[发明专利]基于网络流量空间时间特征的移动恶意应用家族分类方法

权利要求书

1.一种基于网络流量空间时间特征的移动恶意应用家族分类方法，其特征在于：包括以下步骤：

获取移动终端应用程序的流量，提取完整的TCP会话流；

提取TCP会话中TCP数据包的字节码和HTTP数据包的字节码；

根据得到的字节码，利用预设深度学习模型分别提取流量空间特性和流量时间特征，得到移动恶意应用家族分类结果。

2.如权利要求1所述的基于网络流量空间时间特征的移动恶意应用家族分类方法，其特征在于：

预设深度学习模型的训练，包括：

收集每个恶意家族APK的流量和正常APK的流量，提取完整的TCP会话流；

提取每条流的TCP协议数据包和HTTP协议数据包，存入JSON文件；

读取上一步获取的JSON文件，计算每个数据包的字节分布，存入JSON文件；

建立基于卷积神经网络和长短期记忆网络的深度学习模型，利用上一步得到的JSON文件，处理正常样本和恶意家族样本的不平衡关系，对深度学习模型进行训练。

3.如权利要求2所述的基于网络流量空间时间特征的移动恶意应用家族分类方法，其特征在于：

提取每条流的TCP协议数据包和HTTP协议数据包，存入JSON文件，包括以下步骤：

将TCP协议的每个数据包内容字节存入一维数组，拼接每个数据包存入二维数组；

将HTTP协议的每个数据包内容字节存入一维数组，拼接每个数据包存入二维数组；

将上述两步的数据再拼成一个三维数组，一条流对应一个三维数组，存入JSON文件。

4.如权利要求1所述的基于网络流量空间时间特征的移动恶意应用家族分类方法，其特征在于：

读取上一步获取的JSON文件，计算每个数据包的字节分布，存入JSON文件，包括以下步骤：

读取JSON文件，计算每个数据包的每个字节个数，将字节个数存入一维数组；

将上一步的一维数组中每个字节个数除以总数，再存入一维数组，这时的一维数组的每个维度，表示该字节的数量占该数据包的字节总数；

将上一步的一维数组按照TCP协议和HTTP协议分别组成二维数组，再合起来组成三维数组，存入JSON文件。

5.如权利要求2所述的基于网络流量空间时间特征的移动恶意应用家族分类方法，其特征在于：

建立基于卷积神经网络和长短期记忆网络的深度学习模型，包括以下步骤：

创建一维卷积神经网络模型，提取空间特征；

创建长短期记忆网络模型，建立时序关系；

连接softmax函数，进行多分类；

设置反向传播优化器，损失函数，得到深度学习模型。

6.如权利要求5所述的基于网络流量空间时间特征的移动恶意应用家族分类方法，其特征在于：

将卷积神经网络后的输出层作为长短期记忆网络的输入层，每一个卷积的输出作为长短期记忆网络的一个时刻的输入，每个时刻创建隐含层单元；

每个时刻的输入连接对应的隐含层单元，每个隐含层单元创建一个记忆单元，每个时刻的隐含层连接全连接层，每个时刻的全连接层拼起来，计算平均值，存入神经元，通过softmax函数，得到每个类别的概率。

7.如权利要求2所述的基于网络流量空间时间特征的移动恶意应用家族分类方法，其特征在于：

加载训练数据，存入四维数组，第一维是每个数据包的字节分布，第二维是每条流的TCP包和HTTP包，第三维是每条流，第四维是每个家族类别；

将上一步已经加载好的数据输入到预设深度学习模型中，进行训练，保存训练好的模型。