【技术实现步骤摘要】
基于AndroGRU的安卓恶意软件静态检测方法
本专利技术涉及一种安卓恶意软件静态检测方法,尤其是一种基于AndroGRU的安卓恶意软件静态检测方法。
技术介绍
目前,现有的针对未知安卓恶意软件进行静态检测,一般将现有的深度学习技术直接应用到安卓恶意软件的静态检测中,由于没有考虑安卓恶意软件的特点,因此对于安卓恶意软件的检测效果没有在图像等领域效果明显。
技术实现思路
基于上述问题,本专利技术提供了一种基于AndroGRU的安卓恶意软件静态检测方法。首先,对安卓APK文件进行逆向工程处理,并从中提取敏感函数调用序列和Intents特征,将其作为深度学习模型的训练数据。对于恶意软件来说,不同恶意软件的敏感函数调用序列之间存在一定的相似性。本专利技术创造采用文本相似性原理对GRU结构进行了改进,并提出了基于GRU的安卓恶意软件检测模型——AndroGRU。本专利技术创造采用的技术方案为:一种基于AndroGRU的安卓恶意软件静态检测方法,其特征在于,其步骤为:1)使用Androguar...
【技术保护点】
1.一种基于AndroGRU的安卓恶意软件静态检测方法,其特征在于,其步骤为:/n1)使用Androguard逆向工具对安卓APK文件进行反编译,解析AndroidManifest.xml并提取安卓应用程序用到的Intents特征;/n2)采用androcg.py来生成函数调用图并从中提取敏感函数调用序列;/n3)模型训练模块负责基于提取的静态特征对AndroGRU模型进行训练,检测模块通过训练好的AndroGRU模型对未知的安卓APK样本进行检测。/n
【技术特征摘要】
1.一种基于AndroGRU的安卓恶意软件静态检测方法,其特征在于,其步骤为:
1)使用Androguard逆向工具对安卓APK文件进行反编译,解析AndroidManifest.xml并提取安卓应用程序用到的Intents特征;
2)采用androcg.py来生成函数调用图并从中提取敏感函数调用序列;
3)模型训练模块负责基于提取的静态特征对AndroGRU模型进行训练,检测模块通过训练好的AndroGRU模型对未知的安卓APK样本进行检测。
2.根据权利要求1所述的一种基于AndroGRU的安卓恶意软件静态检测方法,其特征在于,所述的步骤2)中具体方法为:
2.1)对函数调用图进行预处理,通过Androguard逆向工具对函数调用图进行过滤,将函数调用图简化,使其仅包含敏感函数调用;
2.2)对敏感函数调用图进行遍历,从图中提取敏感函数调用序列,将提取的敏感函数调用序列作为训练数据。
3.根据权利要求1所述的一种基于AndroGRU的安卓恶意软件静态检测方法,其特征在于,所述的步骤3)中,AndroGRU模型为:将文本相似性原理与GRU结构进行结合,通过分析GRU结构的门限机制从而对其内部结构进行改进,提出的一种基于GRU的安卓恶意软件检测模型。
4.根据权利要求1所述的一种基于AndroGRU的安卓恶意软件静态检测方法,其特征在于,所述的步骤3)中,
3.1)基于输入数据的相似度计算:
GRU的输入数据xt是对原始数据的向量化表示,对相邻两个GRU单元的输入数据进行相似度计算,可以得到一个相似度:s=sim(xt-1,xt);通过该相似度可以得到xt-1和xt之间的差异信息:Δx=(1-s)xt-1;将对输入数据进行相似度计算的GRU结构命名为InputGRU;
将相邻两个GRU单元的输入数据之间的差异信息和当前的输入数据一起输入到重置门和更新门中,由它们来控制信息的传递过程,并从中学习到更多的抽象信息:
zt=σ(Wzxt+UΔx(1-sim(xt-1,xt))xt-1+Uzht-1+bz)(3)
rt=σ(Wrxt+UΔx(1-sim(xt-1,xt))xt-1+Urht-1+br)(4)
对于候选状态选择将输入数据xt作为输入,保留当前时间步的输入信息:
隐藏状态ht是从输入数据和隐藏状态中学习到的信息;在t时间步,InputGRU的隐藏状态ht的计算公式如下:
5.根据权利要求4所述的一种基于AndroGRU的安卓恶意软件静态检测方法,其特征在于,所述的步骤3)中,
3.2)基于隐藏状态的相似度...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。