基于隐式关系挖掘的安卓恶意软件检测方法及装置制造方法及图纸

本申请公开了一种基于隐式关系挖掘的安卓恶意软件检测方法及装置，其中，方法包括：根据安卓应用程序样本和对应的多个实体构建安卓异构信息网络；对安卓异构信息网络中的多种关系进行建模来得到关系矩阵，把关系矩阵与元路径结合起来，得到所有实体特征向量；将模型化的关系矩阵与设计的语义元路径结合来学习得到应用程序的表示；将应用程序的表示图像化，转成灰度图像，并使用图像特征提取算法提取灰度图特征作为应用程序的特征表示；将提取到的应用程序特征向量作为输入，通过多层感知器模型的训练和学习之后，输出恶意应用程序的检测结果。对应用程序的检测准确率高、速度快、通用性强。解决了相关技术中检测准确率低、难度大、成本高等问题。成本高等问题。成本高等问题。

【技术实现步骤摘要】
基于隐式关系挖掘的安卓恶意软件检测方法及装置


[0001]本申请涉及网络安全
，特别涉及一种基于隐式关系挖掘的安卓恶意软件检测方法及装置。

技术介绍

[0002]安卓系统是市场上最受欢迎的移动智能操作系统，拥有大量的用户群体。但是由于安卓系统的开放性以及安卓应用市场的不规范性，安卓恶意软件的数量急剧增长，而且具有数量大、传播快、变种多等特点，严重威胁到用户的个人信息安全。因此，研究与开发恶意软件的检测分析及防御技术至关重要。
[0003]目前大部分安卓恶意软件检测方法是基于特征代码的，这种方法检测速度快，但是检测准确率较低，而且需要及时更新特征库，随着安卓恶意应用的爆炸式增长，代码混淆、加密等躲避检测手段的增加，进一步加大了检测的难度和成本。还有一种安卓恶意软件检测方法是基于行为特征的，这种方法可以解决代码混淆问题，但是检测时需要收集大量的特征，对检测环境和时间的要求较高，会消耗大量的计算资源和时间。

