一种基于宽度学习的Android平台恶意应用离线检测方法技术

本发明专利技术公开了一种基于宽度学习的Android平台恶意应用离线检测方法，属于移动通信平台安全技术领域。本发明专利技术方法通过预先收集的Android应用程序样本集构建宽度学习模型，再将宽度学习模型移植到Android手机中对手机中的应用程序进行恶意程序的检测，并利用检测结果进行宽度学习模型的更新，实现了在离线状态下Android设备识别正常应用程序和恶意应用程序，在保证准确率的前提下克服了传统方法需要联网进行恶意程序检测的缺点，并且本发明专利技术提供的方法可以增量学习以避免在接收新样本时重新训练耗时长的问题。

【技术实现步骤摘要】
一种基于宽度学习的Android平台恶意应用离线检测方法
本专利技术属于移动通信平台安全
，更具体地，涉及一种基于宽度学习的Android平台恶意应用离线检测方法。
技术介绍
随着移动通信技术的快速发展，以Android、iOS为主流操作系统的智能移动终端的普及率大幅度上升。由于价格、易用性等因素的影响，基于Android系统平台的智能手机的使用者占据了大多数，而用户使用Android智能手机的大部分时间其实是在使用基于Android平台的各种应用程序如微信、支付宝等等。各式各样的Android应用程序给人们生活带来极大便利的同时也需要人们将自己的私密信息等等作为凭据保存在Android平台或者云端服务器，快速滋生的恶意应用正是利用软件漏洞、界面劫持、破解接口等手段获取用户隐私并以此谋利，而由于Android的开源特性，恶意手机应用中的绝大多数都出现在Android平台。按操作系统分布统计，2016年CNCERT/CC捕获和通过厂商交换获得的移动互联网恶意程序主要针对Android平台，共有2053450个，占99.9％，位居第一。其次是Symbian平台，共有51个，占0.01％。由此可见，目前移动互联网地下产业的目标趋于集中，Android平台用户成为最主要的攻击对象。根据360互联网安全中心发布的2016年Android恶意软件专题报告，2016年全年累计截获Android平台新增恶意程序样本1403.3万个，平均每天新增3.8万恶意程序。360互联网安全中心累计检测到Android用户感染恶意程序2.53亿，平均每天恶意程序感染量约为70万人次。2016年Android平台新增恶意程序主要是资费消耗，占比高达74.2％；其次是恶意扣费(16.5％)、隐私窃取(6.1％)。钓鱼软件、勒索软件、色情播放器软件、顽固木马成为2016年流行的恶意软件。从移动威胁趋势上看，银行金融对象依然是攻击热点；移动平台仍然是勒索软件的重灾区；手机系统攻防技术更加激烈；针对企业移动办公的威胁加大；劫持路由器的新型木马给物联网或带来众多隐患；针对高级目标持续定向攻击的全平台化成为今后的主要趋势。因此，提出一种准确快速的Android恶意应用程序检测技术迫在眉睫。目前，Android平台的恶意应用检测主要是基于权限信息的预警，如在Android系统6.0版本中加入了运行时权限系统，在手机应用申请权限时以弹窗提醒手机用户该程序正在申请哪些权限，除此之外还包括基于云端程序样本库的恶意应用程序检测，如著名的360手机卫士、腾讯手机管家。针对基于权限信息的预警，Android系统运行时权限为120个，根据这些权限，用户其实并不能人工分别是否有害，所以手机用户更关心的是该应用是否为恶意应用；针对以云端程序样本库为关键的恶意应用程序检测，对网络的依赖是这一方式的软肋，因为重打包技术的存在使得要准确识别恶意程序必须将整个应用程序安装包上传到云端进行特征提取和分析，如基于深度学习模型的检测方法。因此Android平台恶意应用检测的重点需求是如何实现离线检测以及模型对于新型恶意应用模式的自适应学习。
技术实现思路
针对现有技术的以上缺陷或改进需求，本专利技术提供了一种基于宽度学习的Android平台恶意应用离线检测方法，其目的在于通过收集的Android应用程序样本集构建宽度学习模型，再将宽度学习模型移植到Android手机中对手机中的应用程序进行恶意程序的检测，并利用检测结果进行宽度学习模型的更新，实现了在离线的Android设备上识别正常应用程序和恶意应用程序，在保证准确率的前提下克服了传统方法需要联网进行恶意程序检测的缺点，并且本专利技术提供的方法可以增量学习以避免在接收新样本时重新训练耗时长的问题。为实现上述目的，本专利技术提供了一种基于宽度学习的Android平台恶意应用离线检测方法，所述方法(1)提取Android应用程序样本集中所有程序的静态特征和动态特征，将各个程序的静态特征和动态特征合并得到特征向量并放入特征向量集合；(2)利用所述特征向量集合进行预训练以建立宽度学习模型；(3)将所述宽度学习模型移植到Android手机上进行恶意应用的检测。进一步地，所述步骤(1)中提取Android应用程序的静态特征具体为：首先解压缩Android应用程序的安装包文件获取安装包内的源代码文件；之后分析所述源代码文件，获取Android应用程序请求的权限列表；最后将所述权限列表和Android系统所有权限的列表进行对比，提取静态特征向量。进一步地，所述步骤(1)中提取Android应用程序的动态特征具体为：首先在Android虚拟机上安装应用程序，持续运行之后利用系统日志获取Android应用的动态行为列表；将所述动态行为列表和关键行为列表进行对比，提取动态特征向量。进一步地，所述步骤(1)中特征向量集合分为训练样本集合和测试样本集合。进一步地，所述步骤(2)具体包括：(21)利用所述特征向量集合对宽度学习模型进行训练，并测试分类器性能；(22)增加节点数量，利用增量学习不断调整宽度学习模型架构进行训练，并测试分类器性能，当分类器性能达到设定阈值时，获取此时各层权重信息并保存宽度学习模型。进一步地，所述步骤(21)具体包括：(211)随机初始化分类器模型特征节点权重矩阵，并利用稀疏自编码使单个特征节点组紧凑化；(212)训练样本集合和所述特征节点权重矩阵进行矩阵乘法得到特征节点矩阵；(213)随机初始化增强节点权重矩阵；(214)将所述特征节点矩阵和所述增强节点权重矩阵相乘获得增强节点矩阵；(215)将所述特征节点矩阵和所述增强节点矩阵按列进行拼接得到输入矩阵；(216)求取所述输入矩阵的加号广义逆并和训练样本集合中的标签集进行矩阵乘法得到权重矩阵；(217)将测试样本集合替换训练样本集合重复步骤(212)、(214)和(215)中执行得到测试样本集合的输入矩阵；(218)将测试样本集合的输入矩阵和步骤(216)所得权重矩阵进行矩阵乘法得到预测标签集合，并将预测标签集合与集合中的标签集对比得到分类器性能。进一步地，所述步骤(22)具体包括：(221)增加节点数量，采用增量学习的方法对步骤(21)中所得模型权重矩阵进行调整；(222)循环执行步骤(221)，更新宽度学习模型和检测分类器性能，当分类器性能达到设定阈值时，保存此时的宽度学习模型；设定阈值取值范围为准确率达到70％～100％。进一步地，所述步骤(3)具体包括：(31)利用机器学习框架将宽度学习模型移植到Android手机上；(32)提取Android手机上所有应用程序的静态特征和动态特征，并将各个应用程序的静态特征和动态特征合并得到特征向量集合；(33)将所述Android手机特征向量集合输入到Android手机上的宽度学习模型，根据输出结果确定Android手机上应用程序是否为恶意应用。进一步地，所述步骤(3)还包括：(34)收集宽度学习模型不能正确识别的应用样本并提取样本特征；(35)利用样本特征对宽度学习模型进行增量学习，更新宽度学习模型。总体而言，通过本专利技术所构思的以上技术方案与现有技术相比，具有以下技术特征及有益效果：(1)本专利技术方法构建宽度学习模型对恶意应用进行检本文档来自技高网...

