本發明屬于移動安全技術領域，具體為一種基于動態行為序列和深度學習的惡意軟件實時檢測系統，本發明系統包括兩個核心模塊：應用動態行為實時采集子系統和應用行為實時判別子系統，應用動態行為實時采集子系統用于持續、可靠地記錄應用所調用的框架層函數調用接口與和內核層系統調用序列，以表征應用所產生的行為；為應用行為判別子系統提供行為判別依據；應用行為實時判別子系統利用深度學習技術探索行為序列信息內在聯系，使用機器學習模型對上述調用序列進行即時判別，以高效準確地識別出應用中的惡意行為。系統還包括數據處理模塊和數據通信模塊，用來協助兩個核心模塊的運行。本發明可有效緩解移動系統生態面臨的安全問題與威脅。

技術領域

本發明屬于移動安全技術領域，具體涉及基于動態行為序列和深度學習的惡意行為實時檢測系統。

背景技術

當前移動設備安全威脅與日俱增。智能手機在為工作與生活帶來巨大便利的同時，也潛藏著眾多安全隱患。智能手機作為當前用戶規模最大、增長速度最快的移動終端，已經成為移動安全領域最主要的攻擊對象和威脅來源。安卓平臺近年來惡意軟件持續涌現，惡意行為類型多樣化，安全威脅渠道復雜化，移動黑色產業規模化，千萬級人次受惡意軟件影響，造成巨大的經濟損失和安全隱患，移動系統生態安全問題迫在眉睫。

傳統基于靜態特征簽名匹配的檢測方案存在不足。傳統的基于靜態特征簽名匹配的惡意軟件檢測方法主要通過逆向分析技術對惡意應用進行分析，提取關鍵靜態特征并上傳至云端特征庫，通過移動端應用特征與云端特征庫匹配的方式對惡意軟件進行檢測。該方案存在以下劣勢：1.響應周期長，用戶需要及時更新特征庫。2.惡意軟件分析成本高，惡意應用開發者使用加殼、混淆、動態加載等分析對抗技術增加惡意樣本分析難度。3.惡意應用特征易被修改，變種惡意應用輕松逃逸基于特征匹配的檢測。

基于動態應用行為感知的檢測方案面臨挑戰?；趧討B應用行為感知的檢測方案有效的解決了傳統基于靜態方案的存在的問題?；趧討B應用行為感知的檢測方案存在以下優點：1.基于應用行為進行檢測，全面防止對抗逃逸。2.能夠實時檢測應用行為，響應及時。3.不依賴于特征庫，能夠有效針對變種樣本。然而這個方法也面臨諸多挑戰。1.應用行為感知建模困難，應用依賴于調用系統提供的接口實現其應用行為，然而安卓系統向開發者提供API調用接口數量龐大，從大量API中選出合適的API進行行為建模非常困難。2.行為捕獲困難，惡意軟件開發者常使用動態加載和反射調用等方式繞過一些關鍵API調用監控，影響動態行為的感知。3.在移動端基于動態行為對應用惡意意圖進行準確識別也是一項挑戰?；谏鲜鰞热荩苿佣诵枰环N能夠對應用行為進行合理采集，并有效識別應用動態行為的惡意軟件實時檢測方案。

深度學習在移動端快速發展，為惡意應用動態檢測提供技術支持。深度學習技術通過構建復雜的神經網絡結構學習樣本的內在規律和表示層次，并在大數據、復雜數據的分析問題中取得良好的效果。近年來移動設備推廣和軟硬件的發展，使得深度學習技術在移動端的應用逐漸成為可能。如Apple、Google、Facebook 等公司推出了移動端深度學習軟件框架；而寒武紀、華為等也推出了專為機器學習任務設計的移動智能芯片來提供硬件支持。深度學習技術在移動端的部署將有效解決移動平臺中的復雜問題，對上述移動端惡意軟件實時檢測方案的可行性提供有力保證。

發明內容

本發明的目的是為移動平臺提供一種基于動態行為序列和深度學習的惡意軟件實時檢測系統，以緩解移動系統生態面臨的安全問題與威脅。

本發明包括：對應用行為即API調用和系統調用關系進行分析與建模，選取可以描述應用行為的關鍵調用；監控應用運行時的關鍵調用序列以捕獲應用運行時行為信息；利用深度學習技術對應用行為進行動態識別，完成移動端惡意行為的實時檢測，為移動安全問題提供有效的解決方案。