[发明专利]基于动态行为序列和深度学习的恶意行为实时检测系统

说明书

本发明属于移动安全技术领域，具体为一种基于动态行为序列和深度学习的恶意软件实时检测系统，本发明系统包括两个核心模块：应用动态行为实时采集子系统和应用行为实时判别子系统，应用动态行为实时采集子系统用于持续、可靠地记录应用所调用的框架层函数调用接口与和内核层系统调用序列，以表征应用所产生的行为；为应用行为判别子系统提供行为判别依据；应用行为实时判别子系统利用深度学习技术探索行为序列信息内在联系，使用机器学习模型对上述调用序列进行即时判别，以高效准确地识别出应用中的恶意行为。系统还包括数据处理模块和数据通信模块，用来协助两个核心模块的运行。本发明可有效缓解移动系统生态面临的安全问题与威胁。

技术领域

本发明属于移动安全技术领域，具体涉及基于动态行为序列和深度学习的恶意行为实时检测系统。

背景技术

当前移动设备安全威胁与日俱增。智能手机在为工作与生活带来巨大便利的同时，也潜藏着众多安全隐患。智能手机作为当前用户规模最大、增长速度最快的移动终端，已经成为移动安全领域最主要的攻击对象和威胁来源。安卓平台近年来恶意软件持续涌现，恶意行为类型多样化，安全威胁渠道复杂化，移动黑色产业规模化，千万级人次受恶意软件影响，造成巨大的经济损失和安全隐患，移动系统生态安全问题迫在眉睫。

传统基于静态特征签名匹配的检测方案存在不足。传统的基于静态特征签名匹配的恶意软件检测方法主要通过逆向分析技术对恶意应用进行分析，提取关键静态特征并上传至云端特征库，通过移动端应用特征与云端特征库匹配的方式对恶意软件进行检测。该方案存在以下劣势：1.响应周期长，用户需要及时更新特征库。2.恶意软件分析成本高，恶意应用开发者使用加壳、混淆、动态加载等分析对抗技术增加恶意样本分析难度。3.恶意应用特征易被修改，变种恶意应用轻松逃逸基于特征匹配的检测。

基于动态应用行为感知的检测方案面临挑战。基于动态应用行为感知的检测方案有效的解决了传统基于静态方案的存在的问题。基于动态应用行为感知的检测方案存在以下优点：1.基于应用行为进行检测，全面防止对抗逃逸。2.能够实时检测应用行为，响应及时。3.不依赖于特征库，能够有效针对变种样本。然而这个方法也面临诸多挑战。1.应用行为感知建模困难，应用依赖于调用系统提供的接口实现其应用行为，然而安卓系统向开发者提供API调用接口数量庞大，从大量API中选出合适的API进行行为建模非常困难。2.行为捕获困难，恶意软件开发者常使用动态加载和反射调用等方式绕过一些关键API调用监控，影响动态行为的感知。3.在移动端基于动态行为对应用恶意意图进行准确识别也是一项挑战。基于上述内容，移动端需要一种能够对应用行为进行合理采集，并有效识别应用动态行为的恶意软件实时检测方案。

深度学习在移动端快速发展，为恶意应用动态检测提供技术支持。深度学习技术通过构建复杂的神经网络结构学习样本的内在规律和表示层次，并在大数据、复杂数据的分析问题中取得良好的效果。近年来移动设备推广和软硬件的发展，使得深度学习技术在移动端的应用逐渐成为可能。如Apple、Google、Facebook 等公司推出了移动端深度学习软件框架；而寒武纪、华为等也推出了专为机器学习任务设计的移动智能芯片来提供硬件支持。深度学习技术在移动端的部署将有效解决移动平台中的复杂问题，对上述移动端恶意软件实时检测方案的可行性提供有力保证。

发明内容

本发明的目的是为移动平台提供一种基于动态行为序列和深度学习的恶意软件实时检测系统，以缓解移动系统生态面临的安全问题与威胁。

本发明包括：对应用行为即API调用和系统调用关系进行分析与建模，选取可以描述应用行为的关键调用；监控应用运行时的关键调用序列以捕获应用运行时行为信息；利用深度学习技术对应用行为进行动态识别，完成移动端恶意行为的实时检测，为移动安全问题提供有效的解决方案。