Nothing Special   »   [go: up one dir, main page]

CN107392025A - 基于深度学习的恶意安卓应用程序检测方法 - Google Patents

基于深度学习的恶意安卓应用程序检测方法 Download PDF

Info

Publication number
CN107392025A
CN107392025A CN201710747410.6A CN201710747410A CN107392025A CN 107392025 A CN107392025 A CN 107392025A CN 201710747410 A CN201710747410 A CN 201710747410A CN 107392025 A CN107392025 A CN 107392025A
Authority
CN
China
Prior art keywords
application program
characteristic vector
android
application
deep learning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710747410.6A
Other languages
English (en)
Other versions
CN107392025B (zh
Inventor
刘龙
苏志达
费金龙
赵幸
林伟
刘胜利
陈石
丁岚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Engineering University of the Chinese People's Liberation Army Cyberspace Force
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201710747410.6A priority Critical patent/CN107392025B/zh
Publication of CN107392025A publication Critical patent/CN107392025A/zh
Application granted granted Critical
Publication of CN107392025B publication Critical patent/CN107392025B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开一种基于深度学习的恶意安卓应用程序检测方法,首先获取应用程序特征向量,分别对训练集和测试集中的应用程序进行静态分析和动态分析,提取静态特征和动态特征并整合成为应用程序特征向量;然后利用提取的训练集应用程序的特征向量对DBN网络进行训练;最后将测试集应用程序的特征向量输入到训练好的DBN网络中,进行安全检测。本发明结合静态特征和动态特征来获取完整的应用程序信息,利用深度学习的深层学习机制自动挖掘深层特征,通过这种动静结合的深度学习系统提高对安卓应用检测的正确率。

