一种安卓应用灰色行为分类方法、系统、设备及存储介质技术方案

本发明专利技术公开了一种安卓应用灰色行为分类方法、系统、设备及存储介质，包括获取APK文件的函数调用图，将函数调用图输入图嵌入神经网络模型，得到图嵌入向量，将图嵌入向量进行聚类操作，得到APK文件簇，对APK文件簇中的文件进行真机测试与反编译，得到文件簇中的文件的灰色行为类别，实现了更加全面的提取安卓安装包的特征，提高了安卓应用灰色行为分类的准确率，增强了安卓应用的安全性。增强了安卓应用的安全性。增强了安卓应用的安全性。

【技术实现步骤摘要】
一种安卓应用灰色行为分类方法、系统、设备及存储介质


[0001]本专利技术涉及网络安全相关
，尤其是涉及一种安卓应用灰色行为分类方法、系统、设备及存储介质。

技术介绍

[0002]目前，安卓操作系统全球市场份额达到了69.74％，占据全球移动操作系统市场占有率的榜首，具有海量的用户群体与使用场景。基于安卓操作系统的开源特性，用户可以在开源平台自由获取不同功能的应用，并安装在不同设备上使用。但也正是因为安卓操作系统的开源特性，使其面临严重的安全威胁，如隐私泄露，远程控制，后门攻击。
[0003]对企业以及开源平台上提供的无标签安卓应用APK文件的实证研究表明，一些安卓应用APK文件存在对麦克风和相机的敏感操作，如静默录音，SMS远程控制等行为。一方面，这些应用程序隐蔽行为会使用户泄露其语音以及肖像等重要隐私，带来严重的安全威胁；另一方面，静默录音等功能可以在用户受到非法侵犯时记录证据，达到保护用户合法权益的目的。这种应用行为被学术界定义为安卓灰色行为，检测这种灰色行为的研究任务称为安卓灰色行为检测。
[0004]现有技术主要通过采集现有工业界无标签的安卓应用APK文件，提取权限，API调用，Intent，字符串等基础特征，结合社区检测聚类算法得到聚类APK文件簇，最后通过手工分析得到了灰色行为类别，但是提取APK文件的特征较为简单，会存在遗漏关键特征的问题。

