[发明专利]基于异质网络的安卓恶意应用检测方法及系统

说明书

本发明实施例提供一种基于异质网络的安卓恶意应用检测方法及系统，该方法包括：根据安卓应用安装包中的内容特征和关系特征，构建代码团关系异质网络；根据随机游走算法和预设元路径，获取所述代码团关系异质网络中的节点上下文，并根据所述节点上下文，得到图嵌入矩阵；将所述图嵌入矩阵输入到训练好的安卓应用检测模型，得到所述安卓应用安装包的应用检测结果，其中，所述训练好的安卓应用检测模型是通过样本图嵌入矩阵，对卷积神经网络进行训练得到的。本发明实施例使得安卓应用检测更加全面，检测结果更加准确，提高了安卓应用检测效率。

技术领域

本发明涉及安卓系统技术领域，尤其涉及一种基于异质网络的安卓恶意应用检测方法及系统。

背景技术

得益于便携性和不断丰富的功能，智能手机在人们的日常生活中早已无处不在。2019年，随着5G手机的发布以及厂商加速清理旧设备库存，运行安卓操作系统的智能手机市场占比进一步上涨到87％。但也由于巨大的市场份额和生态系统的开放性，安卓智能手机一直遭受着大量的恶意攻击，主要包括隐私窃取和资费消耗等类型，因此对安卓恶意应用检测工作的研究是目前网络空间安全的重点。

现有的检测方法分为静态检测方法、动态检测方法和混合检测方法三类，其中，静态检测方法是当前最主流的检测方法，静态检测方法的检测对象，主要是应用源代码或者反编译后的代码，也是发展时间最长，最广泛使用的方法，它的发展可分为基于特征值和规则，基于传统机器学习以及基于深度学习三个阶段；动态检测是指在应用程序运行过程中监控其行为特征，对实时性和运行环境要求较高，耗时更长，动态方法是基于行为的方法，研究对象主要是运行时应用的行为及记录；混合检测方法主要是将静态特征和动态特征混合使用，也包括一些如元数据特征的其他特征，混合检测与动态检测的重要区别就是前者的特征工程工作会注重到所有类型的特征，从安卓应用程序的安装文件到应用运行时的行为。

然而，现有的检测方法还存不足之处，即当前的特征提取方式普遍存在缺乏纯度或者缺失(主要为缺乏相互关系)，其中，缺乏纯度主要表现为：现有的安卓恶意应用检测工作，分析过程中大多存在噪音代码(多个应用间共享且无安全威胁的模块，如第三方共享库)的影响，导致了分析的恶意应用的纯度不够，进而影响检测效果；缺失主要表现为：现有的检测方法忽略了应用之间的关系信息，例如，调用相同敏感的应用程序接口(Application Programming Interface，简称API)、拥有同一开发者的签名和具有重复代码等，导致缺乏应用之间的深层语义表征，从而影响检测效果。因此，现在亟需一种基于异质网络的安卓恶意应用检测方法及系统来解决上述问题。

发明内容

针对现有技术存在的问题，本发明实施例提供一种基于异质网络的安卓恶意应用检测方法及系统。

第一方面，本发明实施例提供了一种基于异质网络的安卓恶意应用检测方法，包括：

根据安卓应用安装包中的内容特征和关系特征，构建代码团关系异质网络；

根据随机游走算法和预设元路径，获取所述代码团关系异质网络中的节点上下文，并根据所述节点上下文，得到图嵌入矩阵；

将所述图嵌入矩阵输入到训练好的安卓应用检测模型，得到所述安卓应用安装包的应用检测结果，其中，所述训练好的安卓应用检测模型是通过样本图嵌入矩阵，对卷积神经网络进行训练得到的。

进一步地，所述内容特征包括代码包、包名、应用程序接口和签名；所述关系特征包括代码包调用关系信息、包名归属信息和签名归属信息。

进一步地，所述根据安卓应用安装包中的内容特征和关系特征，构建代码团关系异质网络，包括：

将所述内容特征作为节点，并通过所述关系特征作为边对所述节点进行连接，构建得到代码团关系异质网络。

进一步地，所述根据所述节点上下文，得到图嵌入矩阵，包括：