Description

基于深度学习的恶意安卓应用程序检测方法
技术领域:
本发明涉及一种恶意安卓应用程序的检测方法,特别是涉及一种基于深度学习的恶意安卓应用程序检测方法。
背景技术:
恶意应用检测方法的基础是对应用程序的特征提取,本发明先获得应用程序的信息,再从信息中选取敏感的部分作为特征。Android恶意应用检测方法分为静态检测和动态检测,两种检测方法提取的信息分别为静态信息和动态信息。静态信息的提取不需要运行应用程序,只需要解压Android程序包,直接在文件中提取,可以得到程序文件哈希值、反编译后的程序代码等信息。动态信息需要在应用程序执行的过程中提取,对动态信息的提取可以获取应用程序在Android系统各层次的动态行为。
应用程序的安全检测依赖于静态信息和动态信息的提取,当前的应用程序信息提取技术存在很多问题。在静态信息提取方面,由于代码保护技术的发展,基于反编译技术的源代码还原方法愈加困难。Android SDK自带的progugard[代码保护机制可以使反编译后的代码基本失去可读性,除此之外很多商业软件如DexGuard、360加固宝等都会使传统的反编译方法面临失效。动态信息提取方面,由于Android系统的多层架构,对动态信息的提取也需要在多个层面上进行。当前多数动态监控方法只关注单个层面的信息,只监控了API信息或只监控了Dalvik指令,对动态行为监控的不全面导致无法全面的分析软件的行为,如只监控Android API,则后续的检测分析只能发现API特征的恶意行为,对通过底层信息如系统调用、ARM指令等才能发现的恶意行为无法识别。
Android应用程序行为信息可以提取出Android应用的行为特征,根据静态检测和动态检测方法分别得到静态特征和动态特征。通过对应用程序的行为特征进行分析,可以检测出该应用是否存在恶意行为。当前的检测技术大多只对一种特征进行提取和分析,只检测了静态特征或者只检测了动态特征。随着Android恶意代码的不断进化,恶意程序通过多种手段隐藏自身特征,单一的特征检测无法全面的分析应用程序,不易检测到恶意应用程序。
本发明在静态检测方面,着重提取应用程序权限、应用程序包名等信息;在动态检测方面,通过虚拟机技术提取了Android应用程序的API调用和系统调用。根据得到的静态信息和动态信息提取静态特征和动态特征,建立结合静态特征和动态特征的应用程序特征向量,通过分析结合两种特征的特征向量来检测应用程序是否存在恶意行为。
随着Android恶意应用检测技术的发展,在静态检测和动态检测的方法中,很多检测方法都使用了机器学习技术。机器学习算法通过提取特征和构建模型可以让数据集有很高的分类准确率,这种特性可以很好的应用于Android恶意应用检测,机器学习算法对数据特征的学习可以很好的弥补传统恶意应用检测手段在处理未知类型恶意程序能力上的不足。
深度学习是机器学习中一个新兴的分支算法,更准确的说,深度学习来源于机器学习中的人工神经网络,与人工神经网络类似,深度学习通过构建多层网络结构来建立学习模型,依靠大量的样本集进行网络的训练,得到训练好的分类网络,然后对样本进行分类。深度学习算法通过模拟人脑处理数据的方法,通过多层次学习,逐层训练,达到对数据隐藏特征信息的挖掘,通过深层网络中对隐藏特征的学习,深度学习可以更深入的了解所学习的数据,这样就可以更加准确的完成分类算法。
深度学习在训练时与传统神经网络是不同的,深度学习的隐藏层会逐层训练,当上一层已经充分的训练后,才会训练下一层,深度学习每次无监督的训练一层,当逐层训练到最后一层时,使用有监督学习方法反向调整整个网络的权值,最终构建一个分类器,如DBM(Deep BoltzmannMachine,深度玻尔兹曼机)和DBN(Deep Belief Network,深度置信网络)。
深度学习可以对复杂的函数进行逼近,这是深度学习算法的基本结构所带来的优势,深度学习的模型通常含有多层隐藏层,这些隐层使深度学习的模型具有非线性的深层特性。单层结构计算能力有限,深度学习一般采用多层结构单元来提取高维实体的主要映射信息。
基于上述原因,本发明设计并实现了结合动态特征和静态特征,采用深度学习的算法进行安卓代码特征分析的算法DeepDroid。DeepDroid一方面结合静态特征和动态特征来获取完整的应用程序信息,另一方面利用深度学习的深层学习机制自动挖掘深层特征,通过这种动静结合的深度学习系统提高对安卓应用检测的正确率。
发明内容:
本发明要解决的技术问题是:克服现有技术的缺陷,提供一种基于深度学习的恶意安卓应用程序检测方法,该方法能够提取安卓应用程序的行为特征,并通过深度学习的方法对特征进行分类,具有较强的检测准确度。
本发明的技术方案:一种基于深度学习的恶意安卓应用程序检测方法,对安卓应用程序进行静态和动态信息提取,根据静态信息和动态信息获取安卓应用程序的行为特征,并通过深度学习的方法对特征进行分类,从而检测安卓应用程序。
本发明设计了DeepDroid算法,提取并结合了安卓应用的动态特征和静态特征,使用深度学习算法中的DBN算法对安卓应用进行分析。静态特征和动态特征的结合使得特征向量对安卓应用的描述更加全面,同时采用DBN算法可以学习特征的深层结构,使安卓应用的检测更加精确。DeepDroid算法对Android应用程序进行安全检测的过程分为3个步骤:首先获取应用程序特征向量,分别对训练集和测试集中的应用程序进行静态分析和动态分析,提取静态特征和动态特征并整合成为应用程序特征向量;然后利用提取的训练集应用程序的特征向量对DBN网络进行训练;最后将测试集应用程序的特征向量输入到训练好的DBN网络中,进行安全检测。DeepDroid算法的结构图如图1所示。