技术实现思路

[0005]本专利技术旨在至少解决现有技术中存在的技术问题。为此，本专利技术提出一种安卓应用灰色行为分类方法、系统、设备及存储介质，能够更加全面的提取安卓安装包的特征，提高了安卓应用灰色行为分类的准确率，增强了安卓应用的安全性。
[0006]本专利技术的第一方面，提供了一种安卓应用灰色行为分类方法，包括如下步骤：
[0007]获取APK文件的函数调用图；
[0008]将所述函数调用图输入图嵌入神经网络模型，得到图嵌入向量；
[0009]将所述图嵌入向量进行聚类操作，得到APK文件簇；
[0010]对所述APK文件簇中的文件进行真机测试与反编译，得到所述文件簇中的文件的灰色行为类别。
[0011]根据本专利技术的实施例，至少具有如下技术效果：
[0012]本方法通过获取APK文件的函数调用图，将函数调用图输入图嵌入神经网络模型，得到图嵌入向量，将图嵌入向量进行聚类操作，得到APK文件簇，对APK文件簇中的文件进行真机测试与反编译，得到文件簇中的文件的灰色行为类别，实现了更加全面的提取安卓安装包的特征，提高了安卓应用灰色行为分类的准确率，增强了安卓应用的安全性。
[0013]根据本专利技术的一些实施例，所述获取APK文件的函数调用图，包括：
[0014]根据Androguard生成所述APK文件的候选函数调用图；
[0015]计算所述候选函数调用图的节点度数；
[0016]从所述候选函数调用图中选取出函数调用图，其中，所述函数调用图的所述节点度数大于预设节点度数。
[0017]根据本专利技术的一些实施例，所述图嵌入神经网络模型为GPT
‑
GNN模型，所述将所述函数调用图输入图嵌入神经网络模型，得到图嵌入向量，包括：
[0018]获取所述函数调用图的每一个节点的初始特征向量；
[0019]将所述函数调用图输入所述GPT
‑
GNN模型，以使得所述GPT
‑
GNN模型根据所述函数调用图的每一个节点的初始特征向量，得到所述图嵌入向量。
[0020]根据本专利技术的一些实施例，所述获取所述函数调用图的每一个节点的初始特征向量，包括：
[0021]利用APKtool反编译所述APK文件，得到smali文件；
[0022]将所述函数调用图的每一个节点与所述smali文件中的smali代码进行匹配，得到每一个节点的smali代码匹配结果；
[0023]根据所述smali代码匹配结果和Androguard生成所述函数调用图的每一个节点对应的控制流图；
[0024]根据所述控制流图中的节点位置与所述节点对应的函数的smali代码，计算得到所述节点对应的函数的smali指令序列；
[0025]根据SimCSE模型生成所述smali指令序列的序列特征向量，得到每一个所述节点的初始特征向量。
[0026]根据本专利技术的一些实施例，所述将所述图嵌入向量进行聚类操作，得到APK文件簇，包括：
[0027]根据高斯核距离的全连接方式构建所述图嵌入向量的相似矩阵，并根据所述相似矩阵构建邻接矩阵和度矩阵；
[0028]根据所述邻接矩阵和所述度矩阵计算得到标准化后的拉普拉斯矩阵，其中，所述根据所述邻接矩阵和所述度矩阵计算得到标准化后的拉普拉斯矩阵的计算公式为：
[0029][0030]其中，L为拉普拉斯矩阵，D为所述度矩阵，W为所述邻接矩阵；
[0031]计算所述拉普拉斯矩阵的前k1个特征值和所述前k1个特征值对应的特征向量，所述k1为预设值；
[0032]将所述前k1个特征值对应的特征向量按行标准化，组成N
×
k1维的特征矩阵，所述N为APK文件总数；
[0033]将所述特征矩阵利用改进的K
‑
means聚类算法进行聚类，得到APK文件簇。
[0034]根据本专利技术的一些实施例，所述将所述特征向量利用改进的K
‑
means聚类算法进行聚类，得到APK文件簇，包括：
[0035]步骤S1、从所述APK文件中随机选择k个APK文件作为第一次聚类中心，所述k为预先设置的APK文件簇数；
[0036]步骤S2、根据安卓官方文档定义的类型遍历APK文件的函数调用图，得到所述APK
文件的类型标签，根据所述类型标签计算初始相似度，其中，所述根据所述类型标签计算初始相似度的计算公式为：
[0037][0038]其中，α(x,C
k
)为第x个APK文件和第k个APK文件簇的聚类中心的初始相似度，β为0到1的随机数；
[0039]步骤S3、根据所述初始相似度计算每个APK文件与所述第一次聚类中心之间的最短距离，其中，所述根据所述初始相似度计算每个APK文件与所述聚类中心之间的最短距离的计算公式为：
