[发明专利]基于CNN-GRU的安卓恶意软件检测方法及装置

权利要求书

1.一种基于CNN-GRU的安卓恶意软件检测方法，其特征在于，所述方法包括：

对待检测安卓软件进行逆向分析，得到所述待检测安卓软件的权限信息文件和API信息文件；

根据所述权限信息文件和所述API信息文件，获取所述待检测安卓软件的特征信息；其中，所述特征信息包括权限特征、意图特征和API特征；

通过预先训练好的CNN-GRU模型对所述特征信息进行检测，得到所述待检测安卓软件的检测结果；其中，所述检测结果为表征所述待检测安卓软件为恶意软件的第一结果或表征所述待检测安卓软件为良性软件第二结果。

2.根据权利要求1所述的方法，其特征在于，根据所述权限信息文件和所述API信息文件，获取所述待检测安卓软件的特征信息的步骤包括：

根据所述权限信息文件，获取所述待检测安卓软件的权限特征和意图特征；其中，所述意图特征包括显式意图特征和/或隐式意图特征；

根据所述API信息文件，获取所述待检测安卓软件的API特征。

3.根据权利要求1所述的方法，其特征在于，对待检测安卓软件进行逆向分析，得到所述待检测安卓软件的权限信息文件和API信息文件的步骤包括：

采用apktool反编译工具对待检测安卓软件进行逆向分析，得到所述待检测安卓软件的应用程序包文件；其中，所述应用程序包文件包括所述权限信息文件；

采用dex2jar反编译工具将所述应用程序包文件中的虚拟机运行文件转换成jar文件和API信息文件。

4.根据权利要求1所述的方法，其特征在于，所述CNN-GRU模型包括依次连接的特征提取模块、GRU层和全连接层；所述特征提取模块包括依次连接的第一卷积层、第二卷积层、第一池化层、第三卷积层、第四卷积层、第二池化层、第五卷积层、第六卷积层和第三池化层。

5.根据权利要求4所述的方法，其特征在于，通过预先训练好的CNN-GRU模型对所述特征信息进行检测，得到所述待检测安卓软件的检测结果的步骤包括：

所述特征提取模块对所述特征信息进行特征提取，得到所述待检测安卓软件的特征图；

所述GRU层对所述特征图进行门控循环，得到所述待检测安卓软件的隐藏状态；

所述全连接层采用softmax函数对所述隐藏状态进行处理，得到所述检测结果。

6.根据权利要求5所述的方法，其特征在于，所述GRU层对所述特征图进行门控循环，得到所述待检测安卓软件的隐藏状态的步骤包括：

所述GRU层采用以下公式计算所述待检测安卓软件的重置门门值k_t、更新门门值P_t、候选隐藏状态和隐藏状态Ht：

k_t＝σ(x_tW_xr+H_t-1W_hr+C_r)

p_t＝σ(x_tW_xz+H_t-1W_hz+C_z)

其中，σ为sigmoid函数，x_t为当前时刻输入的特征图，H_t-1为上一时刻的隐藏状态，W_xr为x_t对应于k_t的权重，W_hr为H_t-1对应于k_t的权重，C_r为k_t的偏置，W_xz为x_t对应于p_t的权重，W_hz为H_t-1对应于p_t的权重，C_z为p_t的偏置，W_xh为x_t对应于的权重，W_hh为H_t-1对应于的权重，C_h为的偏置。