【技术实现步骤摘要】
一种安卓恶意应用的检测方法及装置
[0001]本申请涉及检测
,尤其涉及一种安卓恶意应用的检测方法及装置。
技术介绍
[0002]Android系统是现在最主要的移动设备操作系统,然而因为其开源特征,用户数量多,开发应用门槛不高等原因,使得难以被监管,这也导致了安卓恶意应用越来越多,给用户带来了严重的损失。基于目前的网络安全态势,如何有效地检测出安卓恶意应用成为目前研究的热点。
[0003]目前,对大部分的安卓恶意应用检测方法都是通过收集大量的带标签的安卓应用,然后通过机器学习或深度学习的方式,对大量的样本进行训练;然后由于需要获取大量标签数据并且需要对大量的标签数据进行训练,使得检测成本非常大、并且需要耗费大量的时间,而且无法对新出现的安卓恶意应用进行检测。
技术实现思路
[0004]本申请实施例提供了一种安卓恶意应用的检测方法及装置,用于解决现有技术检测成本非常大以及需要耗费大量的时间,而且无法对新出现的安卓恶意应用进行检测的技术问题。
[0005]有鉴于此,本申请第一方面提供了一种安卓恶意应用的检测方法,所述方法包括:
[0006]S1、采集包括恶意应用和良性应用的安卓应用数据集,所述数据集由元训练集和元测试集组成,并将所述元训练集和所述元测试集均划分为多个任务,所述任务包括支撑集和查询集;
[0007]S2、对所述安卓应用进行反编译得到反编译文件,提取所述反编译文件的API包特征、权限特征、组件特征、硬件特征、intent特征和OpCode特征,得到所述安 ...
【技术保护点】
【技术特征摘要】
1.一种安卓恶意应用的检测方法,其特征在于,包括:S1、采集包括恶意应用和良性应用的安卓应用数据集,所述数据集由元训练集和元测试集组成,并将所述元训练集和所述元测试集均划分为多个任务,所述任务包括支撑集和查询集;S2、对所述安卓应用进行反编译得到反编译文件,提取所述反编译文件的API包特征、权限特征、组件特征、硬件特征、intent特征和OpCode特征,得到所述安卓应用的总体特征;S3、分别获取所述API包特征、所述权限特征、所述组件特征、所述硬件特征、所述intent特征和所述OpCode特征的特征值后并依次进行前后拼接,得到所述总体特征的特征向量;S4、建立包括由多个卷积层和多个池化层交替排列以及全连接层构成的卷积神经网络模型,并对所述卷积神经网络模型的参数进行初始化;S5、从所述多个任务中提取若干个任务得到批任务,通过所述批任务中的每个任务的支撑集分别对所述卷积神经网络模型进行训练,得到所述卷积神经网络模型的更新参数集,基于reptile算法,根据所述更新参数集计算得到所述批任务的平均损失梯度,通过所述平均损失梯度对所述卷积神经网络模型的参数进行更新;S6、判断所述卷积神经网络模型是否达到预置训练次数,若否,返回步骤S5,若是,通过所述元训练集对所述卷积神经网络模型进行元训练,得到所述安卓应用的检测模型,将所述元测试集的特征向量输入到所述检测模型进行计算,得到所述安卓应用的分类结果。2.根据权利要求1所述的安卓恶意应用的检测方法,其特征在于,所述通过所述批任务中的每个任务的支撑集分别对所述卷积神经网络模型进行训练,得到所述卷积神经网络模型的更新参数,之后还包括:基于reptile算法,根据所述更新参数集分别计算所述批任务中的每个任务的损失梯度,分别根据所述损失梯度对所述卷积神经网络模型的参数进行更新后,通过每个任务对应的所述查询集对所述卷积神经网络模型进行分类准确率测试。3.根据权利要求1所述的安卓恶意应用的检测方法,其特征在于,步骤S2,具体包括:通过androguard反编译工具对所述安卓应用进行反编译得到反编译文件,对所述API包特征、所述权限特征、所述组件特征、所述硬件特征、所述intent特征的使用情况进行提取;并通过apktool反编译apk文件得到Dalivk指令集,对所述Dalivk指令集中反应程序语义的指令集进行提取,得到所述安卓应用的总体特征。4.根据权利要求1所述的安卓恶意应用的检测方法,其特征在于,步骤S3,具体包括:获取所述API包特征被所述安卓应用调用的次数,得到所述API包特征的特征值;获取所述权限特征的独立状态,得到所述权限特征的特征值;获取所述组件在所述安卓应用的数量值,得到所述组件特征的特征值;获取所述硬件特征被所述安卓应用调用的次数,得到所述硬件特征的特征值;获取所述intent特征在所述安卓应用出现的次数,得到所述intent特征的特征值;根据所述OpCode特征建立N-Gram模型,对所述反编译文件提取N-gram特征,得到所述OpCode特征的特征值;将所述API包特征的特征值、所述权限特征的特征值、所述组件特征的特征值、所述硬件特征的特征值、所述intent特征的特征值依次进行前后拼接,得到所述总体特征的特征
向量。5.根据权利要求1所述的安卓恶意应用的检测方法,其特征在于,步骤S4,具体包括:建立包括由多个卷积层和多个池化层交替排列以及全连接层构成的卷积神经网络模型,所述全连接层设置有dropout方法以及SoftMax层,并将激活函数设置为ReLu函数或者Leaky ReLu函数;通过正态分布随机数方式对所述卷积神经网络模型的参数进行初...
【专利技术属性】
技术研发人员:黄剑锋,林华智,苏庆,刘添添,李小妹,
申请(专利权)人:广东工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。