[发明专利]基于RGB图像映射的安卓恶意软件识别方法

说明书

本发明公开了一种基于RGB图像映射的安卓恶意软件识别方法，收集恶意程序集M组成样本库；通过将操作码、敏感API调用和高风险API特征映射成彩图，然后通过深度学习的方式学习特征图像，得出最佳分类模型，然后对待检测的程序生成特征彩图，输入分类模型后得出检测结果。与现有技术相比，本发明提高了恶意软件分类的效率和准确率；具有简单、高效的特点，避免了动态分析开销过大和操作过于发杂的弊端，在保证准确率的基础上大大提高了检测速度。

技术领域

本发明涉及信息安全技术、逆向工程等多种领域，特别是涉及一种基于安卓操作系统平台的恶意软件的识别方法。

背景技术

随着互联网技术的飞速发展，及安卓系统跃居移动终端最大份额的操作系统，针对移动设备的安全威胁也越来越多。互联网协会总结了恶意软件的特征并给出定义：恶意软件是指在未明确提示用户或未经用户许可的情况下，在用户的计算机或其他终端上安装运行，侵害用户合法权益的软件。由于安卓系统的开发特性，及国内第三方应用分发商检测监控不严格，导致针对安卓的恶意软件数量逐年上升。

目前，针对安卓平台下的恶意软件的检测，按照分析方式可分为动、静检测及基于云计算的检测。1)静态检测的主要方式为直接分析应用本身，根据代码及应用的其他特征检测程序是否存在恶意倾向；2)动态监测则需要在软件处于运行状态，通过跟踪、监控等技术手段，判断软件是否存在联网、获取隐私等行为，进而判断软件是否存在恶意。3)基于云计算的检测是针对移动设备在电量和计算能力方面的局限性，把检测方案部署到具备海量计算存储和大量计算能力的云端服务器上，在被检测设备上只保留代理软件来收集基本信息，检测结果通过网络发回服务器，从而提升检测效率及表现。

发明内容

本发明的目的在于针对上述问题，提出了一种基于RGB图像映射的安卓恶意软件识别方法，是一种基于静态分析的安卓恶意软件特征提取及多特征融合方案。通过将操作码特征、敏感API调用、高风险API特征映射成RGB图像，实现安卓操作系统下的恶意软件的有效分类。

为了实现上诉目标，本发明采用如下技术方案：

一种基于RGB图像映射的安卓恶意软件识别方法，其特征在于，操作步骤如下：

步骤一、收集足够量的标定的恶意程序集M，组成样本库；

步骤二、对样本库中所有的Android程序的安装文件用解压缩工具进行解压缩，获取源码文件——.dex文件；

步骤三、对源码文件采用逆向工程工具进行反编译，获取smali代码；

步骤四、逐条分析语句，映射操作码特征为RGB图像中的R通道像素点；

步骤五、逐条分析语句，映射敏感API调用特征为RGB图像中的G通道像素点；

步骤六、逐条分析语句，映射高风险API调用特征为RGB图像中的B通道像素点；

步骤七、合并R、G、B三通道生成特征图像；

步骤八、基于上述样本的特征图像，使用机器学习的方式进行分类训练，生成相应的分类模型；

步骤九、获取待分类样本文件；根据步骤二～步骤七，生成对应的特征图像；

步骤十、根据步骤八生成的分类模型、且以九生成的特征向量为输入，对待分类程序进行分类，得到判别结果。

与现有技术相比，本发明提高的恶意软件的分类效率和准确率；在具有简单、高效特点的同时，保留了特征间的相关性，信息损失小，同时避免了动态监测技术的繁杂操作和大量的开销，在保证准确率的基础上大幅提高的检测速度。

附图说明

图1是本发明的恶意软件分类方案流程图。

图2是恶意软件预处理过程。