本發明公開了一種智能手機惡意軟件檢測方法，所述方法包括：提取安卓軟件的靜態特征；將所述安卓軟件的靜態特征輸入預先訓練好的智能手機惡意軟件檢測模型，得到指示該安卓軟件是否為惡意軟件的輸出結果；所述智能手機惡意軟件檢測模型至少包括第一DNN分類模型、第二DNN分類模型、CNN分類模型，和集合學習分類模型。本發明克服了目前分類算法復雜度高，計算量大等缺陷，能夠有效提高惡意軟件樣本分類的質量，降低分類所需要的時間，解決惡意軟件樣本分類檢測難的問題。

技術領域

本發明涉及數據挖掘與網絡安全領域，特別是涉及一種智能手機惡意軟件檢測方法。

背景技術

由于Android系統的流行性以及其本身的開放性，使得一些不法分子將黑手伸向了Android系統應用軟件，他們將APP盜版后向其中加入惡意代碼，從而涌現出大批的惡意軟件。惡意軟件在未明確提示用戶或未經用戶許可的情況下，在計算機或手機上安裝運行，這給智能手機使用者帶來巨大的安全隱患，所以Android惡意軟件檢測也一直是數據挖掘和網絡安全領域的一個研究熱點。

通過反匯編出安卓應用軟件的源碼，然后對源碼進行分析，研究并設計一個精確度高、實用性強和適用范圍廣的面向智能手機的惡意軟件分類器，是數據挖掘與網絡安全領域內一個重要的研究課題。目前對惡意軟件檢測的研究主要集中在算法層面和數據層面。基于算法層面，大都是針對惡意軟件數據的特點使用傳統的機器學習算法來進行檢測。但是該類方法仍然有局限性，需要大量標注樣本進行學習，少量樣本會導致的檢測準確率不高，且算法的訓練時間過長，計算開銷大，無法進行快速檢測。基于數據層面，惡意代碼形態多樣化。惡意代碼制作者通過不斷修改惡意軟件源碼制造出多種類型變種。日趨成熟的混淆技術也使得經過混淆后的惡意代碼在保留惡意行為正常執行的前提下，表現形式發生很大改變，從而使得惡意軟件的檢測越來越難。

發明內容

本發明的目的在于提供一種智能手機惡意軟件檢測方法，以解決目前算法訓練時間過長、計算量大，惡意代碼形式多樣化的缺陷，能夠有效提高惡意軟件分類的質量，降低分類所需要的時間，解決智能手機端惡意軟件分類檢測難的問題。

為達到上述目的，本發明是采用下述技術方案實現的：

一種智能手機惡意軟件檢測方法，包括：

提取安卓軟件的靜態特征；

將所述安卓軟件的靜態特征輸入預先訓練好的智能手機惡意軟件檢測模型，得到指示該安卓軟件是否為惡意軟件的輸出結果；所述智能手機惡意軟件檢測模型至少包括第一DNN分類模型、第二DNN分類模型、CNN分類模型，和集合學習分類模型。

進一步地，所述提取安卓軟件的靜態特征，包括：

反向編譯安卓軟件的應用程序包，得到反編譯中間文件，從所述反編譯中間文件提取靜態特征。

進一步地，所述靜態特征包括4類有效的靜態行為特征，分別為權限、API、意圖組件、安卓系統簽名指令行為特征。

進一步地，所述靜態特征包括以0和1標注的196個靜態行為特征，其中，0表示不具有該靜態行為特征，1表示具有該靜態行為特征。

進一步地，預先訓練好的智能手機惡意軟件檢測模型的訓練步驟包括：

獲取帶標簽的安卓軟件靜態特征集，所述安卓軟件靜態特征集包含多個安卓軟件的靜態特征以及標記其是否為惡意軟件的標簽；

將所述安卓軟件的靜態特征，輸入第一DNN分類模型，獲取第一分類結果，以第一分類結果趨向于所述標簽訓練所述第一DNN分類模型；

將所述安卓軟件的靜態特征，輸入第二DNN分類模型，獲取第二分類結果，以第二分類結果趨向于所述標簽訓練所述第二DNN分類模型；