本發明屬于移動惡意應用檢測領域，具體涉及一種安卓應用惡意性、惡意種族檢測模型構建方法及應用，針對不同混淆技術，提取不同粒度的操作碼特征，計算各種粒度下的各特征權重，以從各種操作碼特征中選取對加強原始樣本集檢測效果和降低混淆前后樣本差異性最有利的操作碼特征，構建各種粒度的抗混淆特征集，以抵抗主流混淆技術，各種粒度的抗混淆特征集提取應用樣本的操作碼特征序列并將其轉換為灰度圖，基于灰度圖，根據不同的標簽值，訓練深度學習網絡模型，實現安卓應用的惡意性分類及惡意家族分類，并在移動端設備上實現檢測功能集成。本發明在支持應用惡意性及惡意家族檢測的同時，有效抵抗安卓應用混淆技術對檢測結果的干擾，檢測可靠性高。

技術領域

本發明屬于移動惡意應用檢測領域，更具體地，涉及一種安卓應用惡意性、惡意種族檢測模型構建方法及應用。

背景技術

Android應用市場的持續發展以及Android應用數量的持續快速增長，涌現出很多第三方應用市場，然而Android應用內包含著Android用戶的個人隱私數據，吸引來一些攻擊者將惡意應用傳播到用戶的移動智能手機上，以竊取用戶的隱私和財產，嚴重威脅著Android用戶的隱私數據安全。

安全廠商360公司發布的一份Android惡意軟件專題報告顯示，僅2019年度，360安全大腦共截獲移動端惡意應用約180.9萬個，累計為全國手機用戶攔截Android惡意程序攻擊約9.5億次，這些惡意應用會竊取用戶信息、自動撥打電話、未經許可發送短信等，對智能手機用戶造成極大的威脅。為了檢測Android惡意應用，一些研究者采用規則匹配或機器學習的方法，對Android應用內代碼進行分析，提取API、數據流、簽名等特征，達到了不錯的檢測效果。然而，近期一項研究表明，攻擊者可以利用代碼混淆技術，如API反射、控制流切分、字符串加密等，破壞代碼的特征，極大地降低現有方法中代碼分析的效果，繞過許多Android惡意應用檢測系統。

專利CN108280348A所屬方法公開了一種基于RGB圖像映射的安卓惡意應用識別方法，該方法對Android應用集內應用進行反編譯，提取應用內操作碼、敏感API調用及高風險API特征，并將特征轉化為RGB圖像，采用深度學習模型進行訓練，并將待測應用轉化為RGB圖像輸入模型中，檢測待測應用惡意性。該方法在檢測待測應用時，不支持對惡意應用分析其惡意家族類別。此外，該方法未對特征進行有效篩選，無法有效檢測Android惡意應用混淆變種，如API相關特征容易受到API反射混淆的影響，操作碼特征在部分混淆技術下，其分布會發生一定的變化。

專利CN109271788A所屬方法公開了一種基于深度學習的Android惡意應用檢測方法，該方法對應用進行反編譯，提取應用的統計特征，具體包括文件結構、安全經驗和Dalvik指令集三種特征，訓練深度神經網絡模型來檢測Android惡意應用。此方法中的文件結構特征，在應用經過類名混淆后，特征完全會失效，而Dalvik特征在API反射等混淆后，也會出現較大變化，這都一定程度限制了該方法在惡意應用混淆變種檢測上的準確度。

專利CN109145605A所屬方法公開了一種基于SinglePass算法的Android惡意軟件家族聚類方法。該方法先提取Android應用的敏感權限、系統Action、敏感系統API調用及系統Category，該方法用過濾式方法對特征進行選擇，以篩選出可以區別不同家族的特征。該方法未考慮到混淆技術下，Android惡意應用家族識別的檢測準確度會受到影響的問題，如敏感權限可能在權限修改混淆中發生較大變化。

綜上可知，已有的Android惡意應用混淆變種檢測方案都具有一定的局限性。

發明內容

本發明提供一種安卓應用惡意性、惡意種族檢測模型構建方法及應用，用以解決現有安卓應用惡意性檢測方法無法對Android應用代碼混淆技術進行有效抵抗的問題。

本發明解決上述技術問題的技術方案如下：一種安卓應用惡意性檢測模型的構建方法，包括：