[发明专利]一种基于卷积神经网络的安卓恶意软件检测方法及系统

说明书

本发明涉及一种基于卷积神经网络的安卓恶意软件检测方法及系统，采用全新逻辑设计，基于安卓软件中所提取的classes.dex文件，依次通过中间十六进制的转换、以及6‑gram处理，获得安卓软件所对应的频域特征图像，由此基于已知属于正常标签或恶意标签的各安卓样本软件，结合安卓样本软件所对应频域特征图像，通过网络训练方式，获得恶意软件识别模型，进而在实际实施中，完成针对目标安卓软件的恶意检测，整个技术方案能够提高安卓恶意软件的检测精度，并有效提高检测效率。

技术领域

本发明涉及一种基于卷积神经网络的安卓恶意软件检测方法及系统，属于恶意软件检测技术领域。

背景技术

安卓系统因其开放性和简易性而广为流传，因而成为恶意软件肆虐的目标，这种情况使得安卓平台下各种针对恶意软件攻击的安全防护技术得到蓬勃发展，安卓恶意软件可视化检测技术即为其中备受关注的一种。

目前现有针对安卓软件的分类检测，做法多为其他平台（如windows）检测方案的移植，没有考虑到安卓平台的独特性，且没有考虑到比特流前后之间互相作用的联系，导致准确率偏低，检测有待于进一步提高；并且由于自动化代码编写、重用技术、以及安卓系统的开放性，相当一部分安卓恶意软件是由良性软件编写而来的，很难被可视化检测框架区分开来，使其容易产生漏报，表现为召回率不高。

发明内容

本发明所要解决的技术问题是提供一种基于卷积神经网络的安卓恶意软件检测方法，采用全新逻辑设计，解决了目前安卓检测方法中存在的准确率低、召回率低的问题，进而完成高效、且准确的安卓恶意软件检测工作。

本发明为了解决上述技术问题采用以下技术方案：本发明设计了一种基于卷积神经网络的安卓恶意软件检测方法，基于预设数量分别已知属于正常标签或恶意标签的各个安卓样本软件，按如下步骤A至步骤B，获得恶意软件识别模型；然后应用恶意软件识别模型，执行步骤i，针对目标安卓软件执行恶意检测；

步骤A. 分别针对各个安卓样本软件，执行如下步骤A1至步骤A4，获得各个安卓样本软件分别所对应的频域特征图像，然后进入步骤B；

步骤A1. 获得安卓样本软件压缩包中的classes.dex文件，并基于classes.dex文件的二进制数据流形式，通数据进制转换，获得classes.dex文件所对应的十六进制数据流，然后进入步骤A2；

步骤A2. 针对classes.dex文件所对应的十六进制数据流，执行n-gram处理，获得classes.dex文件所对应的各个gram分片，并进入步骤A3；

步骤A3. 根据classes.dex文件所对应的各个gram分片，获得classes.dex文件所对应的三通道彩色图像，然后进入步骤A4；

步骤A4. 针对classes.dex文件所对应的三通道彩色图像，执行频域变换映射处理，获得该三通道彩色图像所对应的频域特征图像，即该安卓样本软件所对应的频域特征图像；

步骤B. 基于各个安卓样本软件，以安卓样本软件所对应频域特征图像为输入，安卓样本软件属于正常标签或恶意标签为输出，针对目标卷积神经网络进行训练，获得恶意软件识别模型；

步骤i. 按步骤A1至步骤A4的方式，获得目标安卓软件所对应的频域特征图像，并应用恶意软件识别模型，获得目标安卓软件所属的正常标签或恶意标签，即实现对目标安卓软件进行恶意检测。

作为本发明的一种优选技术方案：所述步骤A1包括如下步骤A1-1至步骤A1-2；

步骤A1-1. 基于classes.dex文件的二进制数据流形式，以步长为4，顺序按每四位二进制数转化为一位十六进制数，获得所对应转换后的十六进制数据流，并进入步骤A1-2；