[发明专利]一种基于深度学习的Android平台恶意应用检测方法及装置

说明书

技术领域

本发明涉及特征提取和深度学习技术，特别涉及一种将深度学习应用于Android恶意应用检测的方法。

背景技术

随着智能手机和移动设备的快速发展，Android平台服务已经成为大部分网络用户不可或缺的要素。与此同时，移动恶意软件也快速增长成为威胁网络安全和隐私的重要源头。最近来自Gartner的研究报告指出，Android平板销售在2013年增长幅度达到127％，在整体移动平板市场份额中已占据了第一位。因此，Android下的恶意应用检测已经成为了现今移动互联网发展的重要技术保障，研究和实现高精准的Android恶意应用检测具有很强的现实意义和实用价值，被相关的学术界和业界所关注。

Android市场(例如Google Play商店)的平台开放性，导致其成为了恶意应用攻击的重点，对移动互联网用户的安全和隐私构成了极大威胁。许多的恶意应用软件混杂在Android市场大量正常应用里面，使得Android恶意应用的检测成为了极具挑战性的工作。因此，高精准的Android恶意应用检测成为了一项迫切的需求。

当前，Android恶意应用检测的技术手段主要依赖于一种风险评估机制，这种评估机制可以在恶意应用软件安装前提示并警告用户正在安装的应用所需求的系统权限信息。实际上，由于这种技术提示的“应用所需权限”过于单一和片面，很难使得普通用户仅根据此项信息能够快速地分辨出是否属于恶意应用。实践表明，许多的恶意应用与正常应用很可能所需求的权限是一致的，这使得用户更加难以分辨恶意应用和正常应用。相对于这种传统的风险评估机制，实际上用户更倾向于能够直接知晓此应用是否为恶意应用，而并不普遍关心应用的风险评估信息。

深度学习，是近年来兴起的一种新的机器学习领域，在人工智能和自然语言处理领域引发了广泛关注，在语音和图像识别方面取得了许多成功案例。传统的机器学习模型，像支持向量机、逻辑回归、决策树、贝叶斯以及传统神经网络模型，均被认为含有少于三层的计算单元和浅层的学习架构。不同于它们，深度学习拥有较深层次的学习架构，能够更好地模仿人脑更聪明的学习和认知。实际应用中，深度学习更多的是一种架构设计思想，可以采用不同的思路方式，利用多种不同的算法和方法共同实现。

发明内容

本发明提供了一种Android恶意应用检测方法及装置，实现对Android平台下的正常应用和恶意应用的识别区分，提高Android平台应用的安全性。

为实现上述目的，本发明提供了基于深度学习的Android恶意应用识别方法，包括：

步骤1，Android应用原始安装文件特征提取；

步骤2，Android应用安装运行特征提取；

步骤3，Android应用深度学习模型建立；

步骤4，Android的正常应用与恶意应用识别。

优选地，步骤1具体包括如下处理：

步骤11，解压缩Android应用的原始安装文件，获取应用安装文件包含的若干代码文件；

步骤12，解析上述步骤获取的代码文件，获取Android应用的权限使用和API接口函数清单；

步骤13，搜索上述清单中的敏感权限使用和敏感API接口函数，提取多维特征组合。

优选地，步骤2具体包括如下处理：

步骤21，在沙盒中安装执行Android应用，并持续运行一段时间；

步骤22，扫描沙盒运行过程中生成的系统日志，获取Android应用运行中的行为信息；

步骤23，搜索上述获取的行为信息中的敏感行为，提取多维特征组合。

优选地，步骤3具体包括如下处理：

步骤31，将上述步骤1和步骤2中获取的特征合并，生成Android应用的特征样本集合；

步骤32，通过上述获取的特征样本集合，训练Android应用分类的深度学习模型并保存。

优选地，步骤32具体包含如下处理：

步骤321，无监督的Android应用深度学习模型的预训练过程；

步骤322，有监督的Android应用深度学习模型的微调过程。

优选地，步骤321具体包含如下处理：

步骤3211，Android应用深度学习模型的深度置信网络(DBN)参数初始化；

步骤3212，Android应用深度学习模型的受限玻尔兹曼机(RBM)参数初始化；

步骤3213，训练Android应用深度学习模型的RBM；

步骤3214，评估Android应用深度学习模型的RBM；