Android制造技术

本发明专利技术属于恶意应用检测技术领域，公开了一种

【技术实现步骤摘要】
Android恶意应用检测模型、构建方法及存储介质


[0001]本专利技术属于恶意应用检测
，尤其涉及一种
Android
恶意应用检测模型
、
构建方法及存储介质
。

技术介绍

[0002]随着国内移动互联网的迅速发展，且手机具备天然的便携性，如今已然成为人们生活和工作中不可或缺的一部分
。
然而随着手机日益普及与智能化，移动安全问题也变得日益重要，其中
Android
手机占据移动市场半壁江山
。
为此本论文旨在研究和探讨移动安全领域中存在已久的关键问题和挑战
——“恶意
AndroidApp
识别”，并提出有效的解决方案和建议
。
[0003]通过对
AndroidApp
所面临的安全威胁进行详细分析，并调研了诸多解决方案和技术，比如在
2015
年后开始流行的“将代码片段转换成图像，并通过卷积神经网络进行恶意代码识别的检测方式”，此思路虽十分具有创造性但仍缺乏精细化，过高的特征维度以及所提取的特征不具备代表性；
[0004]另一种比较流行的处理
Android
代码特征工程的方式为“使用局部敏感哈希
(LocalitySensitiveHashing
，
LSH)
的相似性摘要”，此种特征工程方式所生成的特征向量更具备代表性，能较好的反映出各个
Android
代码片段的异同，并迅速定位到恶意的代码片段，此种方式已然成为在近几年的工业界中的主流，如微软应急响应中心在
2021
年使用模糊哈希提取特征并通过深度学习来检测恶意软件，又如阿里云在
2022
年的
BotConf
会议上提出“通过模糊哈希对病毒样本进行特征提取，使用图数据库关联来对恶意家族进行聚类”。
然而在实际运用中，由于模糊哈希算法只计算文件的局部特征，因此容易被攻击者通过修改文件生成相同的哈希值，从而绕过检测
。
[0005]目前，
Android
恶意应用呈现多样性
、
隐蔽性特点
。
不同类型的恶意应用都有各自的特征，使得检测变得复杂
。
传统静态和动态分析方法提出了基于语法和行为特征的恶意应用检测，但缺点是计算开销大
、
易受代码混淆影响以及可能忽略部分语义信息
。Android
恶意应用检测方法尝试解决了特征复杂度
、
训练的计算开销问题以及忽略部分语义信息问题，如何既能百分百的检测已知的针对移动应用的恶意行为又能具备检测变种恶意应用的能力
、
如何有效检测具有复杂特征的
Android
恶意应用等问题是目前研究的热点
。
然而传统的检测都关注在行为本身特征上，没有考虑调用序列与权限之间的关联
。
[0006]通过上述分析，现有技术存在的问题及缺陷为：
[0007]1)
特征选择与维度：一种创新的方法是将代码片段转换成图像，并通过卷积神经网络进行恶意代码识别，但这种方法很可能导致高维特征和可能不具代表性的特征，这增加了计算复杂性并可能降低检测的准确性
。
[0008]2)
特征工程方法的局限性：局部敏感哈希
(LSH)
的相似性摘要为工业界广泛采纳的特征工程方法，它可以很好地反映
Android
代码片段之间的差异
。
但模糊哈希算法主要考虑文件的局部特征，这意味着攻击者可以通过轻微修改文件来生成相同的哈希值，绕过检
测
。
[0009]3)
检测的多样性与隐蔽性：
Android
恶意应用的种类日益增多，它们之间的差异很大，并且越来越难以检测
。
这增加了检测的复杂性，并要求检测技术不断更新以应对新的威胁
。
[0010]4)
代码混淆问题：传统的静态和动态分析方法容易受到代码混淆的影响，这使得恶意代码在不改变功能的情况下逃避检测
。
[0011]5)
语义信息的忽略：传统方法可能忽略代码的语义信息，而只关注表面行为
。
这意味着即使行为看起来是合法的，代码的实际意图可能是恶意的
。
[0012]6)
调用序列与权限关联的忽视：调用序列和权限之间的关联可能为恶意行为提供了一个独特的指纹
。
忽略这种关联可能会导致一些恶意行为逃脱检测
。
[0013]综合上述分析，现有技术需要解决的急迫问题如下：
[0014]1)
开发更具代表性的特征工程方法：针对
Android
应用的结构和行为，开发更加具有代表性和鲁棒性的特征工程方法
。
[0015]2)
考虑代码的深层语义信息：开发可以提取代码深层次语义信息的检测技术，提高对混淆和隐蔽恶意代码的识别率
。
[0016]3)
深入研究调用序列与权限关联：开发能够利用调用序列与权限之间关联的恶意应用检测技术，提供更高的准确性和鲁棒性
。
[0017]4)
跨平台和跨版本的恶意应用检测：随着
Android
系统版本的迅速更新和不同厂家的定制化，需要开发能够跨平台和跨版本有效工作的检测技术
。
[0018]5)
实时或近实时的恶意应用检测：随着恶意应用的传播速度加快，需要更快的检测响应时间
。
[0019]6)
防御绕过技术的策略：开发能够对抗模糊哈希和其他特征工程方法的绕过策略，提高检测的鲁棒性
。