1.提取特征向量
特征向量由静态特征和动态特征共126种特征组成,其中前41种特征为静态特征,静态特征中包含8个第三方不可用权限和33个典型应用常见权限,后85种特征为动态特征,动态特征包含13个API调用特征和73个系统调用特征。本发明针对每个安卓应用分别检测它是否含有相应的静态特征和动态特征行为,并根据检测结果得到该安卓应用的特征向量。对于特征向量中的每一个特征值,若检测到相应的特征则标记为1,否则标记为0。
1)静态特征提取
静态分析部分,对Android应用程序进行静态分析,将检测到的静态特征结果保存到特征向量中。本发明提取了41种静态特征,这41种特征均为权限特征,Android应用程序的权限保存在AndroidManifest.xml文件中,通过APKTool工具对应用程序进行解包即可获取AndroidManifest.xml文件,分析AndroidManifest.xml文件得到此应用程序申请的所有权限,每当检测到应用程序申请的权限包含在静态特征中时,就改变特征向量中相应的静态特征值,将特征向量中相应的静态特征值从0(未检测到)修改为1(检测到)。
2)动态特征提取
动态分析分为两个部分,API调用和系统调用。
API调用部分,采用DroidBox来进行动态分析,获取应用程序的API调用。本发明Android应用程序特征向量中包含13个API调用特征。DroidBox会动态分析Android应用程序的APK安装包,生成日志文件,分析日志文件中的API调用信息,当检测到应用程序的API调用与特征向量中的API调用特征相同时,改变特征向量中相应的API调用特征值,将特征向量中相应的API调用特征值从0(未检测到)修改为1(检测到)。
系统调用部分,采用VMI技术,利用QEMU虚拟机进行动态分析。应用程序特征向量中包含72种系统调用特征。首先将待检测的应用程序安装到虚拟机中的Android系统上,由于底层对TCG模块进行了插桩,当应用程序调用系统调用时,TCG模块会先返回系统调用的相关信息然后再执行相应的系统调用,这样就可以监控到应用程序的系统调用行为了。但是动态特征通常都是在某些特定的用户行为下触发的,为了触发应用程序的动态行为,本发明使用MonkeyRunner模拟用户行为,MonkeyRunner可以产生随机的事件流,模拟随机的用户行为,在MonkeyRunner运行的同时TCG模块会返回大量的系统调用信息,当检测到特征向量中的高危系统调用时,将特征向量中相应的系统调用特征值从0(未检测到)修改为1(检测到)。
2.深度学习网络训练
DBN由多层RBM组成,最后一层采用BP网络。DBN的训练分为两步:第一步,单独逐层地无监督训练每一层RBM网络,在当前RBM层充分训练后,再训练下一层RBM网络,确保对训练数据有了充分的深层学习;第二步,设置BP网络为末层,其输入特征向量是RBM的输出特征向量,通过BP网络的反馈机制反向调整整个网络的权值。
通过得到的深度置信网络,就可以对安卓应用进行安全检测。将安卓应用的特征向量输入到训练好的DBN网络中就可以对其进行检测。
本发明的有益效果:本发明针对恶意安卓应用程序的问题,设计了DeepDroid算法,分析安卓应用程序的静态信息和动态信息,根据应用程序的信息提取特征向量,使用深度学习算法中的DBN算法对特征进行分类,从而识别安卓应用程序中的恶意应用程序,利用DeepDroid可以非常准确的识别恶意安卓应用程序。
附图说明:
图1为DeepDroid算法结构图;
图2为应用程序特征的静态特征;
图3为应用程序向量中的动态特征;
图4为不同特征向量检测结果;
图5为不同机器学习算法检测结果。
具体实施方式:
DeepDroid算法对Android应用程序进行安全检测的过程分为3个步骤:首先获取应用程序特征向量,分别对训练集和测试集中的应用程序进行静态分析和动态分析,提取静态特征和动态特征并整合成为应用程序特征向量;然后利用提取的训练集应用程序的特征向量对DBN网络进行训练;最后将测试集应用程序的特征向量输入到训练好的DBN网络中,进行安全检测。DeepDroid算法的结构图如图1所示。
特征向量由静态特征和动态特征共126种特征组成,其中前41种特征为静态特征,静态特征中包含8个第三方不可用权限和33个典型应用常见权限,后85种特征为动态特征,动态特征包含13个API调用特征和73个系统调用特征。本发明针对每个安卓应用分别检测它是否含有相应的静态特征和动态特征行为,并根据检测结果得到该安卓应用的特征向量。对于特征向量中的每一个特征值,若检测到相应的特征则标记为1,否则标记为0。
1.静态特征
Android应用程序静态特征提取首先需要获取应用程序的静态信息,在不执行应用程序的情况下,采用逆向手段分析解压后的apk文件获取静态信息。本发明中主要是对AndroidManifest.xml文件的获取和解析,获取静态信息后,再从中提取静态特征。
AndroidManifest.xml声明了应用程序的基本信息、组件、权限,本发明对AndroidManifest.xml文件进行自动化分析,提取各个组件使用情况,包括:permission、activity、service、receiver和provider。
本发明提取的静态特征共41个,其中包括8个第三方不可用权限和33个典型应用常见权限。静态特征如图2所示。
当检测到应用程序申表中的权限时,就将特征向量中相应的静态特征值从0(未检测到)修改为1(检测到)。
2.动态特征
本发明提取了API调用信息和系统调用信息。
