本發明提供一種基于卷積神經網絡的Android勒索軟件檢測方法，涉及檢測技術領域。本發明對訓練樣本的原始安裝文件進行特征提取，獲得結構特征以及行為特征；利用特征構建特征向量，將權限和API、API和權限生成具有映射關系的圖片特征形式，并讀取dex文件生成具有dex文件結構特征的圖片形式；利用特征圖片轉換成numpy數組形式訓練卷積神經網絡。對待檢測Android勒索應用程序，首先對其安裝文件進行特征提取，獲得其權限和API、API和權限映射關系的兩張特征圖片，提取dex文件特征生成特征圖片；然后將三張圖片的numpy數組格式輸入訓練好的卷積神經網絡中，輸出是否屬于勒索軟件的分類結果。

技術領域

本發明涉及檢測技術領域，尤其涉及一種基于卷積神經網絡的Android勒索軟件檢測方法。

背景技術

Android系統的開放性促進了Android設備的爆炸性增長和第三方應用市場的繁榮。第三方申請市場是除了用戶信任和依賴的Google Play之外的主要第三方渠道之一。由于第三方申請市場進行了利潤，并且沒有嚴格統一的申請安全審計機制，這在一定程度上對用戶和設備帶來了極大的風險。它為培育惡意軟件提供了機會，為攻擊者提供了攻擊的機會，以執行隱私盜竊，遙控器，甚至勒索等惡意行為，這將為用戶及其設備帶來經濟損失和傷害。例如，勒索軟件通過鎖定移動電話直接從用戶處獲取大量的資金，這會導致直接的經濟損失。在這種情況下，第三方應用市場成為惡意軟件感染最脆弱的渠道。一旦勒索軟件出現在第三方應用市場中，如果大量用戶在不知不覺中下載并安裝申請，后果和經濟損失將是不可估量的。因此，有必要為第三方應用市場提出勒索軟件檢測方法。

Android軟件檢測方法目前主要有兩種，即靜態分析和動態檢測。靜態分析是指通過分析程序代碼來判斷程序行為。動態分析是指在嚴格控制的環境下執行應用程序，盡可能的觸發軟件的全部行為并記錄，以檢測應用程序是否包含惡意行為。目前已有的靜態方法，已經提出了一種基于啟發式算法和機器學習的檢測方法。它捕獲了勒索軟件的行為模式，并通過提取原始應用程序API調用和權限來構建檢測框架。此外，還有一種已經提出的輕量級方法，可自動檢測儲物柜。它采用全面分析軟件行為的方法來提取來自多個來源的特征和集成探測器，該方法結合了四種機器學習方法來進行分類。這些研究在勒索軟件檢測領域僅集中在理想的平衡數據集上而不是不平衡。近年來，許多研究人員試圖改善不平衡數據集下的惡意軟件檢測問題。研究表明，數據級別方法是最早，最具影響力和最廣泛使用的方法。由于采樣方法的計算效率低，噪音容易影響，結合第三方市場的需求，本方法不考慮來自數據視角的方法。已有的動態分析方法，通過使用運行時分析獲得的系統調用作為特征，并利用信息增益來選擇最重要的系統調用，最后使用不同的機器學習算法來對實例的功能進行分類。運行時特征的提取需要浪費大量的計算資源并增加時間成本，因此不適合在第三方應用市場的檢測方法中采用這些特征。

在靜態方法檢測中，大多的檢測方法都集中在理想的平衡數據集下，對于非平衡數據集的檢測，目前還存在問題，許多研究人員正在試圖改善不平衡數據集下的惡意軟件檢測所帶來的問題。在動態方法檢測中，模擬軟件運行時狀態，這種方法不僅增加了檢測和消耗資源的難度，而且難以涵蓋應用程序的所有執行路線，使得難以在特定的觸發條件下發現惡意行為，并且不適合處理大規模樣本。在運行時也要消耗大量的計算資源，這也是動態檢測中最常見的缺陷

發明內容

針對現有技術存在的問題，本發明提供一種基于卷積神經網絡的Android勒索軟件檢測方法。

為了解決上述技術問題，本發明采用以下的技術方案：

一種基于卷積神經網絡的Android勒索軟件檢測方法，包括以下步驟：

步驟1：安卓應用軟件特征提取，對不平衡數據集中的Android非勒索軟件和勒索軟件的原始安裝文件進行特征提取，具體包括行為特征以及結構特征；

所述行為特征為從XML文件中提取權限和API函數，具體包括以下步驟：