送入到线性SVM分类器中，得到APP的分类结果。

本发明步骤三中提取元路径过程中定义了λ参数，λ表示在每种元路径下经过提取后两个APP节点之间的中间节点的最大数量，或经过提取后两个APP节点之间的该种元路径的最大数量。