为了提取Android API信息,需要对应用框架层进行动态监控。本发明采用DroidBox工具对API调用信息进行提取和分析。
DroidBox的核心技术称作TaintDroid,TaintDroid的主要思想是使用污点追踪,在相应的API调用处对隐私数据进行污染标记。当TaintDroid虚拟机工作时,可以记录API调用的信息。
系统调用是系统内核与应用程序之间的接口,是内核提供的一系列功能强大的函数,每个系统调用都有唯一的编号对其标识。用户态的应用程序如果需要访问系统资源(文件系统、网络连接、进程间通讯等)必须通过系统调用完成,因此通过系统调用信息可以发现隐藏的恶意代码。
本发明在动态信息中提取了85个动态特征,其中API特征为13个,系统调用特征为72个。动态特征提取结果表2所示。
当检测到特征向量中的高危动态行为时,将特征向量中相应的动态特征值从0(未检测到)修改为1(检测到)。
3.深度学习
深度学习算法每层隐层都单独充分训练后再训练下一层。将特征向量作为第一层RBM的输入V0,计算并修改权值W0。当第一层训练完成后,将第一层的输出H0作为第二层的输入V1,同样修改权值W1,以此类推充分训练每层RBM。当所有RBM层都单独充分训练完成后,将最后一层RBM的输出Hn-1(n为RBM隐藏层层数)作为BP层的输入Vn,通过顶层的BP网络算法有监督地训练分类器,并自顶向下反向微调整个DBN网络,根据如下算法对DBN网络进行训练。算法4.4DBN网络训练算法:
对于层数为L(当前层数l),RBM迭代次数为RTurn(当前RBM迭代层数rt),BP网络迭代次数为BTurn(当前BP网络迭代层数bt)的DBN网络。
输入容量为N的训练集,xn为训练集中的一个特征向量(0≤n<N)
1)l=0
2)rt=1
3)n=0
4)若l=0,将xn附给显层Vl,否则l不为0,那么前l层RBM网络已经训练完成,则将xn附给显层V0,i为显层上某一点,j为隐层上某一点,Wlj为l层上的j点与l-1层所有点之间的权值,先通过l层训练好的RBM网络计算出Vl,再根据式(4.3)计算隐藏层H0
p(hlj=1|Vl)=σ(WljVl)
5)根据式(4.4)重构显层得到
6)再次根据式(4.3)计算隐藏层
7)按下式更新权重:
8)若n=N-1,继续;否则n←n+1的值加1,转步骤4)。
9)若rt=RTurn,继续;否则rt的值加1,转步骤3)。
10)若l=L-1,完成对L层RBM的训练,继续利用BP网络对L层RBM的权重反向调整;否则l的值加1,转步骤2)。
11)bt=1
12)n=0
13)将xn附给显层V0,先通过L层训练好的RBM网络计算出VL
14)l=L,首先进行前向运算,BP网络的输入为VL,输出层的j单元节点值为误差dj为期望输出。
15)计算δ,将δ反向传递自顶向下修正权值,对于输出单元:
16)对于隐藏单元:
修改权值:
η为学习速率。
17)如果l=1,继续;否则l的值减1,转步骤16)。
18)如果n=N,继续;否则n的值加1,转步骤13)。
19)如果bt=BTurn,结束;否则bt的值加1,转步骤12)。
在测试本发明中算法的准确性时,从大量的应用程序中选取了部分程序分别组成训练集和测试集,训练集由1300个非恶意程序以及1300个恶意程序组成,测试集由与训练集不同的1300个非恶意程序以及1300个恶意程序组成。
本发明采用准确率(Precision)、召回率(Recall)、F系数(F-Measure)和正确率(accuracy)来评价对恶意行为检测的结果。
1.准确率Precision:
2.召回率Recall:
3.F-measure:
4.正确率accuracy:
其中,TP(TruePositive)、FN(FalseNegative)、TN(TrueNegative)、FP(FalsePositive)的含义为:
TP:被判定为正样本,事实上也是正样本;
FP:被判定为正样本,但事实上是负样本;
FN:被判定为负样本,但事实上是正样本;
TN:被判定为负样本,事实上也是负样本。
为了验证本发明提出方法的有效性,并与其他传统方法进行比较,本发明设计了2组实验。第1组实验采用不同的特征向量,验证动静态特征结合对恶意程序检测的有效性;第2组实验采用不同的机器学习算法,验证本发明采用的DBN算法比传统的机器学习算法更加有效。
为了验证结合静态特征和动态特征作为特征向量比单独采用某种特征向量有更好的性能,在实验1中,本发明分别使用态静态特征、动态特征、动静态结合特征作为输入特征向量进行恶意行为检测。从图4的结果中可以看出:采用静态特征可以更加准确的检测恶意应用,而非恶意应用的准确率低说明有很多误报;采用动态特征时,恶意应用的准确率较低,非恶意应用的准确率与采用静态特征的结果相比更高;当结合了动态和静态特征时,恶意应用和非恶意应用的准确率都比较高,与单独使用一种特征相比性能有很大提升
在实验2中,本发明比较了与传统的机器学习模型与深度学习模型,结果如图5所示。对于文中的其它机器学习算法(SVM、Naive Bayes、KNN),本发明测试了linear kernel、polynomial kernel、sigmoid kernel等多种核函数,并选取性能最好的作为实验结果。从表中,可以清楚地看到,深度学习的模型明显优于其他恶意软件检测模型。
实验结果表明,深度学习算法与其它传统机器学习算法相比有更好的性能。当深度学习网络结构在当前数据集下达到最高性能时,深度学习算法有很高的准确率。从图5中可以看到,即使深度学习网络没有采用性能最佳的2隐层结构,其最低正确率也达到94.35%。

