本發(fā)明公開了一種可解釋的基于圖嵌入的Android惡意軟件自動(dòng)檢測方法。本發(fā)明方法從函數(shù)調(diào)用圖的角度出發(fā)，挖掘函數(shù)調(diào)用圖中函數(shù)節(jié)點(diǎn)對(duì)應(yīng)的敏感API序列，獲取更為細(xì)粒度的內(nèi)容信息，然后通過基于注意力機(jī)制的神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)惡意軟件的識(shí)別和檢測相對(duì)于集成算法提高4.5％左右，且獲取的結(jié)果具有更高的可解釋性。

技術(shù)領(lǐng)域

本發(fā)明屬于惡意軟件檢測研究領(lǐng)域，尤其涉及一種在軟件檢測和識(shí)別后能夠解釋模型做出決策原因的領(lǐng)域。

背景技術(shù)

Android系統(tǒng)因開源與設(shè)備售價(jià)低廉的特點(diǎn)，在全球范圍內(nèi)擁有廣泛的用戶。然而，Android的開源特性也使得其極容易受到攻擊，這嚴(yán)重威脅用戶個(gè)人信息安全甚至國家信息安全。2019年全年，360安全大腦共截獲移動(dòng)端新增惡意程序樣本約180.9萬個(gè)，為中國用戶攔截惡意程序攻擊約9.5億次。如此數(shù)量的惡意軟件及其頻繁的攻擊將更加促進(jìn)有效惡意檢測方法的開發(fā)。

越來越多惡意軟件檢測手段借助深度學(xué)習(xí)的方法，不僅實(shí)現(xiàn)了自動(dòng)化檢測，而且達(dá)到了很高的精度。深度學(xué)習(xí)在安全領(lǐng)域也越來越被認(rèn)為是強(qiáng)大且有效的工具，而其模型的決策過程對(duì)研究人員來說是不透明的。透明性的缺乏，一方面意味著模型難以分析，而且很難防止攻擊，另一方面，模型的決策過程難以解釋，難以取信于人，限制了其在實(shí)際中的應(yīng)用。面對(duì)這一問題，一些工作通過分析模型獲取最大影響的特征，為深度學(xué)習(xí)模型提供了一定的可解釋性。這些方法基于特征相互獨(dú)立的強(qiáng)假設(shè)，僅僅考慮特征各自對(duì)模型的影響，但在實(shí)際中特征之間總是存在著耦合，僅考慮單個(gè)特征對(duì)模型的影響，難以反映耦合作用。

發(fā)明內(nèi)容

發(fā)明目的：為反映不同類型軟件中敏感API的耦合作用，挖掘敏感API的組合模式，本發(fā)明提出了一種可解釋的基于圖嵌入學(xué)習(xí)的方法。首先，從細(xì)粒度函數(shù)調(diào)用圖(FFCG)中提取路徑，將每一條路徑嵌入到一個(gè)固定長度的高維向量中。然后使用注意力機(jī)制獲取每一條路徑的注意力，作為該路徑的重要性程度指標(biāo)。最后使用多層感知機(jī)做分類任務(wù)。

技術(shù)方案：為實(shí)現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案為：

一種基于梯度的圖神經(jīng)網(wǎng)絡(luò)可解釋性分析方法，包括以下步驟：

步驟1)使用Androguard獲取每一個(gè)軟件的函數(shù)調(diào)用圖(FCG)。對(duì)于FCG 中的每一個(gè)節(jié)點(diǎn)對(duì)應(yīng)的函數(shù)，通過函數(shù)中的Davilk指令獲取函數(shù)調(diào)用的敏感API 序列；

步驟2)通過Susi捕獲敏感數(shù)據(jù)流的敏感API庫，使用敏感API庫篩選出每個(gè)函數(shù)的敏感API序列，這樣可得到細(xì)粒度的FCG；

步驟3)通過隨機(jī)游走細(xì)粒度的FCG，將游走到的節(jié)點(diǎn)對(duì)應(yīng)的敏感API序列拼接起來，即可得到一系列的路徑，稱為敏感API路徑。

步驟4)使用自然語言處理模型sent2vec將得到的敏感API路徑向量化。

步驟5)將向量化的敏感API路徑作為輸入數(shù)據(jù)，輸入到基于注意力的神經(jīng)網(wǎng)絡(luò)模型中，可得到對(duì)軟件的惡意或非惡意的分類結(jié)果。

有益效果：

1)本發(fā)明提出了一種新的特征FFCG。該特征相比于傳統(tǒng)函數(shù)調(diào)用圖，不僅包含軟件結(jié)構(gòu)信息，還融合了程序語義信息。

2)本發(fā)明在FFCG上采用基于圖嵌入的學(xué)習(xí)方案。通過注意力機(jī)制可獲取軟件的關(guān)鍵路徑并定位惡意行為所涉及的敏感API序列。

附圖說明

圖1為本發(fā)明方法具體實(shí)施流程圖；

圖2為示例代碼及其對(duì)應(yīng)的FCG和細(xì)粒度的FCG；

圖3為本發(fā)明方法總體結(jié)構(gòu)示意圖；

圖4為本發(fā)明使用的數(shù)據(jù)集示意圖；

圖5為本發(fā)明方法同其他算法的實(shí)驗(yàn)比較示意圖；