【技术实现步骤摘要】
基于多模态信息融合的移动平台恶意软件检测方法及装置
[0001]本专利技术涉及二进制软件的分析技术、多模态特征融合技术、恶意软件检测技术,特别涉及移动平台的恶意软件检测分析方法,提出一种基于多模态信息融合的移动平台恶意软件检测方法及装置。
技术介绍
[0002]随着移动系统平台和移动应用生态的快速发展,移动端系统的安全风险越来越大,移动应用程序成为了恶意软件攻击的主要目标,随着移动平台的飞速发展,恶意软件的攻击方式也在移动平台上有了新的拓展。在安卓平台上,根据Wang等人(Wang H Y,Liu Z,Liang J Y,et al.Beyond google play:a large
‑
scale comparative study of Chinese Android app markets.In:Proceedings og the Internet Measurement Conference(IMC),Boston,2018.293
‑
307.)在Google Play和国内应用...
【技术保护点】
【技术特征摘要】
1.一种基于多模态信息融合的移动平台恶意软件检测方法,其特征在于,包括以下步骤:1)针对待检测的二进制应用程序,提取其二进制序列并生成灰度图,提取其接口调用序列,以及提取其函数调用关系并生成函数调用图和函数控制流图,这三种提取结果依次对应灰度图模态、接口调用序列模态和图结构模态;2)针对灰度图提取图像特征,针对接口调用序列提取调用序列特征,针对函数调用图和函数控制流图提取全局图特征;3)由图像特征、调用序列特征和全局图特征组成特征集,将该特征集输入到异类选择网络,输出各模态被攻击概率的向量;4)构建基于融合网络的鲁棒融合网络,使用融合网络将所述图像特征、调用序列特征、全局图特征和异类选择网络输出的向量进行融合,输出融合结果;再使用多模态信息融合网络将异类选择网络输出的向量与鲁棒融合网络输出的结果进行融合,输出预测向量;5)将预测向量进行降维并归一化,得到恶意软件的预测值。2.如权利要求1所述的方法,其特征在于,步骤1)中提取二进制序列并生成灰度图的步骤包括:提取二进制应用程序的二进制字节流,并以二进制字节流的大小为标准确定灰度图图像的宽度;以8位二进制数据为一组,将8位二进制数据的值转换为0
‑
255的灰度值,并以此将二进制字节流转换为以像素为单位的灰度图数据,生成灰度图。3.如权利要求1所述的方法,其特征在于,步骤1)中提取接口调用序列的步骤包括:对二进制应用程序进行逆向分析,并记录逆向分析结果;根据逆向分析结果提取其中的指令码序列,保留指令码序列中的接口调用指令,得到接口调用序列;对于该接口调用序列中的每一个接口调用指令,提取其调用信息,包括接口调用中接口所属的族名称和包名称,以及接口调用的调用内容。4.如权利要求1所述的方法,其特征在于,步骤1)中提取函数调用关系并生成函数调用图和函数控制流图的步骤包括:提取二进制应用程序的函数调用序列,根据函数调用序列中的函数调用关系生成函数调用图;确定函数调用图中的每个节点的函数类型是外部函数还是本地函数;若为外部函数,则提取外部函数节点中的函数名称,构成外部函数名称集;若为本地函数,则本地函数节点中包含的指令序列,提取基本块;根据每个本地函数内的基本块之间的跳转关系生成每个本地函数的函数控制流图。5.如权利要求1所述的方法,其特征在于,步骤2)中针对灰度图提取图像特征的步骤包括:使用Grad
‑
CAM网络,根据灰度图的梯度信息生成热图;将生成的热图与灰度图相叠加,生成新热图;使用亮度阈值对新热图中的每个像素进行处理,提取新热图中突出显示的图像;记录突出显示的图像像素相对于像素空间的位置,作为图像特征。6.如权利要求1所述的方法,其特征在于,步骤2)中针对接口调用序列提取调用序列特
征的步骤包括:统计接口调用序列的所有接口调用指令中出现的族名称和包名称,生成族名称集合和包名称集合;根据族名称集合,对于接口调用序列中的每一对相邻的接口调用指令,统计在调用前接口调用指令所属的族之后调用后接口调用指令所属的族的次数,以及在调用前接口调用指令所属的族之后调用其他接口调用指令所属的族的次数;根据包名称集合,对于接口调用序列中的每一对相邻的接口调用指令,统计在调用前接口调用指令所属的包之后调用后接口调用指令所属的包的...
【专利技术属性】
技术研发人员:王时予,凌祥,吴敬征,罗天悦,芮志清,杨牧天,李志远,武延军,
申请(专利权)人:中国科学院软件研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。