[发明专利]一种基于深度置信网络的Android恶意软件检测的方法

说明书

本申请提出一种基于深度置信网络的Android恶意软件检测的方法，首先，提取出Android应用软件的权限和敏感API的特征；其次，使用深度置信网络DBN来构建深度学习模型，将提取出的所述特征使用深度学习模型进行处理，得到表征高层抽象特征的样本；然后使用分类算法，对通过深度学习模型输出的高层抽象特征进行分类，区分出恶意软件和正常软件。通过本发明基于深度置信网络的深度学习模型可以更好地表征Android恶意软件的高层抽象特征，其检测效果也明显优于传统的神经网络模型和机器学习模型。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于深度置信网络的Android恶意软件检测的方法。

背景技术

Android操作系统是一种基于Linux的操作系统，由Google公司和开放手机联盟领导及开发。相比于其他智能终端上的操作系统，具有完全的开源性，并且Android应用市场复杂多样，使得Android恶意软件的数量快速增长。许多Android恶意软件会诱导用户安装，并下载大量新的恶意应用，消耗手机流量，发送扣费短信，造成了严重的安全威胁。其中，还有些正常的Android应用软件，通过申请过多不当的权限来获得相关信息，实现其搜集用户隐私的目的。可见，对Android恶意软件进行检测显得越来越重要。

目前，Android恶意软件的检测技术主要分为静态检测和动态检测。(1)静态检测是指在不执行应用软件的情况下，判断应用软件中是否含有恶意代码。Android恶意软件静态检测一般通过反汇编来实现静态地检测Android应用软件。Enck等人通过反汇编Android应用软件，分析其源代码来发现代码漏洞。Yang等人提出AppContext静态检测框架，AppContext根据触发安全敏感行为的上下文对应用程序进行分类。静态检测通过对应用软件进行反编译等方法，快速提取应用软件的静态特征并进行检测，缺点是检测模式的扩展性差。(2)动态检测是指在Android应用软件执行时全面监控应用行为。动态检测技术通过在沙箱或者真实环境下运行应用软件来获得信息从而进行检测。DroidScope可以在受保护的运行环境下动态检测应用软件。Dini等人提出动态检测框架MADAM，能够在Android内核层和用户层监控应用软件。动态检测准确率较高，缺点是运行时占用资源较多，效率较低。

对于静态检测和动态检测而言，通常需要人工地生成和更新Android恶意软件检测规则，这使得部分新出现的恶意软件无法被有效检测。为了准确识别未知恶意软件，机器学习开始应用于Android恶意软件检测问题。DroidAPIMiner通过机器学习算法来分析API级别的Android应用特征。Zhao等人提出了基于特征频率的特征选择算法。在传统的机器学习算法中，支持向量机(Support Vector Machine，SVM)算法被常用于基于特征选择的Android恶意软件检测。由于传统的机器学习算法通常都是浅层架构，无法有效地通过关联特征对Android软件进行高层次的表征。

可见，现有技术中Android恶意软件检测的主要问题在于：

(1)基于静态检测的Android恶意软件检测模式的扩展性差，且越来越多的Android恶意软件通过重打包等方式绕过静态检测。

(2)基于动态检测的Android恶意软件检测运行时占用资源较多，效率较低，并且难以检测出从未出现过的Android应用软件。

(3)基于传统机器学习算法的Android恶意软件检测，其机器学习结构多为浅层结构，无法对恶意软件进行高层抽象的特征表示，检测效果不尽如人意。

因此，本发明尝试通过深度学习模型进行Android恶意软件检测以解决现有技术中存在的上述技术问题。

发明内容

本发明提供一种基于深度置信网络的Android恶意软件检测的方法，用以解决现有技术中恶意软件检测方法存在的诸多缺陷。