[发明专利]一种恶意软件检测方法及系统

说明书

本发明提出了一种恶意软件检测方法及系统，本检测方法包括：客户端按预设第一规则对待检测软件进行特征提取，生成待检测软件的特征向量；在预设的载体图片上嵌入预设的扰动参数及待检测软件的特征向量，生成嵌入图片，其中，一张载体图片对应一种扰动参数；将嵌入图片发送给预设的图片分类模型，并接受图片分类模型对嵌入图片的分类结果；根据得到的分类结果与预设的映射关系判断待检测软件是否为恶意软件。本发明能够使攻击者难以察觉到检测行为或者得到检测行为中的数据，从而无法进行针对性的攻击，有效地提高安卓恶意软件检测服务的可靠性与安全性。

技术领域

本发明涉及信息安全技术领域，具体涉及一种恶意软件检测方法及系统。

背景技术

随着移动互联网的飞速发展，手机等移动设备逐步成为人们上网的主要工具，大多数移动设备都采用了Android(安卓)操作系统。然而，Android操作系统的开放性、脆弱性以及不完善的应用市场审查机制也导致了恶意软件(Malware)的大量滋生和广泛传播。为了应对大量的恶意软件，许多手机、网络的服务厂商开始提供线上的安卓恶意软件检测服务。

但与此同时，这些检测服务也面临着以恶意软件制造者为主的攻击者的威胁。例如：攻击者会通过截取检测时传递的数据，使用这些数据借助对抗样本等方法，对自己的软件进行伪装、优化使其能够逃避检测，使得检测模型变得不再可靠，出现漏洞。

发明内容

有鉴于此，实有必要提出一种新的恶意软件检测方法及系统，能够使攻击者难以察觉到检测行为或者得到检测行为中的数据，从而无法进行针对性的攻击，有效地提高安卓恶意软件检测服务的可靠性与安全性。

具体的，本发明公开了一种恶意软件检测方法，包括以下步骤：

客户端按预设第一规则对待检测软件进行特征提取，生成待检测软件的特征向量；

在预设的载体图片上嵌入预设的扰动参数及待检测软件的特征向量，生成嵌入图片，其中，一张载体图片对应一种扰动参数；

将嵌入图片发送给预设的图片分类模型，并接受图片分类模型对嵌入图片的分类结果；

根据得到的分类结果与预设的映射关系判断待检测软件是否为恶意软件。

进一步的，客户端按预设第一规则对待检测软件进行特征提取，生成待检测软件的特征向量，包括：

客户端按预设第一规则对待检测软件进行特征提取，对提取的特征进行数值化处理后拼接成特征向量。

进一步的，所述第一预设规则包括：提取敏感权限特征、敏感动作特征、敏感应用程序编程接口中的至少一种。

进一步的，在预设的载体图片上嵌入预设的扰动参数及待检测软件的特征向量，生成嵌入图片，包括：

将预设的扰动参数分别加入到预设的载体图片的各像素点；在预设的载体图片上选取若干预设位置，将每一个预设位置对应待检测软件的特征向量的一个维度数据，将维度数据加入到对应的预设位置，从而生成嵌入图片。

进一步的，在预设的载体图片上嵌入预设的扰动参数及待检测软件的特征向量，生成嵌入图片，包括：

在预设的载体图片上将每个像素点i得到的邻域标准差δ与预设阈值t进行比较，选取所有δ＞t的位置得到高频区域：

其中，x_i表示各像素点i的像素值，C_R表示以像素点i为中心半径为R的邻域，N_R为高频区域内像素点的个数，为平均像素值；

将高频区域设置为扰动的限制区域，并从高频区域中选取出若干位置，每一个位置对应待检测软件的特征向量的一个维度数据；