Claims (3)

1.一种基于深度学习的恶意安卓应用程序检测方法,其特征是:对Android应用程序进行安全检测的过程分为3个步骤:首先获取应用程序特征向量,分别对训练集和测试集中的应用程序进行静态分析和动态分析,提取静态特征和动态特征并整合成为应用程序特征向量;然后利用提取的训练集应用程序的特征向量对DBN网络进行训练;最后将测试集应用程序的特征向量输入到训练好的DBN网络中,进行安全检测;
提取特征向量:针对每个安卓应用分别检测它是否含有相应的静态特征和动态特征行为,并根据检测结果得到该安卓应用的特征向量;对于特征向量中的每一个特征值,若检测到相应的特征则标记为1,否则标记为0;
所述静态特征的提取方法是对Android应用程序进行静态分析,将检测到的静态特征结果保存到特征向量中;Android应用程序的权限保存在AndroidManifest.xml文件中,通过APKTool工具对应用程序进行解包即可获取AndroidManifest.xml文件,分析AndroidManifest.xml文件得到此应用程序申请的所有权限,每当检测到应用程序申请的权限包含在静态特征中时,改变特征向量中相应的静态特征值;
所述动态特征的提取方法是对API调用特征进行提取,采用DroidBox来进行动态分析,获取应用程序的API调用;DroidBox会动态分析Android应用程序的APK安装包,生成日志文件,分析日志文件中的API调用信息,当检测到应用程序的API调用与特征向量中的API调用特征相同时,改变特征向量中相应的API调用特征值;
DBN网络由多层RBM组成,最后一层采用BP网络;DBN网络的训练分为两步:第一步,单独逐层地无监督训练每一层RBM网络,在当前RBM层充分训练后,再训练下一层RBM网络,确保对训练数据有了充分的深层学习;第二步,在网络的最后一层设置BP 网络,BP网络接收RBM的输出特征向量作为它的输入特征向量,通过BP网络的反馈机制反向调整整个网络的权值;通过得到的深度置信网络,就可以对安卓应用进行安全检测;将安卓应用的特征向量输入到训练好的DBN网络中就可以对其进行检测。
2.根据权利要求1所述的基于深度学习的恶意安卓应用程序检测方法,其特征是:所述API调用特征提取,采用VMI技术,利用QEMU虚拟机进行动态分析;首先将待检测的应用程序安装到虚拟机中的Android系统上,由于底层对TCG模块进行了插桩,当应用程序调用系统调用时,TCG模块会先返回系统调用的相关信息然后再执行相应的系统调用,监控到应用程序的系统调用行为。
3.根据权利要求2所述的基于深度学习的恶意安卓应用程序检测方法,其特征是:为了触发应用程序的动态行为,使用MonkeyRunner模拟用户行为,MonkeyRunner产生随机的事件流,模拟随机的用户行为,在MonkeyRunner运行的同时TCG模块会返回大量的系统调用信息,当检测到特征向量中的高危系统调用时,更改特征向量中相应的系统调用特征值。
CN201710747410.6A 2017-08-28 2017-08-28 基于深度学习的恶意安卓应用程序检测方法 Active CN107392025B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710747410.6A CN107392025B (zh) 2017-08-28 2017-08-28 基于深度学习的恶意安卓应用程序检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710747410.6A CN107392025B (zh) 2017-08-28 2017-08-28 基于深度学习的恶意安卓应用程序检测方法

Publications (2)

Publication Number Publication Date
CN107392025A true CN107392025A (zh) 2017-11-24
CN107392025B CN107392025B (zh) 2020-06-26

Family

ID=60346978

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710747410.6A Active CN107392025B (zh) 2017-08-28 2017-08-28 基于深度学习的恶意安卓应用程序检测方法

Country Status (1)

Country Link
CN (1) CN107392025B (zh)

