【技术实现步骤摘要】
本专利技术涉及软件代码检测分析领域,具体涉及一种恶意代码检测系统。
技术介绍
1、随着物联网技术的快速发展,智能手机、平板电脑等移动物联网设备在物联网网络中得到了广泛的应用。它的普遍实施和广泛接受,极大地增加了人们的便利和舒适。此外,移动物联网设备的大量激增使得越来越多的物联网服务可以通过物联网网络远程访问。物联网移动设备的快速普及也带来了巨大的安全挑战,特别是在恶意物联网应用软件攻击方面。这些物联网应用软件为用户提供便捷服务的同时,由于利益驱动,不法分子利用物联网应用软件漏洞,或散布恶意物联网应用软件以实现窃取用户的个人信息、盗取用户钱财等目的。
2、物联网时代,移动平台涉及处理大量的敏感数据,包括个人电子邮件和通讯、语音电话、短信、公司和财务数据。移动物联网设备通常具有gps功能,这意味着它能够知道持有人在任何时候的物理位置。移动物联网设备也包含内置摄像头,麦克风,加速计,磁力计等,因此可以被恶意软件劫持,并用于窃听他们的环境。因此,恶意软件开发者也瞄准了这些物联网智能移动设备。
3、传统的恶意软件检测方法依赖于基于签名的检测,也就是将已知的恶意软件签名与签名库进行匹配。然而,这种方法的局限性在于它只能检测已知的恶意软件,严重依赖特征库规模及完善程度,存在误报率高等问题,无法应对最新的恶意软件变种威胁。基于行为的恶意软件检测系统重点在于检测可疑行为,而不是特定的特征,包括监视软件的行为和寻找指示恶意活动的模式。然而,这类方案需要消耗大量计算资源与时间,不能满足实际应用中对恶意软件检测任务的实时性要求。
技术实现思路
1、为解决现有技术中存在的上述缺陷,本专利技术在物联网应用场景下,提出了一种基于调用子图与组件通信分析的新型恶意软件检测技术。
2、根据本专利技术的第一方面,提供一种恶意代码检测系统,包括:
3、反编译模块,用于根据待检测应用程序获得清单文件和源代码。
4、调用子图分析模块,用于根据源代码,提取调用子图特征集合。
5、调用子图分析模块包括程序调用图生成模块、敏感api特征生成模块。
6、程序调用图生成模块根据输入的源代码构建程序调用图fcg,并使用pscout工具提取所有敏感api节点,fcg表示为g={v,e},由一组节点和一组边组成;v中的每个节点表示应用程序中的一个函数,其中包括敏感api,敏感api集合为e中的每个边表示调用方和被调用方之间的调用关系。
7、敏感api特征生成模块根据fcg分析并提取敏感函数调用子图特征集合,包括:使用tf-idf方法为敏感api集合中每个敏感api分配不同的恶意程度值,得到敏感api恶意程度集合其中,第i个敏感api的恶意程度为:
8、
9、其中,qtotal表示训练集中所有良性软件的数量,rtotal表示训练集中所有恶意软件的数量,表示训练集中调用的良性软件数量,表示训练集中调用的恶意软件数量;fcg对应一个敏感函数调用子图集合其中,一个敏感函数调用子图由一个敏感api及其相邻节点u1,…,uk组成,通过距离函数控制敏感函数调用子图的大小,其中,k为自定义的控制参数,用于定义敏感函数调用子图包含的邻居节点数量;计算敏感函数调用子图特征集合
10、组件分析模块,用于根据清单文件,提取组件特征集合。
11、组件分析模块从清单文件中提取多个类别的组件特征,包括:活动组件特征,服务组件特征,内容提供者组件特征,广播接收机组件特征。
12、提取活动组件特征包括:从清单文件中查询活动标签信息activity,将清单文件中所有包含活动标签信息的名称作为活动组件特征t={t1,…,tnt},其中,t表示某一个活动,活动在应用程序中负责呈现用户界面。
13、提取服务组件特征包括:从清单文件中查询服务标签信息service,将清单文件中所有包含服务标签信息的名称作为服务组件特征r={r1,…,rnr},其中,r表示某一个服务,服务在应用程序中负责后台处理。
