[发明专利]一种基于对抗式网络的物联网Android恶意软件检测方法

权利要求书

1.一种基于对抗式网络的物联网Android恶意软件检测方法，其特征在于，

包括如下步骤：

S1.原始数据集的获取；

S2.对原始数据集进行处理，从获取的原始RAM数据对数据进行处理整合；

S3.对数据进行标签标定，并对数据进行处理转换为图像数据，将处理好的数据进行划分，选用在恶意软件安装后几分钟内捕捉的内存数据，提取出对应的PID以及特征值，对数据进行清洗，去掉捕捉不完全的数据，并将提取出来的特征值转化成图像，并对图像进行标定，将处理好的数据进行划分，按照3：7的比例划分为测试集和训练集；

S4.训练和测试得到基础检测模型，利用处理好的测试集和训练集，对构建的残差网络模型进行训练和测试，使用卷积神经网络从原始RAM数据中获取整合信息，基于获取的进程ID和其他相关内存特征转化成灰度图像的形式来训练卷积神经网络得到基础检测模型，并得到测试结果；

S5.数据扩充和基础检测模型鲁棒性测试，使用生成式对抗网络对数据进行扩展，它由生成网络和判别网络两部分组成，使用生成式对抗网络进行对抗训练100轮，选取每轮中测试准确率在95％以上的生成图片，利用生成的图片对原有基础检测模型进行鲁棒性测试得到测试结果；

S6.进行二次训练并测试，利用上一步骤中生成的图片与原有的图片进行随机混合，将混合后的数据重新按照3：7的比例划分测试集和训练集，将划分好的训练集和测试集对基础检测模型进行二次训练，得到测试结果，并将训练后的模型进行保存，得到恶意软件分类模型；

所述的原始数据集获取的方法是采用转化程序和开源工具对文本进行分词提取，并且对提取的数据进行标签标定；然后将提取并标定的数据转换为向量进行转置之后生成灰度图像，将由开源工具对内存数据中的PID和相关的特征值生成的灰度图像进行锐化并采用卷积神经网络中的残差网络对数据训练和测试得到基础检测模型。

2.根据权利要求1所述基于对抗式网络的物联网Android恶意软件检测方法，其特征在于，步骤S3中在原始数据的基础上利用文本提取的方式，从内存数据中对数据进行清洗，去掉捕捉不完全的数据，并将提取出来的特征值进行标定转化成图像，考虑到特征值的数量，最终把数据转化成28*28大小的图像。