[0040]D(x)＝min{dist(x,C
k
)
×
α(x,C
k
),x∈X,k＝1,2,
…
}
[0041]其中，X为所有APK文件的集合，C
k
为第k个APK文件簇的聚类中心，dist(x,C
k
)为第x个APK文件和第k个APK文件簇的聚类中心之间的欧式距离；
[0042]步骤S4、将所述APK文件归类到所述最短距离最小的聚类中心所对应的文件簇中，得到k个第二次APK文件簇，并根据所述最短距离计算每一个APK文件被选为下本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安卓应用灰色行为分类方法，其特征在于，所述安卓应用灰色行为分类方法包括：获取APK文件的函数调用图；将所述函数调用图输入图嵌入神经网络模型，得到图嵌入向量；将所述图嵌入向量进行聚类操作，得到APK文件簇；对所述APK文件簇中的文件进行真机测试与反编译，得到所述文件簇中的文件的灰色行为类别。2.根据权利要求1所述的一种安卓应用灰色行为分类方法，其特征在于，所述获取APK文件的函数调用图，包括：根据Androguard生成所述APK文件的候选函数调用图；计算所述候选函数调用图的节点度数；从所述候选函数调用图中选取出函数调用图，其中，所述函数调用图的所述节点度数大于预设节点度数。3.根据权利要求2所述的一种安卓应用灰色行为分类方法，其特征在于，所述图嵌入神经网络模型为GPT
‑
GNN模型，所述将所述函数调用图输入图嵌入神经网络模型，得到图嵌入向量，包括：获取所述函数调用图的每一个节点的初始特征向量；将所述函数调用图输入所述GPT
‑
GNN模型，以使得所述GPT
‑
GNN模型根据所述函数调用图的每一个节点的初始特征向量，得到所述图嵌入向量。4.根据权利要求3所述的一种安卓应用灰色行为分类方法，其特征在于，所述获取所述函数调用图的每一个节点的初始特征向量，包括：利用APKtool反编译所述APK文件，得到smali文件；将所述函数调用图的每一个节点与所述smali文件中的smali代码进行匹配，得到每一个节点的smali代码匹配结果；根据所述smali代码匹配结果和Androguard生成所述函数调用图的每一个节点对应的控制流图；根据所述控制流图中的节点位置与所述节点对应的函数的smali代码，计算得到所述节点对应的函数的smali指令序列；根据SimCSE模型生成所述smali指令序列的序列特征向量，得到每一个所述节点的初始特征向量。5.根据权利要求4所述的一种安卓应用灰色行为分类方法，其特征在于，所述将所述图嵌入向量进行聚类操作，得到APK文件簇，包括：根据高斯核距离的全连接方式构建所述图嵌入向量的相似矩阵，并根据所述相似矩阵构建邻接矩阵和度矩阵；根据所述邻接矩阵和所述度矩阵计算得到标准化后的拉普拉斯矩阵，其中，所述根据所述邻接矩阵和所述度矩阵计算得到标准化后的拉普拉斯矩阵的计算公式为：其中，L为拉普拉斯矩阵，D为所述度矩阵，W为所述邻接矩阵；
计算所述拉普拉斯矩阵的前k1个特征值和所述前k1个特征值对应的特征向量，所述k1为预设值；将所述前k1个特征值对应的特征向量按行标准化，组成N
×
k1维的特征矩阵，所述N为APK文件总数；将所述特征矩阵利用改进的K
‑
means聚类算法进行聚类，得到APK文件簇。6.根据权利要求5所述的一种安卓应用灰色行为分类方法，其特征在于，所述将所述特征向量利用改进的K
‑
means聚类算法进行聚类，得到APK文件簇，包括：步骤S1、从所述APK文件中随机选择k个APK文件作为第一次聚类中心，所述k为预先设置的APK文件簇数；步骤S2、根据安卓官方文档定义的类型遍历APK文件的函数调用图，得到所述APK文件的类型标签，根据所述类型标签计算初始相似度，其中，所述根据所述类型标签计算初始相似度的计算公式为：其中，α(x,C
k
)为第x个APK文件和第k个APK文件簇的聚类中心的初始相似度，β为0到1的随机数；步骤S3、根据所述初始相似度计算每个APK文件与所述第一次聚类中心之间的最短距离，其中，所述根据所述初始相似度计算每个APK文件与所述聚类中心之间的最短距离的计算公式为：D(x)＝min{dist(x,C
k
)
×
α(x,C
k
),x∈X,k＝1,2,....}其中，X为所有APK文件的集合，C
k
为第k个A...

【专利技术属性】
技术研发人员：付才，李晓，许浩，
申请(专利权)人：湖南大佳数据科技有限公司，
类型：发明
国别省市：