The invention discloses a Android malware recognition method based on RGB image mapping, and collects malware set M to form a sample library. By mapping operating codes, sensitive API calls and high risk API features to color graphs, then learning feature images through deep learning, the optimal classification model is obtained, and then the detection is treated. The program generates the feature color map and input the classification model to get the test result. Compared with the existing technology, the invention improves the efficiency and accuracy of the malware classification; it has the characteristics of simple and efficient, avoids the excessive overhead of dynamic analysis and too much miscellaneous operation, and greatly improves the detection speed on the basis of ensuring the accuracy.
【技术实现步骤摘要】
基于RGB图像映射的安卓恶意软件识别方法
本专利技术涉及信息安全技术、逆向工程等多种领域,特别是涉及一种基于安卓操作系统平台的恶意软件的识别方法。
技术介绍
随着互联网技术的飞速发展,及安卓系统跃居移动终端最大份额的操作系统,针对移动设备的安全威胁也越来越多。互联网协会总结了恶意软件的特征并给出定义:恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户的计算机或其他终端上安装运行,侵害用户合法权益的软件。由于安卓系统的开发特性,及国内第三方应用分发商检测监控不严格,导致针对安卓的恶意软件数量逐年上升。目前,针对安卓平台下的恶意软件的检测,按照分析方式可分为动、静检测及基于云计算的检测。1)静态检测的主要方式为直接分析应用本身,根据代码及应用的其他特征检测程序是否存在恶意倾向;2)动态监测则需要在软件处于运行状态,通过跟踪、监控等技术手段,判断软件是否存在联网、获取隐私等行为,进而判断软件是否存在恶意。3)基于云计算的检测是针对移动设备在电量和计算能力方面的局限性,把检测方案部署到具备海量计算存储和大量计算能力的云端服务器上,在被检测设备上只保留代理软件来收集基本信息,检测结果通过网络发回服务器,从而提升检测效率及表现。
技术实现思路
本专利技术的目的在于针对上述问题,提出了一种基于RGB图像映射的安卓恶意软件识别方法,是一种基于静态分析的安卓恶意软件特征提取及多特征融合方案。通过将操作码特征、敏感API调用、高风险API特征映射成RGB图像,实现安卓操作系统下的恶意软件的有效分类。为了实现上诉目标,本专利技术采用如下技术方案:一种基于RGB图像映射的安卓 ...
【技术保护点】
1.一种基于RGB图像映射的安卓恶意软件识别方法,其特征在于,操作步骤如下:步骤一、收集足够量的标定的恶意程序集M,组成样本库;步骤二、对样本库中所有的Android程序的安装文件用解压缩工具进行解压缩,获取源码文件——.dex文件;步骤三、对源码文件采用逆向工程工具进行反编译,获取smali代码;步骤四、逐条分析语句,映射操作码特征为RGB图像中的R通道像素点;步骤五、逐条分析语句,映射API calls特征为RGB图像中的G通道像素点;步骤六、逐条分析语句,映射高风险API特征为RGB图像中的B通道像素点;步骤七、合并R、G、B三通道生成特征图像;步骤八、基于上述样本的特征图像,使用机器学习的方式进行分类训练,生成相应的分类模型;步骤九、获取待分类样本文件;根据步骤二~步骤七,生成对应的特征图像;步骤十、根据步骤八生成的分类模型、且以九生成的特征向量为输入,对待分类程序进行分类,得到判别结果。
【技术特征摘要】
1.一种基于RGB图像映射的安卓恶意软件识别方法,其特征在于,操作步骤如下:步骤一、收集足够量的标定的恶意程序集M,组成样本库;步骤二、对样本库中所有的Android程序的安装文件用解压缩工具进行解压缩,获取源码文件——.dex文件;步骤三、对源码文件采用逆向工程工具进行反编译,获取smali代码;步骤四、逐条分析语句,映射操作码特征为RGB图像中的R通道像素点;步骤五、逐条分析语句,映射APIcalls特征为RGB图像中的G通道像素点;步骤六、逐条分析语句,映射高风险API特征为RGB图像中的B通道像素点;步骤七、合并R、G、B三通道生成特征图像;步骤八、基于上述样本的特征图像,使用机器学习的方式进行分类训练,生成相应的分类模型;步骤九、获取待分类样本文件;根据步骤二~步骤七,生成对应的特征图像;步骤十、根据步骤八生成的分类模型、且以九生成的特征向量为输入,对待分类程序进行分类,得到判别结果。2.根据权利要求1所述的基于RGB图像映射的安卓恶意软件识别方法,其特征在于,步骤四的操作步骤如下:步骤A、读取一行Smali代码;步骤B、对读入代码进行切割:操作码,参数1,参数2;步骤C、取操作码的16进制表示;步骤D、映射16进制为0-255的数值;步骤F、存储数字到一维数组。3.根据权利要求1所述的基于RGB图像映射的安卓恶意软件识别方法,其特征在于,步骤五的操作步骤如下:步骤a、读取一行Smal...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。