[发明专利]一种安卓手机恶意应用检测系统及方法

摘要

一种安卓手机恶意应用检测系统，属于手机检测技术领域。所述安卓手机恶意应用检测系统包括正负样本收集模块、静态特征提取模块、动态特征提取模块、神经网络模块和监测结果输出模块，本发明将基于软件代码的静态分析和基于软件行为的动态监测相结合，使检测方法不再是单纯基于签名技术的静态分析，并通过分析软件的代码和软件运行之后的行为来判断软件是否为恶意软件，这种检测方法更加准确，所以我们通过收集恶意软件样品和安全软件样品，获取静态特征向量和动态特征矩阵，并通过大量样本来训练MLP神经网络和RNN神经网络两种神经网络，进行自动的学习和检测，使效率和准确率大大提升。

主权项

1.一种安卓手机恶意应用检测系统，其特征在于：所述安卓手机恶意应用检测系统包括正负样本收集模块、静态特征提取模块、动态特征提取模块、神经网络模块和监测结果输出模块；所述正负样本收集模块包括正样本集和负样本集；所述静态特征提取模块包括AndroidManifest.xml文件和class.dex文件，通过分析所述AndroidManifest.xml文件获取系统权限列表，通过分析class.dex文件获取系统调用API列表，将所述权限列表和所述API列表作为静态特征向量；所述动态特征提取模块是将安卓应用安装包放入DroidBox沙盒运行，通过运行，查看运行后日志文件，得到软件调用应用程序编程接口API在固定时间段的频率，作为动态特征向量矩阵；所述神经网络模块包括MLP神经网络和RNN神经网络，所述MLP神经网络包括多个神经元，每层每个所述神经元用来将一个向量输入加权求和后经过激活函数输出传递至下一层的每个神经元，所述MLP神经网络用来导入静态特征向量，所述RNN神经网络用来处理序列数据，结构是序列长度各单层感知器之间的相互组合，每个所述单层感知器的输出将会和序列的下一个输入向量一起，作为下一个单层感知器的输入，所述RNN神经网络用来导入动态特征向量，所述MLP神经网络和RNN神经网络的训练都使用反向传播算法；所述监测结果输出模块是在经由静态特征提取模块和动态特征提取模块后，将所述特征向量和所述特征矩阵传入训练好的神经网络中，将结果加权求和计算概率，算出其应用为恶意应用的可能性，并输出结果。