[发明专利]恶意安卓软件检测方法及装置

权利要求书

1.一种恶意安卓软件检测方法，其特征在于，包括：

确定已知安卓软件训练样本集中每个训练样本包含的行为特征，所述行为特征包含一个已知安卓软件触发敏感行为的时序和频次信息；

利用所有训练样本对全连接神经网络进行训练，以获得全连接神经网络检测模型，其中，所述全连接神经网络检测模型对应损失函数在已知安卓软件训练样本集上的误差值在允许范围内；

利用所述全连接神经网络检测模型对未知安卓软件进行恶意检测；

其中，所述敏感行为包括仅恶意安卓软件常触发的敏感行为、仅非恶意安卓软件常触发的敏感行为以及恶意安卓软件和非恶意安卓软件均常触发的敏感行为时，所述全连接神经网络的第一隐层包括分割算子、拼接算子和三个全连接层；

相应地，所述利用所有训练样本对全连接神经网络进行训练，具体包括：

将每个训练样本的行为特征输入全连接神经网络，利用所述第一隐层中分割算子，在每个行为特征矩阵中提取出恶意行为特征向量、非恶意行为特征向量以及复杂行为特征向量；

利用所述第一隐层中拼接算子，分别将各恶意行为特征向量、各非恶意行为特征向量以及各复杂行为特征向量进行拼接，得到恶意行为特征矩阵、非恶意行为特征矩阵以及复杂行为特征矩阵；

利用所述第一隐层中三个全连接层分别对所述恶意行为特征矩阵、所述非恶意行为特征矩阵以及所述复杂行为特征矩阵进行计算得到三个输出向量，并利用所述拼接算子将三个所述输出向量拼接得到中间矩阵以作为所述全连接神经网络的第二隐层的输入；

各隐层依次根据输入计算得到输出作为下一隐层的输入，直至输出层根据最后一个隐层的输出计算得到训练样本的输出标签；

根据所有训练样本的输出标签和真实标签计算所述损失函数的值，并根据所述损失函数的值对所述全连接神经网络中各隐层的权值和偏置值进行调整；其中，对所述第一隐层中三个全连接层的权值和偏置值均进行调整。

2.根据权利要求1所述的恶意安卓软件检测方法，其特征在于，确定每个训练样本的行为特征，包括：

获取每个已知安卓软件在若干时间段内所调用敏感行为对应API接口的标识信息和调用时间信息；

将所述每个训练样本的行为特征矩阵确定为所述每个训练样本的行为特征，所述行为特征矩阵中的每个元素表示对应的已知安卓软件在某时间段内调用某个API的次数。

3.根据权利要求2所述的恶意安卓软件检测方法，其特征在于，所述敏感行为包括仅恶意安卓软件常触发的敏感行为、仅非恶意安卓软件常触发的敏感行为和恶意安卓软件和非恶意安卓软件均常触发的敏感行为中至少一种。

4.根据权利要求1所述的恶意安卓软件检测方法，其特征在于，所述利用所述全连接神经网络检测模型对未知安卓软件进行恶意检测之前还包括：

在待检测安卓软件所在安卓系统移动终端上设置监控程序和所述全连接神经网络检测模型；

利用监控程序监控所述敏感行为对应的API接口，获取所述待检测安卓软件的行为特征。

5.根据权利要求1-4中任一项权利要求所述的恶意安卓软件检测方法，其特征在于，所述已知安卓软件为同类应用场景下的已知恶意状态的安卓软件。