[发明专利]基于抽象流图和图神经网络的安卓应用程序分类方法

说明书

本发明公开一种基于抽象流图和图神经网络的安卓应用程序分类方法，主要解决现有技术对未知恶意应用程序识别能力弱和无法准确识别恶意程序行为的问题。其实现方案是：从相关样本库和国内外主流应用市场下载恶意和良性的安卓应用软件样本；构建与安卓应用程序恶意行为和漏洞有关的关键应用程序接口API列表；生成安卓应用程序的调用跟踪图，并利用其和API列表构建安卓应用程序的抽象流图；为抽象流图添加标签并使用带标签的抽象流图对图神经网络GNN进行训练；利用训练好的图神经网络GNN对未知安全性的安卓应用程序分出良性或恶意的类别。本发明具有泛化能力强及对良性和恶意应用程序的行为区分度高的优点，可用于对恶意应用程序的检测。

技术领域

本发明属于网络安全技术领域，特别涉及一种安卓应用程序分类方法，可用于对恶意应用程序的检测。

背景技术

安卓操作系统是一种基于Linux的操作系统，主要使用于移动设备，如智能手机和平板电脑，是目前使用最为广泛的移动终端。在2021年Android操作系统占据的智能手机市场超过80％。由于其市场的高占用率和Android系统的开源特性，Android应用程序成为了黑客恶意攻击的重点。因而Android上的智能手机恶意软件已成为我们日常生活中的主要安全问题，这将严重威胁用户个人信息安全甚至国家的信息安全。

目前对Android恶意应用程序的检测技术主要分为静态检测技术和动态检测技术两种。静态检测技术是在不运行Android应用程序的条件下从程序中提取应用程序的特征，如所需权限、意图信息和敏感应用程序接口API调用等；

动态检测技术是通过在实际环境中执行软件记录运行时的软件行为，该动态检测技术虽然在已出现的恶意软件中正确率高，但却无法识别新型的恶意应用程序，不利于检测尚未记录的恶意软件，且研究花费时间较多，比较复杂，不适合实际使用，因此一般采用静态分析。

上述这些静态检测和动态检测的传统检测技术均需要安全专家人为地定义需要提取的特征，不仅耗费人力，且在提取过程中容易出现错误。因此，近些年有越来越多的Android恶意软件检测手段借助深度学习的方法进行自动化检测，由于检测精度高，使得深度学习在安全领域也越来越被认为是强大且有效的工具。

在名称为《Permission-Based Android Malware Application Detection UsingMulti-Layer Perceptron》作者为O.S.Jannath Nisha，S.Mary Saira Bhanu，DOI：10.1007/978-3-030-16660-1_36的文献中，研究者以Android应用程序所需权限为特征，通过多层感知器进行训练，以达到识别恶意程序的目的，这种方法在差别较大的样本中可以取得不错的效果，但缺乏对真实世界中复杂样本和未知恶意应用程序的泛化能力。

中国民航大学在其申请号为CN201811024430.1的专利文献中提出一种基于双通道卷积神经网络的Android恶意应用程序检测方法。该方法首先将安装包APK文件反编译，提取操作码序列和指令功能序列作为特征，并输入到卷积神经网络中，对神经网络进行训练，通过训练好的神经网络对待检测的应用程序进行检测。该方法由于将提取应用程序的操作码序列和指令功能序列作为检测恶意程序的特征，这种特征含有较多与恶意代码和漏洞无关的冗余信息，因而对良性和恶意两种应用程序类别的区分度不高。

发明内容

本发明的目的在于针对上述现有技术的不足，提出一种基于抽象流图和图神经网络的安卓应用程序分类方法，以有效区分良性和恶意应用程序，捕捉未知恶意程序的恶意行为，提高泛化能力。

本发明的技术思路是：从Android应用程序提取能充分反映Android应用程序的敏感API调用关系和组件间敏感信息的交互行为的特征，通过这种体现程序语义和结构的特征对图神经网络进行训练，实现对恶意应用程序的识别。其实现方案包括如下：