[发明专利]图嵌入与深度神经网络相融合的安卓恶意软件检测方法

说明书

本发明涉及一种图嵌入与深度神经网络相融合的安卓恶意软件检测方法，属于人工智能与恶意软件检测技术领域。本发明从Android程序中提取出类调用图作为特征，通过图嵌入方法与深度神经网络结合的方式，建立了一个包含4万余App的大规模数据集，将调用图转换为特征向量，训练深度神经网络进行预测分类。实验结果显示，本发明提出的图嵌入与深度神经网络相融合的安卓恶意软件检测方法的准确率达到97.7％，查准率达到96.6％，查全率达到96.8％，F1分数达到96.4％，优于现有的MaMaDroid检测模型及图嵌入模型。

技术领域

本发明涉及一种恶意软件检测方法，特别涉及一种图嵌入与深度神经网络相融合的安卓恶意软件检测方法，属于人工智能与恶意软件检测技术领域。

背景技术

根据IDC的报道，由于COVID-19的影响，世界各地的消费者正将他们外出旅行、聚餐和其他休闲活动的经费转移到电子消费上，2021年5G智能手机的出货量预计增长36％[1]。手机早已不仅仅只有打电话、发短信等基本功能，聊天、购物、转账、刷公交卡、打游戏、看视频、看文档资料、收发邮件等各种各样的功能都可以通过智能手机完成。由于智能手机便携性这一得天独厚的优势，人们将原来只能用PC完成的事务逐渐转移到智能手机上完成，人们在手机上花费的时间也越来越长。Android操作系统以其良好的用户体验和较高的开源性得到了众多使用者、手机生产商、软件开发者的青睐，成为市场中主流的智能手机操作系统之一。

Android操作系统因为其流行性和开源性，使得恶意软件开发人员将目光聚集于此。随着Android恶意软件数量的迅猛增长，越来越多的学者们将注意力转移到Android恶意软件的检测上。传统的恶意软件检测出方法需要维护规模庞大的特征匹配库，而且无法有效的检测零日攻击。为了解决这些问题，基于机器学习与深度学习的检测方法被逐渐应用到恶意软件的检测当中，取得了很好的检测防范效果，但仍不理想。

发明内容

本发明的目的是为了克服已有技术的缺陷，为了解决安卓恶意软件检测的问题，提出一种图嵌入与深度神经网络相融合的安卓恶意软件检测方法。

本发明的目的是通过以下技术方案实现的。

一种图嵌入与深度神经网络相融合的安卓恶意软件检测方法，包括以下步骤：

步骤一、获取待检测软件；

步骤二、从所述软件中提取类调用图、控制流图或数据流图；

步骤三、使用图嵌入算法将所述图转换为低维向量；

步骤四、将低维向量输入经训练的深度神经网络进行二分类得到所述软件是恶意或良性检测结果。

作为优选，所述图嵌入算法为整图嵌入。

作为优选，所述图嵌入算法采用Graph2Vec方法。

作为优选，所述图嵌入算法输出的向量维度为128维。

作为优选，所述经训练的深度神经网络的训练过程如下：

一、从多源收集大量所述软件样本；

二、对所述样本去重得到无重复的软件样本集；

三、从所述软件中提取类调用图、构建类编码词典；

四、使用图嵌入算法将所述类调用图转换为低维向量，所述类编码作为图嵌入算法节点特征之一；

五、将低维向量作为输入，样本真实的恶意或良性类别作为结果对比对所述深度神经网络进行训练。

作为优选，所述去重通过校验所述样本的MD5码实现。

作为优选，所述类编码词典构建过程为：统计所述软件样本集中所有类被调用的频率，根据频率特征从大到小对每个类进行编号，出现次数越多的类编号越小。