[发明专利]面向概念漂移的可解释Android恶意软件检测方法

说明书

本发明公开了一种面向概念漂移的可解释Android恶意软件检测方法，属于信息安全技术领域，包括通过人工Android恶意软件分析报告引入检测特征，基于自动化机器学习算法与可解释算法改进传统的特征包装，并融合同分布检验与迁移学习算法。本发明提高了Android恶意软件检测模型的可解释性，有利于逆向分析人员人工验证检测模型，降低了概念漂移问题对检测模型准确率影响，有利于检测模型低代价的长时间维持高准确率，用于Android恶意应用软件的检测与分析中。

技术领域

本发明涉及信息安全技术领域，尤其是一种面向概念漂移的可解释Android恶意软件检测方法。

背景技术

2021年第1季度，360互联网安全中心截获移动端新增恶意程序样本约206.5万个，比2020年同期增长426.5%，造成人均经济损失14611元。截止至2021年4月，相较于iOS操作系统，Android操作系统占据中国移动端市场76.91%，且Android开放平台的应用软件生态，使其更易受到恶意软件威胁。

现有的Android恶意软件检测技术分为基于特征码的检测技术、基于机器学习的静态检测技术、基于机器学习的应用行为检测技术三大类。Android系统的沙盒机制，使非定制系统中的应用动态行为监控较为困难。基于机器学习的静态检测技术因其对未知恶意软件检测准确率高、对设备硬件要求低等优点成为主流的Android恶意软件检测方法。

但基于机器学习的静态检测技术存在的3个主要问题如下：

1、应用市场中请求敏感权限的应用比例正在下降，部分恶意应用能在不申请新权限的基础上完成攻击。单一的权限特征，或无逻辑引入的特征组合不足以表征恶意软件。

2、黑盒的机器学习算法获得越来越高准确率的同时，恶意应用检测对模型的可解释性与透明性要求越来越高。Android恶意软件逆向人员需要模型提供决策依据，以促进人工分析或判断模型决策的合理性。

3、Android系统版本的高频率更新导致以各版本软件开发工具包为基础开发的Android应用均拥有一定市场占有率。而由于概念漂移现象，以大量样本为代价训练得到的机器学习模型在对不同时期Android恶意软件的检测上表现较差。

发明内容

本发明需要解决的技术问题是提供一种面向概念漂移的可解释Android恶意软件检测方法，提高Android恶意软件检测模型的可解释性，降低概念漂移问题对检测模型准确率的影响。

为解决上述技术问题，本发明所采用的技术方案是：

一种面向概念漂移的可解释Android恶意软件检测方法，包括以下步骤：

步骤1，收集若干份人工Android恶意应用软件分析报告，组成Android恶意应用软件人工分析报告样本库；

步骤2，收集若干个的恶意与良性Android应用软件样本，组成初始Android应用软件样本库，其中恶意样本与良性样本数量保持一致；

步骤3，在Android恶意应用软件人工分析报告库中，提取Android恶意应用软件逆向分析高频词，其中排名前A的有效单词，作为检测模型使用的特征种类；

步骤4，根据初始Android应用软件样本库，使用自动化机器学习算法，对应每种检测模型使用的特征种类，构建筛选特征向量，训练特征分量筛选模型，其数量为A个；

步骤5，根据每个特征分量筛选模型，使用可解释机器学习算法，分别计算其筛选特征向量中所有分量的沙普利平均绝对值，其中排名前B的分量，作为一个检测模型使用的子特征向量；

步骤6，合并所有检测模型使用的子特征向量，作为检测模型使用的特征；根据初始Android应用软件样本库，提取检测模型使用的特征对应数据，组成初始训练数据集；