技术实现思路

[0020]针对现有技术存在的问题，本专利技术提供了一种
Android
恶意应用检测模型
、
构建方法及存储介质
。
[0021]本专利技术是这样实现的，一种
Android
恶意应用检测模型的构建方法，所述
Android
恶意应用检测模型的构建方法，包括以下步骤：
[0022]对
AndroidAPK
文件进行反编译，提取恶意应用中的调用方法的操作码序列，其中每个方法都以
.method
开头并以
.endmethod
结束，对每一个方法片段进行模糊哈希处理并连接每一片；
[0023]联合
Android
恶意应用权限计算模糊哈希值，对模糊哈希值进行融合处理，模糊哈希特征将包含恶意应用的调用方法操作码序列特征以及权限特征，并将进行压缩；
[0024]进行特征优化处理，对模糊哈希特征整数编码并转换成5‑
gram
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种
Android
恶意应用检测模型的构建方法，其特征在于，包括以下步骤：对
Android APK
文件进行反编译，提取恶意应用中的调用方法的操作码序列，其中每个方法都以
.method
开头并以
.end method
结束，对每一个方法片段进行模糊哈希处理并连接每一片；联合
Android
恶意应用权限计算模糊哈希值，对模糊哈希值进行融合处理，模糊哈希特征将包含恶意应用的调用方法操作码序列特征以及权限特征，并将进行压缩；进行特征优化处理，对模糊哈希特征整数编码并转换成5‑
gram
特征放入随机森林模型进行分类训练
。2.
如权利要求1所述的
Android
恶意应用检测模型的构建方法，其特征在于，所述
Android
恶意应用检测模型的构建方法首先解压缩
Android App
的
APK
文件得到
Dex
文件，随后使用
APKTool
将其反编译为字节码；其次，从初始字节码里提取函数方法，在每个
Class
里通过字符串匹配算法定位各个
.method
的函数地址，并开始提取里面的操作码直至匹配到
.end method
；得到函数方法的操作码序列的模糊哈希值，将读取到的各个函数方法的操作码序列经过
SSDeep
算法得到各个序列片段的
SSDeep
哈希值；最后将同一个
Class
里的
Method SSDeep
哈希值聚合后再进行一次
SSDeep
算法就得到基于
Method
操作码序列的特征
。3.
如权利要求1所述的
Android
恶意应用检测模型的构建方法，其特征在于，所述
Android
恶意应用检测模型的构建方法通过
SSDeep
算法对
Android App
的权限和
Method
操作码转换为
SSDeep
哈希值并联合每片模糊哈希值；使用融合模糊哈希值，将得到模糊哈希联合片再进行
SSDeep
计算得到融合后的模糊哈希值，融合片段的模糊哈希值既表现恶意应用的方法行为序列和权限；将模糊哈希值字符串转换为供机器学习模型使用的输入特征，进行特征优化处理，并对其进行整数编码
。4.
如权利要求3所述的
Android
恶意应用检测模型的构建方法，其特征在于，整数编码的过程是将字符映射到整数，在对
SSdeep
特征序列进行整数编码后，转换为5‑
gram
特征，5‑
gram
就是长度为5的连续字符子序列；通过遍历已编码的整数序列，每次从当前位置向后取5个整数，直到遍历完整个序列
...

【专利技术属性】
技术研发人员：张权，韩龄蓉，黄未，张仕斌，
申请(专利权)人：成都信息工程大学，
类型：发明
国别省市：