[发明专利]一种基于卷积神经网络的大规模安卓恶意应用检测系统及方法

说明书

一种基于卷积神经网络的大规模安卓恶意应用检测系统及方法，包括特征提取模块、特征处理模块、深度学习模块以及恶意应用检测模块。通过收集大量的安卓正常和恶意应用，利用静态与动态分析相结合的方式更加全面的提取安卓应用特征，提高系统对未知恶意应用的识别能力。将特征处理为二维矩阵形式，利用卷积神经网络模型自主的进行特征的学习与训练，准确的识别出安卓应用的恶意性。

技术领域

本发明涉及移动终端安全技术领域，特别涉及一种基于卷积神经网络的大规模安卓恶意应用检测系统及方法。

背景技术

安卓作为当前最为流行的移动智能操作系统，设备和用户数量庞大，应用程序丰富，其安全性受到了广泛关注。现如今，移动设备与用户的工作生活息息相关，随着移动设备的智能化，其中包含的用户身份信息、位置信息、隐私数据等敏感信息越来越多，使其安全问题更加突出。由于安卓系统具有开源性和碎片化的特点，并且目前针对安卓应用商店的安全认证机制仍不健全，越来越多的攻击者将安卓系统作为主要的攻击目标。360互联网安全中心发布的安卓恶意软件专题报告显示：2018年共截获移动端新增恶意程序样本约434.2万个，相比2017年下降了约42.7％，平均每天新增约1.2万个。

现如今，大部分安全厂商使用基于特征代码的方法检测安卓恶意应用，优点是检测速度快，但是检测准确率较低且需要及时更新特征库。随着安卓恶意应用的爆炸式增长，代码混淆、加密等躲避检测手段的增加，进一步加大了检测的难度和成本。为了克服上述问题，出现了基于行为特征的检测方法，但此类方法需要收集大量的特征，且由于需要检测应用的运行时行为，对于检测环境和时间的要求较高，会消耗大量的计算资源和时间。现在亟需提出一种检测速度快、准确率高且可拓展的检测方法。

大部分恶意应用仅仅是在某个恶意应用的基础上修改后的变种，两者存在大量重复代码。

发明内容

本发明的技术解决问题：克服现有技术的不足，提供一种基于卷积神经网络的大规模安卓恶意应用检测系统与方法，可以达到较高的检测准确率和较快的检测速度。

本发明的技术解决方案：基于卷积神经网络的大规模安卓恶意应用检测系统，将包含应用特征的特征文档转换为二维矩阵的形式，可视化为“图片”，其中特征文档可以方便的添加新的特征，具有良好的可拓展性，然后利用在图像识别领域表现优异的卷积神经网络模型进行恶意应用的检测，此系统可以达到较高的检测准确率和较快的检测速度。

如图1所示，本发明系统包括：

特征提取模块：对于用户提交的每一个待检测安卓应用，分别利用apktool、androguard和droidbox三种工具进行检测得出相应的检测报告。其中apktool用来反编译安卓应用得到配置文件，从中提取权限特征。从androguard检测报告中提取安卓四大组件，即Activity、Service、Broadcast Receiver和Content Provider的使用情况、NDK反射信息和加密混淆信息。通过droidbox获取每个应用执行的动态操作行为。每一个安卓应用都对应一个包含所有上述特征的特征文档，其中每一行表示一个特征；

特征处理模块：遍历从特征提取模块得到的所有特征文档，获取所有出现过的特征作为词库，将词库中的每一个特征向量化。此外，在词库中添加“Unknown”特征，用于之后匹配不在词库中的未知特征。对于每一个应用，将其特征文档根据词库转换为二维矩阵，作为深度学习模块的输入；

深度学习模块：使用卷积神经网络对输入的二维矩阵进行特征的提取与训练，得到学习成熟的模型，作为最终的检测模型；

恶意应用检测模块：用户通过web提交待检测的安卓应用，通过文件哈希比对是否已经存在数据库中，其中数据库是本发明收集的所有安卓正常和恶意应用的文件哈希和带有“正常”或“恶意”的标签。如果存在直接返回检测报告，若不存在，通过深度学习模块获得的检测模型进行检测，得出检测报告，并将报告返还给用户。