[发明专利]基于双通道卷积神经网络的恶意软件分类方法及系统

说明书

本发明公开了一种基于双通道卷积神经网络的恶意软件分类方法及系统，系统包括：训练样本处理模块和操作码提取模块，用于对训练样本进行反编译，得到应用程序的操作码序列；API特征提取模块，用于获得训练样本的敏感API特征；双通道卷积神经网络训练模块，使用操作码序列和敏感API特征序列训练并得到输出为准确度的双通道卷积神经网络；准确度判断模块和检测模块，用于判断双通道卷积神经网络输出的准确度是否达到设定值，并在达到设定值时对待识别软件进行检测；概率输出模块，输出待识别软件为恶意软件的概率值。本发明结合了应用程序的操作码序列和敏感API特征检测的优势，在准确度以及数据处理方面都有很大的提升。

技术领域

本发明涉及恶意软件检测领域，具体涉及一种基于双通道卷积神经网络的恶意软件分类方法及系统。

背景技术

随着科学技术的发展，恶意软件的种类以及复杂度越来越高，对恶意软件的识别也越来越具有难度，尤其是在移动领域平台。鉴于移动设备和手机应用商店的快速增长。新应用程序的数量太大而无法手动检查每个程序的恶意行为。恶意软件检测传统基于手动检测已知恶意软件行为或编码来手动设计恶意软件签名，这个过程难以检测大量应用程序。

现阶段主流的的检测方法有两种，第一种是获取训练样本，训练样本为已知类型的软件的执行程序，对训练样本反编译和编号处理，得到训练样本处理后的源代码，并进行处理；第二种是采用卷积神经网络来对操作码进行分析处理，以达到识别恶意软件的目的。目前这两种方法都存在着识别准确度不太理想，操作繁琐，数据量大的缺点。

发明内容

为了解决现有技术问题，本发明提供一种基于双通道卷积神经网络的恶意软件分类方法及系统，通过对应用程序的原始操作码序列和敏感API特征进行综合分析，结合了两项特征检测的优势，在准确度以及数据处理方面都有很大的提升，克服了同种类恶意软件代码其他方法的一些缺点。

在数据处理上，采用两个卷积神经网络分别对应用程序的原始操作码序列和敏感API特征进行处理，最后赋予权重输出应用程序为恶意软件的概率值。

为解决上述技术问题，本发明所采取的技术方案是：

一种基于双通道卷积神经网络的恶意软件分类方法，包括以下步骤：

S1：对训练样本的源代码进行反编译，并提取训练样本的操作码序列；

S2：将反编译得到的操作码序列进行预处理；

S3：获得训练样本的敏感API特征；

S4：构建双通道卷积神经网络框架；将预处理后的操作码序列和敏感API特征分别输入双通道卷积神经网络的两个通道，对双通道卷积神经网络进行迭代训练；

S5：根据双通道卷积神经网络输出的恶意概率或非恶意概率的准确度是否达到设定值进行如下操作：

如达到设定值，则停止训练双通道卷积神经网络，采用训练好的双通道卷积神经网络对待识别软件进行识别，并输出待识别软件为恶意软件的概率值；

如未达到设定值，则根据双通道卷积神经网络输出的恶意概率或非恶意概率的准确度调整训练过程中各层神经元权重，继续双通道训练卷积神经网络。

进一步的，所述步骤S1的具体方法为：利用apktool工具对应用程序的apk文件进行反编译，得到smali文件；或者，得到应用程序文件集，将所有classes.dex文件反编译成smali文件；在smali文件中，每一个文件对应源代码中的一个类，每个类由多个方法组成，每一个方法包含若干行Dalvik字节码；Dalvik字节码由操作码和操作数组成，舍弃Dalvik字节码的操作数，提取常见操作码，构成每个方法的操作码序列。

进一步的，所述步骤S2的具体方法为：将反编译得到的操作码序列根据Dalvik代码表进行编号处理。