[发明专利]一种基于深度学习的Android病毒静态检测方法

说明书

一种基于深度学习的Android病毒静态检测方法，涉及到网络病毒检测技术领域。本发明为了解决现有的Android病毒静态检测方法存在可实际应用的检测时间较长、无法应对代码混淆、误报率和漏报率偏高、不能解决单个病毒的多恶意家族行为检测的问题。技术要点：从用户的Android端获取广义权限序列；将获取的权限序列作为黑白二分类模型的输入，将得到Android平台的应用APK的权限序列提取出来，作为分类模型的输入；如二分类结果为良性软件则直接返回给用户，如果检测的结果为恶意软件，则将它的权限序列再作为家族分类模型的输入；最终从家族检测模型中获取到预测的病毒家族种类，并返回给用户，检测结束。本发明用于Android病毒的检测。

技术领域

本发明涉及一种Android病毒静态检测方法，涉及到网络病毒检测技术领域。

背景技术

随着Android系统的广泛普，拥有逐渐庞大的用户基数的同时，其开源的特性也导致其成为了恶意软件滋生的温床，2017年全世界范围内网络病毒爆发的频率和造成的危害都较往年有所增加，并且有往移动端迁移的趋势。2018年平均每月截获的Android平台的恶意软件样本为434.2万个，平均每天新增加12000个，每年以20％的速度在增加，人们对于手机安全的需求也变得更加迫切。根据当前现存检测方法的总结，其存在的问题如下：(1)可实际应用的检测时间较长，否则无法对Android端的应用进行实时监控，一些现有的静态检测方案只能进行离线检测，(2)无法应对代码混淆，部分恶意软件通过代码加密，混淆等顺利绕过静态检测系统，(3)误报率和漏报率偏高，现有的静态检测因为使用特征规则匹配的方法，所以大部分能够处理已知家族的样本，而对于未知的家族样本，因特征未知，而无法处理，(4)不能解决单个病毒的多恶意家族行为检测问题，病毒的恶意行为往往并不单一，但是检测引擎的检测结果往往却是单一的，例如：一个病毒在运行时不但利用Android提升权限，防止被卸载，又在后台偷取用户的私人信息，该病毒既是后门，又是木马，而病毒检测引擎检测下来的结果往往只能包含其中的一个。

静态分析的最常见的做法是做离线的逆向工程，这种离线逆向工程的虽然用较低的消耗获得了较高高代码覆盖率，但该方法缺乏运行中的上下文，并且近几年，攻击者为了避免被该方法检测到，采用了一些新颖的方法，例如加密，代码混淆处理，动态代码载入等等，导致传统的静态分析方法的应用范围越来越小，检测的准确度越来越低。为了解决传统静态检测方法所遇到的一系列问题有必要提出全新的Android病毒静态检测方法。

发明内容

本发明要解决的技术问题是：

本发明为了解决现有的Android病毒静态检测方法存在可实际应用的检测时间较长、无法应对代码混淆、误报率和漏报率偏高、不能解决单个病毒的多恶意家族行为检测的问题，进而提供了一种基于深度学习的Android病毒静态检测方法。

本发明解决上述技术问题所采用的技术方案为：

一种基于深度学习的Android病毒静态检测方法，所述方法的实现过程：

(1)从用户的Android端获取广义权限序列；将每个权限映射为单词，将提取出的权限序列映射为文本中的句子，得到Android平台的应用APK的权限序列；

(2)将获取的权限序列作为黑白二分类模型的输入，将得到Android平台的应用APK的权限序列提取出来，作为分类模型的输入；

(3)如二分类结果为良性软件则直接返回给用户，如果检测的结果为恶意软件，则将它的权限序列再作为家族分类模型的输入；

(4)最终从家族检测模型中获取到预测的病毒家族种类，并返回给用户，检测结束。

进一步地，所述黑白二分类模型的结构为改进的经典的TextCnn模型，最后的输出层具有两个输出的softmax，TextCnn模型中包含多个卷积核；将输入矩阵和滤波矩阵做内积。