[发明专利]一种移动互联网恶意软件检测的方法及系统

说明书

本发明公开了一种移动互联网恶意软件检测的方法及系统，其中，一种移动互联网恶意软件检测的系统，包括获取模块、预处理模块、序列生成模块、序列发送模块、向量化模块、恶意软件检测模块、恶意代码定位模块、确定模块、可视化参数配置模块、参数绘制模块和图像生成模块，所述获取模块、预处理模块、序列生成模块、序列发送模块、向量化模块、恶意软件检测模块、恶意代码定位模块、确定模块、可视化参数配置模块、参数绘制模块和图像生成模块依次连接。本发明解决了恶意软件检测过程对用户的透明性问题，用户可以通过这种可视化方法看到具体的恶意软件，可以有效地进行恶意软件的检测，避免了人工选择特征的难度。

技术领域

本发明涉及软件检测技术领域，尤其涉及一种移动互联网恶意软件检测的方法及系统。

背景技术

如今，安卓恶意软件日趋猖狂，对用户造成各种危害的恶意应用层出不穷。现在对恶意应用的检测主要分为三大主流方向。第一种是基于静态代码扫描的方式。它需要维持一个恶意的代码库，因为它是将待检测应用的所有代码与恶意库里面的恶意代码片段进行比对，一旦比对成功就认为此应用为恶意应用。第二种是基于动态系统调用的方法。它深入到安卓应用的内部，观察应用在运行时的函数调用情况。第三种是基于网络流量的检测方法，它是从安卓应用产生的流量角度考虑，探索恶意流量的特征进行恶意流量的识别，通过将恶意流量与应用联系起来进而检测出恶意应用。

然而，这三种方法都存在着不足之处，静态检测的恶意代码库需要不断更新，很难发现新产生的恶意应用；动态检测方法部署起来十分困难，甚至要更改安卓系统内核，工程繁杂并且消耗大量资源；流量检测的方法是最近比较受关注的一种方法，这种方法一般与机器学习算法结合，只需要向算法提供大量的恶意流量特征和正常流量特征，它就能自动地训练出一个区分正常流量和恶意流量的模型。然而大部分的流量监测方法都需要人为挑选能够区分正常和恶意的特征，特征的选择很困难。同时这些检测方法都仅仅是提供了最终的检测结果，即待测的流量是正常的或者是恶意的，对于这种决策是如何做出的，哪些特征表明它是恶意的都没有明确的指示，所以这个结果对于用户来说很难具有很强的说服力。

发明内容

基于背景技术存在的技术问题，本发明提出了一种移动互联网恶意软件检测的方法及系统。

本发明提出的一种移动互联网恶意软件检测的系统，包括获取模块、预处理模块、序列生成模块、序列发送模块、向量化模块、恶意软件检测模块、恶意代码定位模块、确定模块、可视化参数配置模块、参数绘制模块和图像生成模块，所述获取模块、预处理模块、序列生成模块、序列发送模块、向量化模块、恶意软件检测模块、恶意代码定位模块、确定模块、可视化参数配置模块、参数绘制模块和图像生成模块依次连接。

优选的，所述获取模块用于获取移动互联网中的未运行的软件代码，并将未运行的软件代码发送至预处理模块中，预处理模块用于拆解待测软件程序的APK包，获取待测软件程序的基本信息、方法集合以及系统API集合。

优选的，所述序列生成模块用于以预处理模块生成的方法集合为输入，通过对方法集合中根方法的深度优先遍历获取数字编号型API序列，数字编号型API序列通过序列发送模块发送至向量化模块中。

优选的，所述向量化模块用于构建包含字符形式与分布式向量形式映射关系的API映射表，实现对API序列中每个成员语义表达力的扩展。

优选的，所述恶意软件检测模块，采用基于双向LSTM的深度学习模型进行训练和测试得到分类器，用于检测软件应用程序是否为恶意程序。

优选的，所述恶意代码定位模块，用于对分类器判定出的恶意程序进行分析，生成分析报告并输出。

优选的，所述确定模块用于确定恶意软件检测模块中的恶意程序确定为恶意软件。