【技术实现步骤摘要】
基于多模态图特征的安卓恶意软件检测方法及系统
[0001]本专利技术属于恶意代码分析
,提供了一种基于多模态图特征的安卓恶意软件检测方法及系统。
技术介绍
[0002]随着互联网技术的不断发展和智慧城市理念的不断贯彻,安卓操作系统因其开源性、可扩展性等优点,逐渐成为了移动终端设备中搭载最广泛的操作系统。因此,安卓系统的安全问题成为了关乎广大用户们隐私与财产安全的关键,安卓软件也成为了黑客们攻击的主要目标。
[0003]目前在Android恶意软件检测与分类方法的研究中,图神经网络显示出很大的潜力,成为了近期的研究热点,因为在对特征的表示中,图结构能极大程度地对行为进行表示和存储,而图神经网络能够更好地挖掘和学习图结构数据中的信息,包括图节点自身的信息以及图的拓扑信息。
[0004]在文献《GDroid: Android malware detection and classification with graph convolutional network》中,Gao等人将应用程序和API映射成一个大的...
【技术保护点】
【技术特征摘要】
1.一种基于多模态图特征的安卓恶意软件检测方法,其特征在于,包括如下步骤:步骤1:对AndroidAPK文件进行静态分析,使用静态分析工具获取其静态特征,得到权限特征、API、类、接口特征、.SO文件特征以及组件特征;步骤2:对AndroidAPK文件进行动态分析,使用动态分析沙箱获取其动态特征,得到系统调用特征;步骤3:以步骤1得到的静态特征与步骤2得到的动态特征作为多维度特征进行处理,对于多维特征中的每一种特征基于每一种特征的依赖关系将每一种特征转化为图结构特征数据,得到多维度图结构特征;步骤4:使用图嵌入方法对步骤3中获取到的多维度图结构特征进行向量化处理,得到多维度图特征向量;步骤5:使用注意力机制和图神经网络对步骤4中获取的多维度图特征向量进行学习,得到训练好的智能分类器;步骤6:使用训练好的智能分类器对待测AndroidAPK进行分类,得到该APK的分类结果。2.根据权利要求1所述的一种基于多模态图特征的安卓恶意软件检测方法,其特征在于,所述步骤3的具体步骤为:对于步骤1和步骤2中获得的每一种特征,基于每一种特征的依赖关系生成图结构特征数据:对于权限特征,根据权限类型生成权限星图;对于API、类和接口特征,根据调用关系分别生成不同粒度的控制流图;对于.SO文件特征,使用二进制分析工具Angr生成Native层控制流图;对于组件特征,使用组件分析工具生成组件间通信图;对于系统调用特征,根据系统调用顺序生成系统调用图。3.根据权利要求1所述的一种基于多模态图特征的安卓恶意软件检测方法,其特征在于,所述步骤4的具体步骤为:对于步骤3中获得的每一种图结构特征,使用图嵌入方法生成图结构向量:对于权限星图,以权限星图的图拓扑结构和权限种类作为图特征,通过图嵌入生成权限图向量;对于控制流图,以控制流图的图拓扑结构和对应的API、类和接口种类作为图特征,通过图嵌入生成不同粒度的控制流图向量;对于Native层控制流图,以Native层控制流图的图拓扑结构和调用函数名作为图特征,通过图嵌入生成Native层控制流图向量;对于组件间通信图,以组件间通信图的图拓朴结构和组件类型作为图特征,通过图嵌入生成组件间通信图向量;对于系统调用图,以系统调用图的图拓扑结构和系统调用种类作为图特征,通过图嵌入生成系统调用图向量;拓朴结构就是图中的节点与边的连接关系,表明图的一个结构信息,也可以理解成图的形状。4.根据权利要求1所述的一种基于多模态图特征的安卓恶意软件检测方法,其特征在于,所述步骤5的具体步骤为:
对于步骤4获得的多维度图特征向量中的每一种图特征向量,使用注意力机制调整不同种类的图特征向量的权重,通过图神经网络学习图特征向量中保存的应用程序行为信息,得到训练好的神经网...
【专利技术属性】
技术研发人员:牛伟纳,巩嘉诚,张小松,刘星宇,段治秦,朱宇坤,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。