14、提取内容提供者组件特征包括:从清单文件中查询内容提供者标签信息contentprovider,将清单文件中所有包含内容提供者标签信息的名称作为内容提供者组件特征p={p1,…,pnp},其中,p表示某一个内容提供者,内容提供者在应用程序中负责结构化数据的共享。
15、提取广播接收机组件特征包括:从清单文件中查询广播接收机标签信息activity,将清单文件中所有包含广播接收机标签信息的名称作为广播接收机组件特征c={c1,…,cnc},其中,c表示某一个广播接收机,广播接收机在应用程序中负责提供接收信息的能力。
16、根据多个组件特征构建组件特征集合com={t,c,p,r}。
17、特征融合模块,用于将调用子图特征集合和组件特征集合融合成适用于深度学习模型的特征矩阵。
18、恶意软件检测模块,用于根据特征矩阵,通过基于类敏感机制的双向独立循环神经网络进行检测,得到恶意软件检测结果。
19、恶意软件检测模块中的基于类敏感机制的双向独立循环神经网络包括:双向独立循环神经网络层、全连接网络层、sigmoid函数输出层;双向独立循环神经网络层同时从先前和未来两个方向对输入的特征矩阵进行信息抽取后再拼接;全连接网络层处理来自双向独立循环神经网络的输出;sigmoid函数输出层通过一个sigmoid函数处理全连接网络层的输出。
20、进一步地,本专利技术所提供的系统,反编译模块输入待检测应用程序的apk文件,使用反编译工具androguard提取清单文件和dex文件并根据dex文件解析出源代码。
21、进一步地,本专利技术所提供的系统,特征融合模块将调用子图特征集合和组件特征集合进行合并,通过word2vec工具使用词嵌入方法提取合并后的集合中所有元素的语义特征向量,形成特征矩阵fv={x1,…,xt,…,xnf},xt为语义特征向量。
22、进一步地,本专利技术所提供的系统,双向独立循环神经网络层还包括:
23、从先前到未来方向抽取特征其中,语义特征向量xt是该网络当前输入,表示该网络先前隐藏状态,是先前到未来方向的权重矩阵,是先前到未来方向的循环单元权重,是先前到未来方向的偏移量,表示哈达玛积的矩阵操作。...
【技术保护点】
1.一种恶意代码检测系统,其特征在于,包括:
2.根据权利要求1所述的系统,其特征在于,反编译模块输入待检测应用程序的APK文件,使用反编译工具Androguard提取清单文件和DEX文件并根据DEX文件解析出源代码。
3.根据权利要求1所述的系统,其特征在于,特征融合模块将调用子图特征集合和组件特征集合进行合并,通过Word2vec工具使用词嵌入方法提取合并后的集合中所有元素的语义特征向量,形成特征矩阵FV={x1,…,xt,…,xnF},xt为语义特征向量。
4.根据权利要求3所述的系统,其特征在于,双向独立循环神经网络层还包括:
5.根据权利要求4所述的系统,其特征在于,基于类敏感机制的双向独立循环神经网络由多次迭代训练形成,迭代训练过程基于损失函数:
6.一种计算机设备,其特征在于,包括:
【技术特征摘要】
1.一种恶意代码检测系统,其特征在于,包括:
2.根据权利要求1所述的系统,其特征在于,反编译模块输入待检测应用程序的apk文件,使用反编译工具androguard提取清单文件和dex文件并根据dex文件解析出源代码。
3.根据权利要求1所述的系统,其特征在于,特征融合模块将调用子图特征集合和组件特征集合进行合并,通过word2vec工具使用词嵌入方法提取合...
【专利技术属性】
技术研发人员:皮锋,陈鹏,王欣,田生伟,裴新军,农卫涛,王晓炜,龚军超,马丽娟,
申请(专利权)人:中华人民共和国新疆出入境边防检查总站新疆维吾尔自治区公安厅边境管理总队,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。