[发明专利]基于层级DoI-RNNs模型的安卓恶意软件动态检测方法

权利要求书

1.基于层级DoI-RNNs模型的安卓恶意软件动态检测方法，其特征在于，包括如下步骤：

步骤一、利用若干安卓软件的运行时特征，训练基于层级DoI-RNNs模型的分类器，建立基于层级DoI-RNNs模型的安卓恶意软件动态检测方法的训练模型；

1)输入数据：输入安卓软件的各个时刻的运行时特征，data＝＜x₁，x₂，......，x_t＞和＜y₁，y₂，......，y_t＞；用于建立训练数据集、验证数据及和测试数据集；

其中，x₁，y₁分别表示安卓软件时刻1的运行时特征，x₂，y₂分别表示安卓软件时刻2的运行时特征、……、x_t，y_t分别表示安卓软件时刻t的运行时特征；

2)输入标签true_label＝1(malicious)或0(normal)；

3)针对时序特征x₁，x₂，......，x_t，y₁，y₂，......，y_t，分别计算时间步1-t的x₁至x_t的导数y₁-y_t的导数

4)针对时序特征x₁，x₂，......，x_t，y₁，y₂，......，y_t分别计算时间步1-t的重置门r_t、计算时间步1-t的更新门u_t、计算时间步1-t的候选隐藏状态计算时间步1-t的隐藏状态h_t；

5)针对时序特征x₁，x₂，......，x_t，y₁，y₂，......，y_t分别计算注意力层输出：output_x＝attention(h₁，h₂，.......，h_t)，output_y＝attention(h₁，h₂，......，h_t)；

6)双向循环层输出h_t＝bi_rnn(output_x，output_y)，通过正向循环层和反向循环层的隐藏状态输出合并成为双向循环层的隐藏状态输出；

7)整合注意力层输出：output＝attention(h₁，h₂，......，h_t)；

8)输出预测标签，利用softmax函数将数值类型的输出转换成为概率类型的输出；

9)if train＝＝true取validation＝＝true继续训练；

10)针对预测标签与真实标签结果执行代价函数运算；

11)梯度更新，生成训练模型；

针对训练数据集及验证数据集中的数据循环执行步骤2)至步骤11)，直至训练模型趋于稳定。

步骤二、将测试数据集的数据输入到步骤一建立的训练模型内，通过预测标签的结果进行判定，若预测标签≈1，则为安卓恶意软件；预测标签＝0，则为安卓正常软件。

2.根据权利要求1所述的基于DoI-RNNs的安卓恶意软件动态检测，其特征在于，所述步骤一3)中，的计算公式为：

一阶差分的计算公式如下所示：

二阶差分的计算公式如下所示：

高阶差分的计算公式同理上述方式。

3.根据权利要求1所述的基于DoI-RNNs的安卓恶意软件动态检测，其特征在于，所述步骤一4)中，重置门r_t、更新门u_t、候选隐藏状态隐藏状态h_t；

公式如下：

其中，表示时间步t的输入x_t的n阶导数d⁽ⁿ⁾x_t/dt⁽ⁿ⁾的权重，W_hr表示时间步t-1的隐藏状态h_t-1的权重，b_r表示时间步t的重置门r_t的偏置；表示时间步t的输入x_t的n阶导数d⁽ⁿ⁾x_t/dt⁽ⁿ⁾的权重，W_hu表示时间步t-1的隐藏状态h_t-1的权重，b_u表示时间步t的更新门u_t的偏置；W_xh表示时间步t的输入x_t的权重，W_hh表示时间步t-1的隐藏状态h_t-1的权重，b_h表示时间步t的候选隐藏状态的偏置。