[发明专利]图嵌入与深度神经网络相融合的安卓恶意软件检测方法

权利要求书

1.一种图嵌入与深度神经网络相融合的安卓恶意软件检测方法，其特征在于：包括以下步骤：

步骤一、获取待检测软件；

步骤二、从所述软件中提取类调用图；在提取所述类调用图的同时，统计样本中所有类被调用的频率，根据频率特征从大到小对每个类进行编号，出现次数越多的类编号越小，将编号作为所述类调用图的图嵌入算法节点特征之一；

步骤三、使用图嵌入算法将所述类调用图转换为低维向量；

步骤四、将低维向量输入经训练的深度神经网络进行二分类得到所述软件是恶意或良性检测结果。

2.根据权利要求1所述的方法，其特征在于，所述图嵌入算法为整图嵌入。

3.根据权利要求2所述的方法，其特征在于，所述图嵌入算法采用Graph2Vec方法。

4.根据权利要求3所述的方法，其特征在于，所述图嵌入算法输出的向量维度为128维。

5.根据权利要求1所述的方法，其特征在于，所述经训练的深度神经网络的训练过程如下：

一、从多源收集大量软件样本；

二、对所述样本去重得到无重复的软件样本集；

三、从所述软件中提取类调用图、构建类编码词典；

四、使用图嵌入算法将所述类调用图转换为低维向量，所述类编码作为图嵌入算法节点特征之一；

五、将低维向量作为输入，样本真实的恶意或良性类别作为结果对比对所述深度神经网络进行训练。

6.根据权利要求5所述的方法，其特征在于，所述去重通过校验所述样本的MD5码实现。

7.根据权利要求5所述的方法，其特征在于，所述类编码词典构建过程为：统计所述软件样本集中所有类被调用的频率，根据频率特征从大到小对每个类进行编号，出现次数越多的类编号越小。

8.根据权利要求1-7任一所述的方法，其特征在于，所述神经网络采用4层结构，1层输入层，2层隐藏层，1层输出层。

9.根据权利要求8所述的方法，其特征在于，所述输入层神经元个数与所述低维向量维度相同，所述输出层神经元个数为2，2层隐藏层节点神经元个数分别为102和58。