[发明专利]一种Android恶意软件检测方法

说明书

本发明公开了一种结合权限和API调用序列特征的Android恶意软件检测方法。本发明提出分别采用随机森林和卷积神经网络模型训练分类器，最后通过线性结合的方法计算最终的预测结果。本发明利用词嵌入技术（Skip‑gram）表示每个API，在降低表示向量维度的同时保留了API之间的语义信息，使得CNN模型可以捕获丰富的n‑gram特征；分别训练了两个分类器，并使用线性组合的方法综合得到最后的预测结果能够提高恶意软件检测的准确性。

技术领域

本发明涉及Android平台上恶意代码检测研究领域，尤其涉及一种结合权限和API调用序列特征的Android恶意软件检测方法。

背景技术

近些年来，随着移动设备的快速发展，移动应用软件在人们生活和工作中起到了越来越重要的作用。通常，用户期望使用的应用是安全的、可靠的，然而在种类繁多的应用软件中充斥着大量的恶意软件，不断威胁着用户的信息安全。恶意软件(俗称“流氓软件”)是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。在2017年第一季度，G DATA研究人员发现了大约750,000个新的恶意软件。同样地，卡巴斯基官方报告显示，在2020年第一季度已检测出1,152,662个恶意软件安装包，同比上一年新增171,669个。因此，对于恶意软件的有效检测是恶意代码检测研究领域中的重要研究问题。

通常来说，恶意软件检测技术主要可以分为静态检测和动态检测这两类技术。静态检测技术是指在不运行代码的情况下，利用反编译技术，和代码控制流图分析、数据流分析等方法对软件代码进行检测。该方法具有安全性高、检测速度快、代码覆盖率高等优点，但检测的准确度较低。动态检测技术是指通过运行代码，并记录代码运行过程中的一系列程序行为，如函数调用顺序、文件访问、网络使用等等，并利用这些信息对软件代码进行检测。与静态检测技术相比，该方法优势在于检测恶意软件的准确度较高，但存在代码覆盖率低、检测效率低等缺点。

发明内容

为了克服现有技术的不足，本发明提供一种结合权限和API调用序列特征的Android恶意软件检测方法，可有效解决上述问题。

本发明具体采用的技术方案如下：

步骤(1)给定n个Android应用软件安装包(apk)集合A＝(A₁,A₂,…A_n),将其中每个apk表示成A_i＝apkId,mainfest,dex,lable,i＝1,2…n，其中apkId表示apk编号，mainfest表示apk中的清单文件(包含应用程序的配置信息)，dex表示apk中的.dex后缀文件(包含应用程序中所有的代码)，label表示apk的类别，即恶意的或非恶意的。

步骤(2)对每个apk进行特征抽取。

首先，从mainfest文件中抽取所有的请求的权限信息，记作permission＝per₁,per₂,…per_k，其中k表示该apk请求权限的个数；然后，利用Androguard逆向工程工具反编译dex文件，识别每个指令代码并抽取所有的API调用序列，记作sequence＝API₁,API₂,…API_m,每个API表示成API_j＝packageName,className,functionName,j＝1,2,…m，其中packageName表示该API的包名，className表示该API的类名，functionName表示该API的函数名。通过特征抽取后，每个apk可以进一步表示为A_i＝apkId,permission,sequence,lable,i＝1,2…n。

步骤(3)对于permission和sequence进行预处理。