[发明专利]一种安卓手机恶意应用检测系统及方法

权利要求书

1.一种安卓手机恶意应用检测系统的使用方法，其特征在于，具体包括以下步骤：

步骤1、从不同来源收集两个样本库，分别组成恶意安卓应用样本库的负样品集和良性安卓应用样本库正样品集；

步骤2、将两个样本库中所有的应用通过静态特征提取模块，通过AndroidManifest.xml文件获取安卓应用所申请的系统权限列表，并通过class.dex文件获取调用API列表，生成177维0-1静态特征向量，代表某个权限或者API是否被申请或者调用；

步骤3、将步骤2中从安卓正样本和负样本提取的所有特征通过反向传播算法训练MLP神经网络，最后确认MLP神经网络分为三层，dropout率为0.2，学习迭代次数200，通过五折交叉检验法，确定准确率最高的模型参数；

步骤4、将两个样本库中所有应用通过动态特征提取模块，并通过DroidBox获取日志文件，得到软件调用应用程序编程接口API在固定时间段的频率，从而获得每个应用15*11维的特征矩阵；

步骤5、将步骤4获得的所有特征矩阵通过反向传播算法训练RNN神经网络，最后确认RNN神经网络为15层，学习率0.01，学习迭代次数200，并通过五折交叉检验法，确定准确率最高的模型参数；

步骤6、将待测样本通过静态特征提取模块，获得177维静态特征向量；

步骤7、将177维特征向量导入步骤3训练完毕的所述MLP神经网络中，得到静态分类的预测概率作为输出；

步骤8、将待测样本通过动态特征提取模块，获得15*11维特征矩阵；

步骤9、将15*11维特征矩阵导入步骤5训练完毕的所述RNN神经网络中，得到动态分类的预测概率作为输出；

步骤10、将步骤7与步骤9的结果进行加权求和计算概率，作为待测样本为恶意应用

的概率；

其中，所述安卓手机恶意应用检测系统包括正负样本收集模块、静态特征提取模块、动态特征提取模块、神经网络模块和监测结果输出模块；

所述正负样本收集模块包括正样本集和负样本集；

所述静态特征提取模块包括AndroidManifest.xml文件和class.dex文件，通过分析所述AndroidManifest.xml文件获取系统权限列表，通过分析class.dex文件获取系统调用API列表，将所述权限列表和所述API列表作为静态特征向量；

所述动态特征提取模块是将安卓应用安装包放入DroidBox沙盒运行，通过运行，查看运行后日志文件，得到软件调用应用程序编程接口API在固定时间段的频率，作为动态特征向量矩阵；

所述神经网络模块包括MLP神经网络和RNN神经网络，所述MLP神经网络包括多个神经元，每层每个所述神经元用来将一个向量输入加权求和后经过激活函数输出传递至下一层的每个神经元，所述MLP神经网络用来导入静态特征向量，所述RNN神经网络用来处理序列数据，结构是序列长度各单层感知器之间的相互组合，每个所述单层感知器的输出将会和序列的下一个输入向量一起，作为下一个单层感知器的输入，所述RNN神经网络用来导入动态特征向量，所述MLP神经网络和RNN神经网络的训练都使用反向传播算法；

所述监测结果输出模块是在经由静态特征提取模块和动态特征提取模块后，将静态特征向量和动态特征矩阵传入训练好的神经网络中，将结果加权求和计算概率，算出其应用为恶意应用的可能性，并输出结果。

2.根据权利要求1所述的一种安卓手机恶意应用检测系统的使用方法，其特征在于，所述AndroidManifest.xml文件和class.dex文件为安装包组成部分，安装包包括Lib文件夹，assets文件夹，NETA-INT文件夹，AndroidManifest.xml文件，class.dex文件和resource.arsc文件。

3.根据权利要求1所述的一种安卓手机恶意应用检测系统的使用方法，其特征在于，设置所述177维0-1向量，软件有限权的设为1，软件无限权的设为0，并将所述177维的向量作为静态特征。

4.根据权利要求1所述的一种安卓手机恶意应用检测系统的使用方法，其特征在于，设置每个APP的运行时间为15S，将每秒11种操作的统计的数量作为动态特征。