Cited By (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107944274A (zh) * 2017-12-18 2018-04-20 华中科技大学 一种基于宽度学习的Android平台恶意应用离线检测方法
CN108108616A (zh) * 2017-12-19 2018-06-01 努比亚技术有限公司 恶意行为检测方法、移动终端及存储介质
CN108200030A (zh) * 2017-12-27 2018-06-22 深信服科技股份有限公司 恶意流量的检测方法、系统、装置及计算机可读存储介质
CN108337255A (zh) * 2018-01-30 2018-07-27 华中科技大学 一种基于web自动化测试和宽度学习的钓鱼网站检测方法
CN108718310A (zh) * 2018-05-18 2018-10-30 安徽继远软件有限公司 基于深度学习的多层次攻击特征提取及恶意行为识别方法
CN108763958A (zh) * 2018-06-01 2018-11-06 中国科学院软件研究所 基于深度学习的智能移动终端敏感数据授权验证缺陷检测方法
CN108804918A (zh) * 2017-12-31 2018-11-13 北京安天网络安全技术有限公司 安全性防御方法、装置、电子设备及存储介质
CN109241738A (zh) * 2018-07-09 2019-01-18 四川大学 一种基于深度学习的勒索软件检测技术
CN109284370A (zh) * 2018-08-20 2019-01-29 中山大学 一种基于深度学习的移动应用描述与权限保真性判定方法及装置
CN109408947A (zh) * 2018-10-19 2019-03-01 杭州刀豆网络科技有限公司 一种基于机器学习的侵权网页判断方法
CN109471668A (zh) * 2018-11-20 2019-03-15 南方电网科学研究院有限责任公司 跨平台显卡固件翻译执行方法、装置、设备及可读介质
CN109492395A (zh) * 2018-10-31 2019-03-19 厦门安胜网络科技有限公司 一种检测恶意程序的方法、装置及存储介质
CN109873425A (zh) * 2017-12-01 2019-06-11 中国电力科学研究院有限公司 基于深度学习和用户行为的电力系统调整潮流方法及系统
CN109995601A (zh) * 2017-12-29 2019-07-09 中国移动通信集团上海有限公司 一种网络流量识别方法及装置
CN109992968A (zh) * 2019-03-25 2019-07-09 北京理工大学 基于二进制动态插桩的Android恶意行为动态检测方法
CN110795734A (zh) * 2019-10-12 2020-02-14 南京信息职业技术学院 一种恶意移动应用检测方法
CN110851834A (zh) * 2019-11-18 2020-02-28 北京工业大学 融合多特征分类的安卓恶意应用检测方法
CN111460449A (zh) * 2020-03-10 2020-07-28 北京邮电大学 应用程序识别方法、系统、存储介质以及电子设备
WO2020180300A1 (en) * 2019-03-05 2020-09-10 Mentor Graphics Corporation Machine learning-based anomaly detections for embedded software applications
CN111881446A (zh) * 2020-06-19 2020-11-03 中国科学院信息工程研究所 一种工业互联网恶意代码识别方法及装置
CN112597498A (zh) * 2020-12-29 2021-04-02 天津睿邦安通技术有限公司 一种webshell的检测方法、系统、装置及可读存储介质
CN113760764A (zh) * 2021-09-09 2021-12-07 Oppo广东移动通信有限公司 应用程序检测方法、装置、电子设备及存储介质
CN115146258A (zh) * 2022-07-27 2022-10-04 中国电信股份有限公司 请求处理方法、装置、存储介质及电子设备
CN115249048A (zh) * 2022-09-16 2022-10-28 西南民族大学 一种对抗样本生成方法
CN116484382A (zh) * 2023-04-07 2023-07-25 中国人民解放军61660部队 一种安卓漏洞动态检测方法、系统、电子设备、存储介质
CN117009967A (zh) * 2023-07-26 2023-11-07 深圳安巽科技有限公司 一种恶意代码检测模型构建方法、系统及存储介质

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12135785B2 (en) 2022-01-04 2024-11-05 Samsung Eletrônica da Amazônia Ltda. Non-invasive computer implemented method for malware detection, a non-transitory computer-readable medium, and, a system for detecting malware in an application

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102521496A (zh) * 2011-12-02 2012-06-27 北京启明星辰信息安全技术有限公司 评估指标的重要性级别的获取方法和系统
CN104123500A (zh) * 2014-07-22 2014-10-29 卢永强 一种基于深度学习的Android平台恶意应用检测方法及装置
CN105205396A (zh) * 2015-10-15 2015-12-30 上海交通大学 一种基于深度学习的安卓恶意代码检测系统及其方法
CN105426760A (zh) * 2015-11-05 2016-03-23 工业和信息化部电信研究院 一种安卓恶意应用的检测方法及装置
CN106709332A (zh) * 2016-12-13 2017-05-24 江苏通付盾科技有限公司 应用检测的方法及装置
CN106778241A (zh) * 2016-11-28 2017-05-31 东软集团股份有限公司 恶意文件的识别方法及装置
CN106845217A (zh) * 2017-01-20 2017-06-13 四川中大云科科技有限公司 一种安卓应用恶意行为的检测方法
CN107180192A (zh) * 2017-05-09 2017-09-19 北京理工大学 基于多特征融合的安卓恶意应用程序检测方法和系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102521496A (zh) * 2011-12-02 2012-06-27 北京启明星辰信息安全技术有限公司 评估指标的重要性级别的获取方法和系统
CN104123500A (zh) * 2014-07-22 2014-10-29 卢永强 一种基于深度学习的Android平台恶意应用检测方法及装置
CN105205396A (zh) * 2015-10-15 2015-12-30 上海交通大学 一种基于深度学习的安卓恶意代码检测系统及其方法
CN105426760A (zh) * 2015-11-05 2016-03-23 工业和信息化部电信研究院 一种安卓恶意应用的检测方法及装置
CN106778241A (zh) * 2016-11-28 2017-05-31 东软集团股份有限公司 恶意文件的识别方法及装置
CN106709332A (zh) * 2016-12-13 2017-05-24 江苏通付盾科技有限公司 应用检测的方法及装置
CN106845217A (zh) * 2017-01-20 2017-06-13 四川中大云科科技有限公司 一种安卓应用恶意行为的检测方法
CN107180192A (zh) * 2017-05-09 2017-09-19 北京理工大学 基于多特征融合的安卓恶意应用程序检测方法和系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
叶雁秋: "ARM架构全系统动态分析技术研究与应用", 《中国优秀硕士论文库》 *
潘娅: "《软件测试技术与实践》", 30 June 2016 *
詹翊: "Android平台恶意软件检测与分析方法研究", 《中国优秀硕士论文库》 *

