[发明专利]基于深度学习方法推断恶意代码规则的方法、系统及设备

说明书

本发明公开了基于深度学习方法推断恶意代码规则的方法、系统及终端设备，创造性的将word2vec思想应用于恶意代码分析领域，对已知的恶意代码的字符串进行训练，得到恶意代码字符串关联性最大的字符串，进而得到该恶意代码的字符串规则。本发明能充分利用恶意样本的特征推断出误报率低、覆盖率高的恶意代码规则，以优化现有病毒检测引擎，提升恶意代码检测效率。本发明能广泛应用于恶意代码检测及恶意代码分析领域。

相关申请的交叉引用

本申请要求武汉安天信息技术有限责任公司于2015年11月17日提交的、发明名称为“基于深度学习方法推断恶意代码规则的方法及系统”的、中国专利申请号“201510787438.3”的优先权。

技术领域

本发明涉及移动网络安全技术领域，尤其涉及基于深度学习方法推断恶意代码规则的方法及系统。

背景技术

近年来，随着Android系统的流行，针对Android平台的攻击也日益增加。2016年第三季度，以安天AVLSDK服务为基础的中国绝大多数ROM安全扫描截获的新增恶意软件包每天超过10万个，其中Android平台的恶意软件包占据了总数的92％，呈连续递增趋势。Android系统面临着严重的安全威胁。与此同时，针对智能手机的安全研究也成为了全球安全研究的重点。M.Miettinen和P.Halonen对移动智能设备面临的安全威胁以及智能设备安全检测中的主要挑战和不足做了详尽的分析。Abhijit Bose等人在论文中提出了一个全新的智能手机异常检测模型，与M.Miettinen和P.Halonen最大的不同是，该模型采用的异常检测对象是智能手机上正在运行的应用，他们采用基于因果关系的时间逻辑描述智能手机应用的行为模式，并使用SVM机器学习方法进行异常检测分析。可以看到现有的智能手机安全研究基本集中在通用的基于行为模式的异常检测。对于特定智能手机平台，例如Android，并没有研究人员对该平台的恶意软件行为模式(或称为恶意代码规则)进行研究和总结。

可以理解的，基于海量的新增样本，充分解决筛分问题成了最重要的事情，从工程经验来看，一般先利用可靠的本地病毒检测引擎(后文简称“引擎”)解决筛分问题，即将已经发现的规则和样本进行过滤，检出已知恶意样本；而剩下的引擎难以判断的样本，一般还需要通过机器学习或人工分析再检测一次。从长远看来，这种检测方式效率低下，对于难以判断的恶意样本，应该通过科学合理的技术手段对其进行分析，以推断出能够优化现有引擎的恶意代码规则。可以理解的，引擎内包含的恶意代码检测规则越多则检测效率越高。另外，用于优化引擎的好的规则，一般还希望能同时满足两个指标：(1)误报率不能高，即提取的规则不能太宽泛；(2)覆盖率要高，即提取的规则要充分覆盖疑似样本集。

发明内容

针对上述技术问题，本发明提供了基于深度学习方法推断恶意代码规则的方法及系统，能充分利用恶意样本的特征推断出误报率低、覆盖率高的恶意代码规则，以优化现有病毒检测引擎，提升恶意代码检测效率。

本发明提出了一种基于深度学习方法推断恶意代码规则的方法，包括：

将带有恶意代码的dex文件解析成字符串，并根据预设规则从所述字符串中提取出关键字符串；

利用word2vec思想对所述关键字符串进行训练，得到第一训练结果；

通过所述第一训练结果，构建恶意样本特征向量；

根据所述恶意样本特征向量从所述关键字符串中提取预设范围内的字符串，并对所述预设范围内的字符串再次利用word2vec思想进行训练，得到第二训练结果；

基于所述第二训练结果获得恶意代码字符串规则。

进一步的，所述利用word2vec思想对所述关键字符串进行训练，具体为：对所述关键字符串进行特征提取，并根据所述特征推断出关联性最大的字符串，其中，所述关联性最大的字符串用于指示针对所述关键字符串的解释性的字符串。