【技术实现步骤摘要】
一种基于卷积神经网络的安卓恶意软件检测方法及系统
[0001]本专利技术涉及一种基于卷积神经网络的安卓恶意软件检测方法及系统,属于恶意软件检测
技术介绍
[0002]安卓系统因其开放性和简易性而广为流传,因而成为恶意软件肆虐的目标,这种情况使得安卓平台下各种针对恶意软件攻击的安全防护技术得到蓬勃发展,安卓恶意软件可视化检测技术即为其中备受关注的一种。
[0003]目前现有针对安卓软件的分类检测,做法多为其他平台(如windows)检测方案的移植,没有考虑到安卓平台的独特性,且没有考虑到比特流前后之间互相作用的联系,导致准确率偏低,检测有待于进一步提高;并且由于自动化代码编写、重用技术、以及安卓系统的开放性,相当一部分安卓恶意软件是由良性软件编写而来的,很难被可视化检测框架区分开来,使其容易产生漏报,表现为召回率不高。
技术实现思路
[0004]本专利技术所要解决的技术问题是提供一种基于卷积神经网络的安卓恶意软件检测方法,采用全新逻辑设计,解决了目前安卓检测方法中存在的准确率低、召回率低的问题...
【技术保护点】
【技术特征摘要】
1.一种基于卷积神经网络的安卓恶意软件检测方法,其特征在于:基于预设数量分别已知属于正常标签或恶意标签的各个安卓样本软件,按如下步骤A至步骤B,获得恶意软件识别模型;然后应用恶意软件识别模型,执行步骤i,针对目标安卓软件执行恶意检测;步骤A. 分别针对各个安卓样本软件,执行如下步骤A1至步骤A4,获得各个安卓样本软件分别所对应的频域特征图像,然后进入步骤B;步骤A1. 获得安卓样本软件压缩包中的classes.dex文件,并基于classes.dex文件的二进制数据流形式,通数据进制转换,获得classes.dex文件所对应的十六进制数据流,然后进入步骤A2;步骤A2. 针对classes.dex文件所对应的十六进制数据流,执行n
‑
gram处理,获得classes.dex文件所对应的各个gram分片,并进入步骤A3;步骤A3. 根据classes.dex文件所对应的各个gram分片,获得classes.dex文件所对应的三通道彩色图像,然后进入步骤A4;步骤A4. 针对classes.dex文件所对应的三通道彩色图像,执行频域变换映射处理,获得该三通道彩色图像所对应的频域特征图像,即该安卓样本软件所对应的频域特征图像;步骤B. 基于各个安卓样本软件,以安卓样本软件所对应频域特征图像为输入,安卓样本软件属于正常标签或恶意标签为输出,针对目标卷积神经网络进行训练,获得恶意软件识别模型;步骤i. 按步骤A1至步骤A4的方式,获得目标安卓软件所对应的频域特征图像,并应用恶意软件识别模型,获得目标安卓软件所属的正常标签或恶意标签,即实现对目标安卓软件进行恶意检测。2.根据权利要求1所述一种基于卷积神经网络的安卓恶意软件检测方法,其特征在于:所述步骤A1包括如下步骤A1
‑
1至步骤A1
‑
2;步骤A1
‑
1. 基于classes.dex文件的二进制数据流形式,以步长为4,顺序按每四位二进制数转化为一位十六进制数,获得所对应转换后的十六进制数据流,并进入步骤A1
‑
2;步骤A1
‑
2. 判断该十六进制数据流的长度是否为6的倍数,是则该十六进制数据流即作为classes.dex文件所对应的十六进制数据流;否则针对该十六进制数据流,通过末尾最少位数补0的方式,获得长度为6的倍数的十六进制数据流,作为classes.dex文件所对应的十六进制数据流。3.根据权利要求2所述一种基于卷积神经网络的安卓恶意软件检测方法,其特征在于:所述步骤A2中,应用滑动步长为6、窗口长度为6的滑动窗口,将classes.dex文件所对应的十六进制数据流进行划分,获得各个长度为6的gram分片,即classes.dex文件所对应的各个gram分片。4.根据权利要求3所述一种基于卷积神经网络的安卓恶意软件检测方法,其特征在于:所述步骤A3包括如下步骤A3
‑
1至步骤A3
‑
4;步骤A3
‑
1. 初始化256*256*3、像素值均为0的三通道基础图像,并进入步骤A3
‑
2;步骤A3
‑
2. 分别针对classes.dex文件所对应的各个gram分片,顺序选择第一个十六进制数与第二个十六进制数...
【专利技术属性】
技术研发人员:秦素娟,王远奔,金正平,时忆杰,温巧燕,李明柱,张胜,陈飞,陈静华,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。