【技术实现步骤摘要】
Android恶意应用检测模型、构建方法及存储介质
[0001]本专利技术属于恶意应用检测
,尤其涉及一种
Android
恶意应用检测模型
、
构建方法及存储介质
。
技术介绍
[0002]随着国内移动互联网的迅速发展,且手机具备天然的便携性,如今已然成为人们生活和工作中不可或缺的一部分
。
然而随着手机日益普及与智能化,移动安全问题也变得日益重要,其中
Android
手机占据移动市场半壁江山
。
为此本论文旨在研究和探讨移动安全领域中存在已久的关键问题和挑战
——“恶意
AndroidApp
识别”,并提出有效的解决方案和建议
。
[0003]通过对
AndroidApp
所面临的安全威胁进行详细分析,并调研了诸多解决方案和技术,比如在
2015
年后开始流行的“将代码片段转换成图像,并通过卷积神经网络进行恶意代码识别的检测方式”,此思路虽十分具有创造性但仍缺乏精细化,过高的特征维度以及所提取的特征不具备代表性;
[0004]另一种比较流行的处理
Android
代码特征工程的方式为“使用局部敏感哈希
(LocalitySensitiveHashing
,
LSH)
的相似性摘要”,此种特征工程方式所生成的特征向量更具备代表性,能较好的反映出各个
Android
代码片段的异同 ...
【技术保护点】
【技术特征摘要】
1.
一种
Android
恶意应用检测模型的构建方法,其特征在于,包括以下步骤:对
Android APK
文件进行反编译,提取恶意应用中的调用方法的操作码序列,其中每个方法都以
.method
开头并以
.end method
结束,对每一个方法片段进行模糊哈希处理并连接每一片;联合
Android
恶意应用权限计算模糊哈希值,对模糊哈希值进行融合处理,模糊哈希特征将包含恶意应用的调用方法操作码序列特征以及权限特征,并将进行压缩;进行特征优化处理,对模糊哈希特征整数编码并转换成5‑
gram
特征放入随机森林模型进行分类训练
。2.
如权利要求1所述的
Android
恶意应用检测模型的构建方法,其特征在于,所述
Android
恶意应用检测模型的构建方法首先解压缩
Android App
的
APK
文件得到
Dex
文件,随后使用
APKTool
将其反编译为字节码;其次,从初始字节码里提取函数方法,在每个
Class
里通过字符串匹配算法定位各个
.method
的函数地址,并开始提取里面的操作码直至匹配到
.end method
;得到函数方法的操作码序列的模糊哈希值,将读取到的各个函数方法的操作码序列经过
SSDeep
算法得到各个序列片段的
SSDeep
哈希值;最后将同一个
Class
里的
Method SSDeep
哈希值聚合后再进行一次
SSDeep
算法就得到基于
Method
操作码序列的特征
。3.
如权利要求1所述的
Android
恶意应用检测模型的构建方法,其特征在于,所述
Android
恶意应用检测模型的构建方法通过
SSDeep
算法对
Android App
的权限和
Method
操作码转换为
SSDeep
哈希值并联合每片模糊哈希值;使用融合模糊哈希值,将得到模糊哈希联合片再进行
SSDeep
计算得到融合后的模糊哈希值,融合片段的模糊哈希值既表现恶意应用的方法行为序列和权限;将模糊哈希值字符串转换为供机器学习模型使用的输入特征,进行特征优化处理,并对其进行整数编码
。4.
如权利要求3所述的
Android
恶意应用检测模型的构建方法,其特征在于,整数编码的过程是将字符映射到整数,在对
SSdeep
特征序列进行整数编码后,转换为5‑
gram
特征,5‑
gram
就是长度为5的连续字符子序列;通过遍历已编码的整数序列,每次从当前位置向后取5个整数,直到遍历完整个序列
...
【专利技术属性】
技术研发人员:张权,韩龄蓉,黄未,张仕斌,
申请(专利权)人:成都信息工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。