Cited By (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109873425B (zh) * 2017-12-01 2023-10-20 中国电力科学研究院有限公司 基于深度学习和用户行为的电力系统调整潮流方法及系统
CN109873425A (zh) * 2017-12-01 2019-06-11 中国电力科学研究院有限公司 基于深度学习和用户行为的电力系统调整潮流方法及系统
CN107944274A (zh) * 2017-12-18 2018-04-20 华中科技大学 一种基于宽度学习的Android平台恶意应用离线检测方法
CN108108616A (zh) * 2017-12-19 2018-06-01 努比亚技术有限公司 恶意行为检测方法、移动终端及存储介质
CN108200030A (zh) * 2017-12-27 2018-06-22 深信服科技股份有限公司 恶意流量的检测方法、系统、装置及计算机可读存储介质
CN109995601A (zh) * 2017-12-29 2019-07-09 中国移动通信集团上海有限公司 一种网络流量识别方法及装置
CN109995601B (zh) * 2017-12-29 2020-12-01 中国移动通信集团上海有限公司 一种网络流量识别方法及装置
CN108804918A (zh) * 2017-12-31 2018-11-13 北京安天网络安全技术有限公司 安全性防御方法、装置、电子设备及存储介质
CN108337255B (zh) * 2018-01-30 2020-08-04 华中科技大学 一种基于web自动化测试和宽度学习的钓鱼网站检测方法
CN108337255A (zh) * 2018-01-30 2018-07-27 华中科技大学 一种基于web自动化测试和宽度学习的钓鱼网站检测方法
CN108718310B (zh) * 2018-05-18 2021-02-26 安徽继远软件有限公司 基于深度学习的多层次攻击特征提取及恶意行为识别方法
CN108718310A (zh) * 2018-05-18 2018-10-30 安徽继远软件有限公司 基于深度学习的多层次攻击特征提取及恶意行为识别方法
CN108763958A (zh) * 2018-06-01 2018-11-06 中国科学院软件研究所 基于深度学习的智能移动终端敏感数据授权验证缺陷检测方法
CN109241738A (zh) * 2018-07-09 2019-01-18 四川大学 一种基于深度学习的勒索软件检测技术
CN109284370B (zh) * 2018-08-20 2022-05-06 中山大学 一种基于深度学习的移动应用描述与权限保真性判定方法及装置
CN109284370A (zh) * 2018-08-20 2019-01-29 中山大学 一种基于深度学习的移动应用描述与权限保真性判定方法及装置
CN109408947A (zh) * 2018-10-19 2019-03-01 杭州刀豆网络科技有限公司 一种基于机器学习的侵权网页判断方法
CN109492395A (zh) * 2018-10-31 2019-03-19 厦门安胜网络科技有限公司 一种检测恶意程序的方法、装置及存储介质
CN109471668B (zh) * 2018-11-20 2021-11-26 南方电网科学研究院有限责任公司 跨平台显卡固件翻译执行方法、装置、设备及可读介质
CN109471668A (zh) * 2018-11-20 2019-03-15 南方电网科学研究院有限责任公司 跨平台显卡固件翻译执行方法、装置、设备及可读介质
CN113508381A (zh) * 2019-03-05 2021-10-15 西门子工业软件有限公司 用于嵌入式软件应用的基于机器学习的异常检测
WO2020180300A1 (en) * 2019-03-05 2020-09-10 Mentor Graphics Corporation Machine learning-based anomaly detections for embedded software applications
CN113508381B (zh) * 2019-03-05 2024-03-01 西门子工业软件有限公司 用于嵌入式软件应用的基于机器学习的异常检测
CN109992968A (zh) * 2019-03-25 2019-07-09 北京理工大学 基于二进制动态插桩的Android恶意行为动态检测方法
CN110795734A (zh) * 2019-10-12 2020-02-14 南京信息职业技术学院 一种恶意移动应用检测方法
CN110851834B (zh) * 2019-11-18 2024-02-27 北京工业大学 融合多特征分类的安卓恶意应用检测方法
CN110851834A (zh) * 2019-11-18 2020-02-28 北京工业大学 融合多特征分类的安卓恶意应用检测方法
CN111460449A (zh) * 2020-03-10 2020-07-28 北京邮电大学 应用程序识别方法、系统、存储介质以及电子设备
CN111881446A (zh) * 2020-06-19 2020-11-03 中国科学院信息工程研究所 一种工业互联网恶意代码识别方法及装置
CN111881446B (zh) * 2020-06-19 2023-10-27 中国科学院信息工程研究所 一种工业互联网恶意代码识别方法及装置
CN112597498A (zh) * 2020-12-29 2021-04-02 天津睿邦安通技术有限公司 一种webshell的检测方法、系统、装置及可读存储介质
CN113760764A (zh) * 2021-09-09 2021-12-07 Oppo广东移动通信有限公司 应用程序检测方法、装置、电子设备及存储介质
CN115146258A (zh) * 2022-07-27 2022-10-04 中国电信股份有限公司 请求处理方法、装置、存储介质及电子设备
CN115146258B (zh) * 2022-07-27 2023-10-31 中国电信股份有限公司 请求处理方法、装置、存储介质及电子设备
CN115249048A (zh) * 2022-09-16 2022-10-28 西南民族大学 一种对抗样本生成方法
CN116484382A (zh) * 2023-04-07 2023-07-25 中国人民解放军61660部队 一种安卓漏洞动态检测方法、系统、电子设备、存储介质
CN117009967A (zh) * 2023-07-26 2023-11-07 深圳安巽科技有限公司 一种恶意代码检测模型构建方法、系统及存储介质
CN117009967B (zh) * 2023-07-26 2024-09-13 深圳安巽科技有限公司 一种恶意代码检测模型构建方法、系统及存储介质