技术实现思路

[0004]本申请提供一种基于隐式关系挖掘的安卓恶意软件检测方法及装置，以解决相关技术中基于特征代码进行恶意检测，检测准确率低，且需要及时更新特征库，检测难度大，成本高，以及基于行为特征进行检测，消耗大量的计算资源和时间等问题。
[0005]本申请第一方面实施例提供一种基于隐式关系挖掘的安卓恶意软件检测方法，包括以下步骤：将安卓应用程序样本和对应的多个实体作为节点，且将节点之间的关系作为边，构建安卓异构信息网络，其中，所述安卓应用程序样本包括良性应用程序和恶意应用程序；对所述安卓异构信息网络中的多个节点之间的多种关系进行建模，生成多个对应的关系矩阵，并利用元路径指定实体间的语义路径，利用预设的语法模型学习节点的表示，得到每个应用程序的多种实体特征向量；将所述每个应用程序的多种实体特征向量的算术平均值作为所述每个应用程序的向量表示，和/或在所述每个应用程序的多种实体特征向量中按列找到最大值作为所述每个应用程序的向量表示；将所述每个应用程序的向量表示转换为灰度图像，并提取所述灰度图像的特征向量，作为所述每个应用程序的特征表示；将所述每个应用程序的特征表示作为输入，所述恶意应用程序和所述良性应用程序的检测结果作为输出训练神经网络模型，通过训练后的所述模型进行恶意软件检测。
[0006]可选地，在本申请的一个实施例中，在构建所述安卓异构信息网络之前，还包括：对所述安卓应用程序样本的软件应用包文件进行反编译，得到所有源文件；从所述所有源文件中提取描述所述每个应用程序特性的多个实体。
[0007]可选地，在本申请的一个实施例中，所述多个实体包括应用程序的权限、接口、动态链接和外部存储中的一项或多项。
[0008]可选地，在本申请的一个实施例中，所述将所述每个应用程序的向量表示转换为
灰度图像，并提取所述灰度图像的特征向量，作为所述每个应用程序的特征表示，包括：将所述每个应用程序的向量表示进行二进制序列化，得到所述每个应用程序的二进制序列；由所述二进制序列转为灰度值矩阵，并将所述灰度值矩阵生成所述每个应用程序的灰度图像；提取所述每个应用程序的灰度图像的特征向量，并作为最终所述每个应用程序的特征表示。
[0009]可选地，在本申请的一个实施例中，所述神经网络模型包括多层感知神经网络模型。
[0010]本申请第二方面实施例提供一种基于隐式关系挖掘的安卓恶意软件检测装置，包括：构建模块，用于将安卓应用程序样本和对应的多个实体作为节点，且将节点之间的关系作为边，构建安卓异构信息网络，其中，所述安卓应用程序样本包括良性应用程序和恶意应用程序；建模模块，用于对所述安卓异构信息网络中的多个节点之间的多种关系进行建模，生成多个对应的关系矩阵，并利用元路径指定实体间的语义路径，利用预设的语法模型学习节点的表示，得到每个应用程序的多种实体特征向量；向量表示模块，用于将所述每个应用程序的多种实体特征向量的算术平均值作为所述每个应用程序的向量表示，和/或在所述每个应用程序的多种实体特征向量中按列找到最大值作为所述每个应用程序的向量表示；提取模块，用于将所述每个应用程序的向量表示转换为灰度图像，并提取所述灰度图像的特征向量，作为所述每个应用程序的特征表示；检测模块，用于将所述每个应用程序的特征表示作为输入，所述恶意应用程序和所述良性应用程序的检测结果作为输出训练神经网络模型，通过训练后的所述模型进行恶意软件检测。
[0011]可选地，在本申请的一个实施例中，还包括：处理模块，用于在构建所述安卓异构信息网络之前，对所述安卓应用程序样本的软件应用包文件进行反编译，得到所有源文件，从所述所有源文件中提取描述所述每个应用程序特性的多个实体。
[0012]可选地，在本申请的一个实施例中，所述多个实体包括应用程序的权限、接口、动态链接和外部存储中的一项或多项。
[0013]本申请第三方面实施例提供一种电子设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序，以实现如上述实施例所述的基于隐式关系挖掘的安卓恶意软件检测方法。
[0014]本申请第四方面实施例提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行，以用于实现如上述实施例所述的基于隐式关系挖掘的安卓恶意软件检测方法。
[0015]本申请的实施例从安卓应用程序样本的软件应用包文件中提取多种实体构建一个安卓异构信息网络，使用关系矩阵和元路径来获取各个实体特征，通过聚合操作来学习应用程序特征表示的模型方法，并将应用程序的表示图像化，通过二次提取图像特征获得应用程序的特征表示，使用多层感知神经网络对安卓应用程序进行分类，对应用程序的检测准确率高、检测速度快、通用性强。由此，解决了相关技术中基于特征代码进行恶意检测，检测准确率低，且需要及时更新特征库，检测难度大，成本高，以及基于行为特征进行检测，消耗大量的计算资源和时间等问题。
[0016]本申请附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本申请的实践了解到。
附图说明
[0017]本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：
[0018]图1为根据本申请实施例提供的一种基于隐式关系挖掘的安卓恶意软件检测方法的流程图；
[0019]图2为根据本申请实施例提供的一种基于隐式关系挖掘的安卓恶意软件检测框架图；
[0020]图3为根据本申请实施例提供的一种异构信息网络构建的流程图；
[0021]图4为根据本申请实施例提供的一种实体特征表示的流程图；
[0022]图5为根据本申请实施例提供的一种应用程序特征表示的流程图；
[0023]图6为根据本申请实施例提供的一种应用程序表示灰度图像化并提取特征的流程图；
[0024]图7为根据本申请实施例的基于隐式关系挖掘的安卓恶意软件检测装置的示例图；
[0025]图8为申请实施例提供的电子设备的结构本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于隐式关系挖掘的安卓恶意软件检测方法，其特征在于，包括以下步骤：将安卓应用程序样本和对应的多个实体作为节点，且将节点之间的关系作为边，构建安卓异构信息网络，其中，所述安卓应用程序样本包括良性应用程序和恶意应用程序；对所述安卓异构信息网络中的多个节点之间的多种关系进行建模，生成多个对应的关系矩阵，并利用元路径指定实体间的语义路径，利用预设的语法模型学习节点的表示，得到每个应用程序的多种实体特征向量；将所述每个应用程序的多种实体特征向量的算术平均值作为所述每个应用程序的向量表示，和/或在所述每个应用程序的多种实体特征向量中按列找到最大值作为所述每个应用程序的向量表示；将所述每个应用程序的向量表示转换为灰度图像，并提取所述灰度图像的特征向量，作为所述每个应用程序的特征表示；以及将所述每个应用程序的特征表示作为输入，所述恶意应用程序和所述良性应用程序的检测结果作为输出训练神经网络模型，通过训练后的所述模型进行恶意软件检测。2.根据权利要求1所述的方法，其特征在于，在构建所述安卓异构信息网络之前，还包括：对所述安卓应用程序样本的软件应用包文件进行反编译，得到所有源文件；从所述所有源文件中提取描述所述每个应用程序特性的多个实体。3.根据权利要求1或2所述的方法，其特征在于，所述多个实体包括应用程序的权限、接口、动态链接和外部存储中的一项或多项。4.根据权利要求1所述的方法，其特征在于，所述将所述每个应用程序的向量表示转换为灰度图像，并提取所述灰度图像的特征向量，作为所述每个应用程序的特征表示，包括：将所述每个应用程序的向量表示进行二进制序列化，得到所述每个应用程序的二进制序列；由所述二进制序列转为灰度值矩阵，并将所述灰度值矩阵生成所述每个应用程序的灰度图像；提取所述每个应用程序的灰度图像的特征向量，并作为最终所述每个应用程序的特征表示。5.根据权利要求1
‑
4任一项所述的方法，其特征在于，所述神经网络模型包括多层感知神经网络模型。6....

【专利技术属性】
技术研发人员：刘建伟，彭浩，李萌，徐子钧，黑一鸣，刘虹，
申请(专利权)人：上海工业控制安全创新科技有限公司，
类型：发明
国别省市：