本發明公開了一種結合權限和API調用序列特征的Android惡意軟件檢測方法。本發明提出分別采用隨機森林和卷積神經網絡模型訓練分類器，最后通過線性結合的方法計算最終的預測結果。本發明利用詞嵌入技術（Skip?gram）表示每個API，在降低表示向量維度的同時保留了API之間的語義信息，使得CNN模型可以捕獲豐富的n?gram特征；分別訓練了兩個分類器，并使用線性組合的方法綜合得到最后的預測結果能夠提高惡意軟件檢測的準確性。

技術領域

本發明涉及Android平臺上惡意代碼檢測研究領域，尤其涉及一種結合權限和API調用序列特征的Android惡意軟件檢測方法。

背景技術

近些年來，隨著移動設備的快速發展，移動應用軟件在人們生活和工作中起到了越來越重要的作用。通常，用戶期望使用的應用是安全的、可靠的，然而在種類繁多的應用軟件中充斥著大量的惡意軟件，不斷威脅著用戶的信息安全。惡意軟件(俗稱“流氓軟件”)是指在未明確提示用戶或未經用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵犯用戶合法權益的軟件。在2017年第一季度，G DATA研究人員發現了大約750,000個新的惡意軟件。同樣地，卡巴斯基官方報告顯示，在2020年第一季度已檢測出1,152,662個惡意軟件安裝包，同比上一年新增171,669個。因此，對于惡意軟件的有效檢測是惡意代碼檢測研究領域中的重要研究問題。

通常來說，惡意軟件檢測技術主要可以分為靜態檢測和動態檢測這兩類技術。靜態檢測技術是指在不運行代碼的情況下，利用反編譯技術，和代碼控制流圖分析、數據流分析等方法對軟件代碼進行檢測。該方法具有安全性高、檢測速度快、代碼覆蓋率高等優點，但檢測的準確度較低。動態檢測技術是指通過運行代碼，并記錄代碼運行過程中的一系列程序行為，如函數調用順序、文件訪問、網絡使用等等，并利用這些信息對軟件代碼進行檢測。與靜態檢測技術相比，該方法優勢在于檢測惡意軟件的準確度較高，但存在代碼覆蓋率低、檢測效率低等缺點。

發明內容

為了克服現有技術的不足，本發明提供一種結合權限和API調用序列特征的Android惡意軟件檢測方法，可有效解決上述問題。

本發明具體采用的技術方案如下：

步驟(1)給定n個Android應用軟件安裝包(apk)集合A＝(A₁,A₂,…A_n),將其中每個apk表示成A_i＝apkId,mainfest,dex,lable,i＝1,2…n，其中apkId表示apk編號，mainfest表示apk中的清單文件(包含應用程序的配置信息)，dex表示apk中的.dex后綴文件(包含應用程序中所有的代碼)，label表示apk的類別，即惡意的或非惡意的。

步驟(2)對每個apk進行特征抽取。

首先，從mainfest文件中抽取所有的請求的權限信息，記作permission＝per₁,per₂,…per_k，其中k表示該apk請求權限的個數；然后，利用Androguard逆向工程工具反編譯dex文件，識別每個指令代碼并抽取所有的API調用序列，記作sequence＝API₁,API₂,…API_m,每個API表示成API_j＝packageName,className,functionName,j＝1,2,…m，其中packageName表示該API的包名，className表示該API的類名，functionName表示該API的函數名。通過特征抽取后，每個apk可以進一步表示為A_i＝apkId,permission,sequence,lable,i＝1,2…n。

步驟(3)對于permission和sequence進行預處理。