【技术保护点】
一种基于宽度学习的Android平台恶意应用离线检测方法，其特征在于，所述方法具体包括：(1)提取Android应用程序样本集中所有程序的静态特征和动态特征，将各个程序的静态特征和动态特征合并得到特征向量并放入特征向量集合；(2)利用所述特征向量集合进行预训练以建立宽度学习模型；(3)将所述宽度学习模型移植到Android手机上进行恶意应用的检测。

【技术特征摘要】
1.一种基于宽度学习的Android平台恶意应用离线检测方法，其特征在于，所述方法具体包括：(1)提取Android应用程序样本集中所有程序的静态特征和动态特征，将各个程序的静态特征和动态特征合并得到特征向量并放入特征向量集合；(2)利用所述特征向量集合进行预训练以建立宽度学习模型；(3)将所述宽度学习模型移植到Android手机上进行恶意应用的检测。2.根据权利要求1所述的一种Android平台恶意应用离线检测方法，其特征在于，所述步骤(1)中提取Android应用程序的静态特征具体为：首先解压缩Android应用程序的安装包文件获取安装包内的源代码文件；之后分析所述源代码文件，获取Android应用程序请求的权限列表；最后将所述权限列表和Android系统所有权限的列表进行对比，提取静态特征向量。3.根据权利要求1所述的一种Android平台恶意应用离线检测方法，其特征在于，所述步骤(1)中提取Android应用程序的动态特征具体为：首先在Android虚拟机上安装应用程序，持续运行之后利用系统日志获取Android应用的动态行为列表；将所述动态行为列表和关键行为列表进行对比，提取动态特征向量。4.根据权利要求1所述的一种Android平台恶意应用离线检测方法，其特征在于，所述步骤(1)中特征向量集合分为训练样本集合和测试样本集合。5.根据权利要求1所述的一种Android平台恶意应用离线检测方法，其特征在于，所述步骤(2)具体包括：(21)利用所述特征向量集合对宽度学习模型进行训练，并测试分类器性能；(22)增加节点数量，利用增量学习不断调整宽度学习模型架构进行训练，并测试分类器性能，当分类器性能达到设定阈值时，获取此时各层权重信息并保存宽度学习模型。6.根据权利要求4或5所述的一种Android平台恶意应用离线检测方法，其特征在于，所述步骤(21)具体包括：(211)随机初始化分类器模型特征节点权...

【专利技术属性】
技术研发人员：姜源，袁巍，李佳桓，尤新革，
申请(专利权)人：华中科技大学，
类型：发明
国别省市：湖北,42