[发明专利]一种基于卷积神经网络的大规模安卓恶意应用检测系统及方法

权利要求书

1.一种基于卷积神经网络的大规模安卓恶意应用检测系统，其特征在于，包括：特征提取模块、特征处理模块、深度学习模块和恶意应用检测模块；其中：

特征提取模块：对于用户提交的每一个待检测安卓应用，分别利用apktool、androguard和droidbox三种工具进行检测得出相应的检测报告，其中apktool用来反编译安卓应用得到配置文件，从中提取权限特征；从androguard检测报告中提取安卓四大组件，即Activity、Service、Broadcast Receiver和Content Provider的使用情况、NDK反射信息和加密混淆信息；通过droidbox获取每个应用执行的动态操作行为，每一个安卓应用都对应一个包含所有上述特征的特征文档，其中每一行表示一个特征；

特征处理模块：遍历从特征提取模块得到的所有特征文档，获取所有出现过的特征作为词库，将词库中的每一个特征向量化，此外，在词库中添加“Unknown”特征，用于之后匹配不在词库中的未知特征，对于每一个应用，将其特征文档根据词库转换为二维矩阵，作为深度学习模块的输入；

深度学习模块：使用卷积神经网络对输入的二维矩阵进行特征的提取与训练，得到学习成熟的模型，作为最终的检测模型；

恶意应用检测模块：用户通过web提交待检测的安卓应用，通过文件哈希比对是否已经存在数据库中，其中数据库是收集的所有安卓正常和恶意应用的文件哈希和带有“正常”或“恶意”的标签；如果存在直接返回检测报告，若不存在，通过深度学习模块获得的检测模型进行检测，得出检测报告，并将报告返还给用户。

2.根据权利要求1所述的基于卷积神经网络的大规模安卓恶意应用检测系统，其特征在于：所述深度学习模块实现过程如下：

对于输入的二维矩阵，首先利用3种不同尺度的卷积核进行卷积，其中卷积核的长度分别为3、4、5，卷积核的宽度与二维矩阵的宽度相同，每种尺度的卷积核有50个，并采用ReLU作为激活函数，提取出多组特征图，然后对每一个卷积结果使用最大池化策略，降低数据规模，增强卷积神经网络的泛化处理能力，最后通过全连接层送入softmax分类器进行分类，经过不断地训练得到学习成熟的模型，作为最终的检测模型。

3.一种基于卷积神经网络的大规模安卓恶意应用检测方法，其特征在于：包括以下步骤：

第一步，收集安卓应用样本，并提取其文件哈希，将应用的文件哈希和带有“正常”或“恶意”的标签存放在数据库中；

第二步，利用静态与动态分析相结合的方式批量提取应用特征，形成特征文档；

第三步，将每个应用的特征文档转换成二维矩阵的形式；

第四步，使用卷积神经网络对输入的二维矩阵进行特征的提取与训练，得到学习成熟的模型，作为最终的检测模型；

第五步，用户通过web提交待检测的安卓应用，通过文件哈希比对是否已经存在数据库中，如果存在直接返回检测报告，若不存在，通过深度学习模块获得的检测模型进行检测，得出检测报告，并将报告返还给用户。

4.根据权利要求3所述的基于卷积神经网络的大规模安卓恶意应用检测方法，其特征在于：第一步中，所述安卓应用包括正常应用和恶意应用，其中正常应用18000个，通过爬虫Google Play Store获取，恶意应用18000个，通过Virusshare网站获取，然后将每个应用的文件哈希和带有“正常”或“恶意”的标签存放在数据库中。

5.根据权利要求3所述的基于卷积神经网络的大规模安卓恶意应用检测方法，其特征在于：第二步中，所述利用静态与动态分析相结合的方式批量提取应用特征，其中通过静态分析得到的特征包括：从反编译后得到的配置文件中提取的权限特征，从androguard检测报告中提取的安卓四大组件，即Activity、Service、Broadcast Receiver和ContentProvider的使用情况、NDK反射信息和加密混淆信息；通过动态分析得到的特征是应用在droidbox中执行30s内获取的动态操作行为。