本發(fā)明公開(kāi)了一種基于異質(zhì)網(wǎng)絡(luò)的Android惡意軟件檢測(cè)方法，通過(guò)編譯模塊使用Apktool反編譯所有測(cè)試樣本；結(jié)合異質(zhì)網(wǎng)絡(luò)中節(jié)點(diǎn)與邊關(guān)系的特點(diǎn)，提取多種API調(diào)用信息作為矩陣構(gòu)建元素；利用BM25方法對(duì)API調(diào)用信息降維，隨后再進(jìn)行矩陣構(gòu)建；采樣分類(lèi)模塊采用針對(duì)矩陣的隨機(jī)游走方法，并將游走得到的節(jié)點(diǎn)序列作為Skip?gram模型的特征進(jìn)行嵌入表征，并使用SVM算法對(duì)惡意軟件進(jìn)行分類(lèi)和檢測(cè)。本發(fā)明通過(guò)預(yù)定義的元路徑對(duì)矩陣進(jìn)行隨機(jī)游走，構(gòu)建了包含豐富語(yǔ)義的節(jié)點(diǎn)序列；并使用Skip?gram方法針對(duì)不同應(yīng)用節(jié)點(diǎn)的多條游走序列生成了嵌入值，實(shí)現(xiàn)了對(duì)惡意軟件進(jìn)行檢測(cè)和分類(lèi)。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，涉及一種基于異質(zhì)網(wǎng)絡(luò)的Android惡意軟件檢測(cè)方法。

背景技術(shù)

Android是世界上使用最廣的移動(dòng)設(shè)備智能平臺(tái)，它是一種基于Linux開(kāi)發(fā)的開(kāi)放性平臺(tái)。自從2007年Google推出第一代Android操作系統(tǒng)至今，已有將近十幾年時(shí)間，移動(dòng)設(shè)備的市場(chǎng)份額在急劇增長(zhǎng)，隨著智能設(shè)備的普及率的提高，隨之上線(xiàn)的各類(lèi)應(yīng)用(Application，APP)也越來(lái)越多，廣泛的功能各異的APP可以滿(mǎn)足人們?nèi)粘５母鞣N需要，但隨之而來(lái)的安全隱患也逐漸升高。

2020年Android惡意軟件的活躍度高于2019年末的預(yù)期，一些已知類(lèi)型惡意軟件的檢測(cè)記錄顯著增長(zhǎng)，其中就包括特洛伊木馬病毒、虛假?gòu)V告信息、銀行類(lèi)虛假軟件等。這些軟件首先會(huì)要求在其他應(yīng)用程序上顯示權(quán)限，還會(huì)要求允許從未知來(lái)源安裝未知應(yīng)用程序。一旦這些權(quán)限被用戶(hù)接受，這些惡意軟件就可以在其他應(yīng)用程序上顯示廣告，并安裝來(lái)自第三方應(yīng)用商店的惡意軟件。在獲得許可的幾分鐘內(nèi)，廣告會(huì)以各種形式出現(xiàn)：打開(kāi)默認(rèn)的網(wǎng)絡(luò)瀏覽器進(jìn)入廣告網(wǎng)站；在通知中彈出廣告；甚至?xí)卧煜⑼ㄖ獧冢脩?hù)在不知情的情況下點(diǎn)擊時(shí)就會(huì)打開(kāi)廣告。

由于大多數(shù)工作將信息網(wǎng)絡(luò)建模成同質(zhì)信息網(wǎng)絡(luò)(簡(jiǎn)稱(chēng)同質(zhì)網(wǎng)絡(luò))，即網(wǎng)絡(luò)中僅包含相同類(lèi)型的對(duì)象和鏈接，例如社交網(wǎng)絡(luò)和朋友圈等。同質(zhì)網(wǎng)絡(luò)建模方法往往只抽取了實(shí)際交互系統(tǒng)中的部分信息，而且沒(méi)有區(qū)分對(duì)象及其之間關(guān)系的異質(zhì)性，從而造成不可逆的信息損失。傳統(tǒng)Android行為建模方法中，僅關(guān)注到API調(diào)用之間的互聯(lián)關(guān)系，而忽視了API調(diào)用之間的豐富語(yǔ)義，比如說(shuō)，API的包名和API出現(xiàn)的代碼塊等。

近年來(lái)，更多的研究者將多類(lèi)型且互連的網(wǎng)絡(luò)化數(shù)據(jù)建模為異質(zhì)信息網(wǎng)絡(luò)(簡(jiǎn)稱(chēng)異質(zhì)網(wǎng)絡(luò))，實(shí)現(xiàn)對(duì)現(xiàn)實(shí)世界更完整自然的抽象；如果將這些信息與API調(diào)用序列相結(jié)合，使用異質(zhì)圖的方法建模的程序，語(yǔ)義也會(huì)更加豐富因此，使用異質(zhì)圖建模的Android惡意軟件檢測(cè)方法也成為了一個(gè)研究熱點(diǎn)。Ye等人提出了HinDroid，首先提出構(gòu)造一個(gè)異質(zhì)圖建模API和Android應(yīng)用程序之間的復(fù)雜關(guān)系，該方法通過(guò)將APK與API設(shè)為節(jié)點(diǎn)，APK與API的多種關(guān)系設(shè)為邊，利用異質(zhì)網(wǎng)絡(luò)建模方法，梳理了API調(diào)用間的結(jié)構(gòu)信息，構(gòu)建了三種關(guān)系，分別是包含關(guān)系(A)，代碼塊關(guān)系(B)和包關(guān)系(P)，存在四個(gè)APK節(jié)點(diǎn)與四個(gè)API節(jié)點(diǎn)，APK中使用到的API以橢圓表示，且API與API之間存在代碼塊關(guān)系和包關(guān)系，將APK與API定義為節(jié)點(diǎn)；將包含、代碼塊、包三種形式定義為邊，即構(gòu)建了關(guān)于Android軟件的異質(zhì)圖。

基于所構(gòu)建的Android異質(zhì)圖，使用Skip-gram模型最大化每個(gè)應(yīng)用節(jié)點(diǎn)的條件概率，通過(guò)在每個(gè)應(yīng)用a_i的多條游走序列構(gòu)成的鄰域N_t(a_i)上最大化網(wǎng)絡(luò)似然條件概率，來(lái)學(xué)習(xí)Android異質(zhì)網(wǎng)絡(luò)中關(guān)于應(yīng)用節(jié)點(diǎn)a_i的表征。最后，使用SVM方法對(duì)Skip-gram模型生成的嵌入值進(jìn)行分類(lèi)，通過(guò)有監(jiān)督的方法實(shí)現(xiàn)了不同類(lèi)型惡意軟件的檢測(cè)與分類(lèi)；但是由于沒(méi)有區(qū)分混淆，帶來(lái)了極大的開(kāi)銷(xiāo)。

發(fā)明內(nèi)容

本發(fā)明解決的技術(shù)問(wèn)題在于提供一種基于異質(zhì)網(wǎng)絡(luò)的Android惡意軟件檢測(cè)方法，降低檢測(cè)的開(kāi)銷(xiāo)，并提高監(jiān)測(cè)的準(zhǔn)確率。

本發(fā)明是通過(guò)以下技術(shù)方案來(lái)實(shí)現(xiàn)：