本發明涉及一種基于深度學習的Android惡意軟件檢測方法，屬于計算機與信息科學技術領域。本發明首先對Android應用軟件進行特征提取，然后通過對Android應用文件進行解壓縮和反編譯等操作提取相關的安全特征。提取的特征包括3個方面：文件結構特征、安全經驗特征和Dalvik指令集構成的N?gram統計特征。然后對提取的特征進行數值化處理，構建特征向量。最后基于上述提取的相關特征構建DNN(Deep Neural Network)模型。通過構建的模型對新來的Android軟件進行分類和識別。該方法融合了指令集的分析，具有對抗惡意軟件混淆的作用，同時基于深度模型的惡意軟件檢測能夠增強特征學習，能夠很好地表達大數據的豐富內在信息，更加容易適應不斷進化的惡意軟件。

技術領域

本發明涉及一種基于深度學習的Android惡意軟件檢測方法，屬于計算機與信息科學技術領域。

背景技術

隨著移動互聯網的不斷發展，智能終端成為了每個人生活中重要組成部分。Android作為使用最廣泛的移動操作系統，由于其開放和靈活的生態環境導致惡意軟件泛濫。如何有效地檢測Android惡意軟件是一項具有重要價值的研究課題。當前主流的Android惡意代碼檢測方法大致分為靜態檢測方法和動態檢測方法。

1.動態檢測方法

所謂動態檢測與分析，是指讓被檢測程序運行起來后再抽取特征進行檢測和分析的方法。動態檢測方法主要是通過將Android應用文件運行在Android設備上，然后通過采集軟件運行過程中的API調用序列、資源使用等數據實現對軟件的分析。雖然動態分析具有不受代碼加殼、混淆等限制因素影響的優點，但是該方法在實際使用中存在數據采集提取困難、軟件運行代價大、代碼覆蓋率低、容易被惡意軟件通過對運行環境的檢測而反檢測等問題。因此，通過動態分析的方法來檢測惡意軟件在實際中使用較少。

2.靜態檢測方法

靜態檢測的方法主要是通過對Android應用文件進行掃描和分析，提取出Android文件中和安全相關的敏感信息和特征，例如敏感權限、系統動作、敏感系統調用等。然后針對提煉的這些特征進行分析和歸納并判斷其是否為惡意軟件。和動態分析方法相比，靜態分析的方法具有較高的代碼覆蓋率和較小的時間開銷，通常能夠達到較好的檢測準確率。該方法也是當前各種病毒查殺軟件主流的檢測方法。但是在實際的環境中，Android應用開發者為了對代碼進行保護往往會進行混淆和加密等操作，這種環境下靜態分析就不容易提取到有效特征從而對其進行誤判。同時，惡意軟件每年都在飛速的進化和發展，常規的檢測方法難以適應不斷涌現的新的惡意軟件。

針對上述的問題，本課題提出了一種基于深度學習的惡意軟件分類方法。一方面，通過對Android應用文件進行分析，提取出了一些惡意軟件常見的靜態特征。另一方面，通過對Android應用文件進行反編譯提取出Smalli源碼，然后從Smalli源碼中提取出Dalvik操作碼，然后對其指令集進行抽象并提取出N-gram序列特征。最后將上述提取的特征歸一化處理后通過深度學習算法進行抽象建模完成惡意軟件的識別。基于指令集分析的檢測系統，具有對抗惡意軟件混淆的作用。基于深度模型的惡意軟件檢測能夠增強特征學習，對大數據的豐富內在信息能夠進行很好的表達，更加容易適應不斷進化的惡意軟件。

發明內容

本發明的目的是解決常規Android惡意軟件檢測方法檢測準確率低、檢測適用范圍有限、且難以適應新出現的軟件的問題，提出一種基于深度學習的惡意軟件檢測方法。

本發明的設計原理為：首先對Android應用軟件進行特征提取。然后通過對Android應用文件進行解壓縮和反編譯等操作提取相關的安全特征。提取的特征包括3個方面：文件結構特征、安全經驗特征和Dalvik指令集構成的N-gram統計特征。然后對提取的特征，進行數值化處理構建特征向量。最后基于上述提取的相關特征構建DNN(Deep NeuralNetwork)模型。通過構建的模型對新來的Android進行軟件分類和識別。