[发明专利]基于操作码图的安卓恶意软件检测方法

说明书

本发明公开了一种基于操作码图的安卓恶意软件检测方法，包括以下内容：从安卓平台中收集良性和恶意应用集合；对安卓应用进行反编译从而获取操作码序列集合；分析虚拟机中定义的多种操作码，并将这些操作码的特征进行向量化表示构建操作码图中节点的特征向量；利用2‑gram模型对操作码序列进行处理形成共现操作码对构建操作码图的边，计算共现操作码对出现频数，并对矩阵行进行标准化形成共现矩阵从而构建操作码图的边权重；利用改进后的深度图卷积网络对该操作码图进行有监督学习实现安卓恶意软件的检测。本发明利用操作码图从代码层面对安卓应用程序进行表示，具有较好的说服性，并在安卓恶意软件检测方面取得了较好的准确率。

技术领域

本发明属于移动平台信息安全领域，特别是一种基于操作码图的安卓恶意软件检测方法。

背景技术

目前，Android平台的恶意软件检测主要的检测方法分为静态分析和动态分析。在静态分析中，分析应用程序本身的数据而不运行应用程序。静态分析通常提取和分析应用程序中的签名、权限请求、应用程序编程接口(API)调用、操作码序列和控制流。在动态分析中，给定的Android应用程序在虚拟环境中执行，例如虚拟机或沙箱，以模拟它在设备上实际运行的方式，并分析运行的进程或进程中的动态数据。常用的动态分析包括动态染色分析和网络流量分析。静态分析简单而快速，并且不需要额外的虚拟环境，它适用于大量应用程序的快速检测，但容易受到代码混淆等技术的影响。动态分析可以有效地抵抗重新打包和代码混淆等技术，但它也需要虚拟环境来模拟应用程序的实际执行，并且在分析过程中消耗大量的计算资源。操作码序列是从应用程序的反编译文件中提取的，操作码序列通常很长。虽然恶意软件的操作码维数小于良性软件的公共样本，但利用目前主流的机器学习和深度学习方法直接分析和研究操作码序列，很难获得非常好的结果。因此，基于操作码序列的恶意软件静态分析仍然是一个具有挑战性的问题。

发明内容

本发明的目的在于提供一种基于操作码图的安卓恶意软件检测方法。

实现本发明目的的技术解决方案为：一种基于操作码图的安卓恶意软件检测方法，包括以下步骤：

步骤1、构建应用数据集：从安卓平台中下载良性应用构成良性软件集合，下载恶意应用构成恶意软件集合，从而构建实验所用的应用数据集；

步骤2、提取操作码序列：使用反编译工具apktool对安卓应用软件进行反编译，并从反汇编文件smail中提取操作码序列；

步骤3、操作码特征向量化：利用操作码指令自身的先验知识特征构建初始的操作码特征向量；再与操作码在良性样本数据集和恶意样本数据集中各自的词频特征相结合，构造最终的操作码节点特征向量；

步骤4、建立操作码图：将每个样本的操作码序列中的每个非重复操作码作为操作码图中的一个节点，并利用2-gram模型和操作码序列对构建操作码图的边，其中边的权值为对应的2-gram操作码对的计数概率；

步骤5、应用程序检测：将构建好的操作码图作为输入，利用改进后的DGCNN模型进行学习，得出应用软件的检测结果：良性或恶意。

本发明与现有技术相比，其显著优点为：1)将操作码指令自身的先验知识特征与操作码在良性样本数据集和恶意样本数据集中的词频特征相结合，构造操作码节点的特征向量，结合了操作码自身的特性，较好地对操作码进行向量化表示；2)利用关联计数概率作为边的权值，提高操作码图的鲁棒性；3)构建操作码图，采用改进后的DGCNN模型进行安卓恶意软件的检测，得出了较好的检测结果。

附图说明

图1为本发明基于操作码图的安卓恶意软件检测方法的流程图。

图2为本发明操作码特征向量构造示意图。

图3为本发明操作码图邻接矩阵构建示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步详细描述。