Also Published As

Publication number Publication date
CN107392025B (zh) 2020-06-26

Similar Documents

Publication Publication Date Title
CN107392025A (zh) 基于深度学习的恶意安卓应用程序检测方法
Aslan et al. A new malware classification framework based on deep learning algorithms
Ding et al. AdverTorch v0. 1: An adversarial robustness toolbox based on pytorch
CN109165510B (zh) 基于双通道卷积神经网络的Android恶意应用程序检测方法
CN108595955B (zh) 一种安卓手机恶意应用检测系统及方法
Gu et al. Muffin: Testing deep learning libraries via neural architecture fuzzing
Tian et al. BVDetector: A program slice-based binary code vulnerability intelligent detection system
US10303874B2 (en) Malicious code detection method based on community structure analysis
Sakhnini et al. A generalizable deep neural network method for detecting attacks in industrial cyber-physical systems
CN117951701A (zh) 用于确定软件代码中的缺陷和漏洞的方法
CN111522746B (zh) 数据处理的方法、装置、设备及计算机可读存储介质
CN108549817A (zh) 一种基于文本深度学习的软件安全漏洞预测方法
Anwar et al. A data-driven approach to distinguish cyber-attacks from physical faults in a smart grid
CN107103244B (zh) 基于AADL的Web应用架构安全性的评估方法
CN109657461B (zh) 基于梯度提升算法的rtl硬件木马检测方法
CN104715190B (zh) 一种基于深度学习的程序执行路径的监控方法及系统
CN111062036A (zh) 恶意软件识别模型构建、识别方法及介质和设备
Li et al. LogicScope: Automatic discovery of logic vulnerabilities within web applications
CN114036059A (zh) 面向电网系统的自动化渗透测试系统、方法和计算机设备
CN114036531A (zh) 一种基于多尺度代码度量的软件安全漏洞检测方法
Li et al. Towards practical robustness analysis for DNNs based on PAC-model learning
Agarwal et al. A comparative study of artificial neural networks and info-fuzzy networks as automated oracles in software testing
CN113468524A (zh) 基于rasp的机器学习模型安全检测方法
CN108733528A (zh) 一种基于约束的系统故障注入方法
Xie et al. An attention-based gru network for anomaly detection from system logs

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20210207

Address after: 450000 Science Avenue 62, Zhengzhou High-tech Zone, Henan Province

Patentee after: Information Engineering University of Strategic Support Force,PLA

Address before: 450002 Unit 302, Building No. 7, 19, Jinxue Street, Jinshui District, Zhengzhou City, Henan Province

Patentee before: Liu Long

TR01 Transfer of patent right
CP03 Change of name, title or address

Address after: 450000 Science Avenue 62, Zhengzhou High-tech Zone, Henan Province

Patentee after: Information Engineering University of the Chinese People's Liberation Army Cyberspace Force

Country or region after: China

Address before: No. 62 Science Avenue, High tech Zone, Zhengzhou City, Henan Province

Patentee before: Information Engineering University of Strategic Support Force,PLA

Country or region before: China