CN107944274A - 一种基于宽度学***台恶意应用离线检测方法 - Google Patents

Abstract

本发明公开了一种基于宽度学***台恶意应用离线检测方法，属于移动通信平台安全技术领域。本发明方法通过预先收集的Android应用程序样本集构建宽度学习模型，再将宽度学习模型移植到Android手机中对手机中的应用程序进行恶意程序的检测，并利用检测结果进行宽度学习模型的更新，实现了在离线状态下Android设备识别正常应用程序和恶意应用程序，在保证准确率的前提下克服了传统方法需要联网进行恶意程序检测的缺点，并且本发明提供的方法可以增量学习以避免在接收新样本时重新训练耗时长的问题。

Description

一种基于宽度学***台恶意应用离线检测方法

技术领域

本发明属于移动通信平台安全技术领域，更具体地，涉及一种基于宽度学***台恶意应用离线检测方法。

背景技术

随着移动通信技术的快速发展，以Android、iOS为主流操作***的智能移动终端的普及率大幅度上升。由于价格、易用性等因素的影响，基于Android***平台的智能手机的使用者占据了大多数，而用户使用Android智能手机的大部分时间其实是在使用基于Android平台的各种应用程序如微信、支付宝等等。各式各样的Android应用程序给人们生活带来极大便利的同时也需要人们将自己的私密信息等等作为凭据保存在Android平台或者云端服务器，快速滋生的恶意应用正是利用软件漏洞、界面劫持、破解接口等手段获取用户隐私并以此谋利，而由于Android的开源特性，恶意手机应用中的绝大多数都出现在Android平台。

按操作***分布统计，2016年CNCERT/CC捕获和通过厂商交换获得的移动互联网恶意程序主要针对Android平台，共有2053450个，占99.9％，位居第一。其次是Symbian平台，共有51个，占0.01％。由此可见，目前移动互联网地下产业的目标趋于集中，Android平台用户成为最主要的攻击对象。

根据360互联网安全中心发布的2016年Android恶意软件专题报告，2016年全年累计截获Android平台新增恶意程序样本1403.3万个，平均每天新增3.8万恶意程序。360互联网安全中心累计检测到Android用户感染恶意程序2.53亿，平均每天恶意程序感染量约为70万人次。2016年Android平台新增恶意程序主要是资费消耗，占比高达74.2％；其次是恶意扣费(16.5％)、隐私窃取(6.1％)。钓鱼软件、勒索软件、色情播放器软件、顽固木马成为2016年流行的恶意软件。从移动威胁趋势上看，银行金融对象依然是攻击热点；移动平台仍然是勒索软件的重灾区；手机***攻防技术更加激烈；针对企业移动办公的威胁加大；劫持路由器的新型木马给物联网或带来众多隐患；针对高级目标持续定向攻击的全平台化成为今后的主要趋势。因此，提出一种准确快速的Android恶意应用程序检测技术迫在眉睫。

目前，Android平台的恶意应用检测主要是基于权限信息的预警，如在Android***6.0版本中加入了运行时权限***，在手机应用申请权限时以弹窗提醒手机用户该程序正在申请哪些权限，除此之外还包括基于云端程序样本库的恶意应用程序检测，如著名的360手机卫士、腾讯手机管家。针对基于权限信息的预警，Android***运行时权限为120个，根据这些权限，用户其实并不能人工分别是否有害，所以手机用户更关心的是该应用是否为恶意应用；针对以云端程序样本库为关键的恶意应用程序检测，对网络的依赖是这一方式的软肋，因为重打包技术的存在使得要准确识别恶意程序必须将整个应用程序安装包上传到云端进行特征提取和分析，如基于深度学***台恶意应用检测的重点需求是如何实现离线检测以及模型对于新型恶意应用模式的自适应学习。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种基于宽度学***台恶意应用离线检测方法，其目的在于通过收集的Android应用程序样本集构建宽度学习模型，再将宽度学习模型移植到Android手机中对手机中的应用程序进行恶意程序的检测，并利用检测结果进行宽度学习模型的更新，实现了在离线的Android设备上识别正常应用程序和恶意应用程序，在保证准确率的前提下克服了传统方法需要联网进行恶意程序检测的缺点，并且本发明提供的方法可以增量学习以避免在接收新样本时重新训练耗时长的问题。

为实现上述目的，本发明提供了一种基于宽度学***台恶意应用离线检测方法，所述方法

(1)提取Android应用程序样本集中所有程序的静态特征和动态特征，将各个程序的静态特征和动态特征合并得到特征向量并放入特征向量集合；

(2)利用所述特征向量集合进行预训练以建立宽度学习模型；

(3)将所述宽度学习模型移植到Android手机上进行恶意应用的检测。

进一步地，所述步骤(1)中提取Android应用程序的静态特征具体为：

首先解压缩Android应用程序的安装包文件获取安装包内的源代码文件；之后分析所述源代码文件，获取Android应用程序请求的权限列表；最后将所述权限列表和Android***所有权限的列表进行对比，提取静态特征向量。

进一步地，所述步骤(1)中提取Android应用程序的动态特征具体为：

首先在Android虚拟机上安装应用程序，持续运行之后利用***日志获取Android应用的动态行为列表；将所述动态行为列表和关键行为列表进行对比，提取动态特征向量。

进一步地，所述步骤(1)中特征向量集合分为训练样本集合和测试样本集合。

进一步地，所述步骤(2)具体包括：

(21)利用所述特征向量集合对宽度学习模型进行训练，并测试分类器性能；

(22)增加节点数量，利用增量学习不断调整宽度学习模型架构进行训练，并测试分类器性能，当分类器性能达到设定阈值时，获取此时各层权重信息并保存宽度学习模型。

进一步地，所述步骤(21)具体包括：

(211)随机初始化分类器模型特征节点权重矩阵，并利用稀疏自编码使单个特征节点组紧凑化；

(212)训练样本集合和所述特征节点权重矩阵进行矩阵乘法得到特征节点矩阵；

(213)随机初始化增强节点权重矩阵；

(214)将所述特征节点矩阵和所述增强节点权重矩阵相乘获得增强节点矩阵；

(215)将所述特征节点矩阵和所述增强节点矩阵按列进行拼接得到输入矩阵；

(216)求取所述输入矩阵的加号广义逆并和训练样本集合中的标签集进行矩阵乘法得到权重矩阵；

(217)将测试样本集合替换训练样本集合重复步骤(212)、(214)和(215)中执行得到测试样本集合的输入矩阵；

(218)将测试样本集合的输入矩阵和步骤(216)所得权重矩阵进行矩阵乘法得到预测标签集合，并将预测标签集合与集合中的标签集对比得到分类器性能。

进一步地，所述步骤(22)具体包括：

(221)增加节点数量，采用增量学习的方法对步骤(21)中所得模型权重矩阵进行调整；

(222)循环执行步骤(221)，更新宽度学习模型和检测分类器性能，当分类器性能达到设定阈值时，保存此时的宽度学习模型；设定阈值取值范围为准确率达到70％～100％。

进一步地，所述步骤(3)具体包括：

(31)利用机器学习框架将宽度学习模型移植到Android手机上；

(32)提取Android手机上所有应用程序的静态特征和动态特征，并将各个应用程序的静态特征和动态特征合并得到特征向量集合；

(33)将所述Android手机特征向量集合输入到Android手机上的宽度学习模型，根据输出结果确定Android手机上应用程序是否为恶意应用。

进一步地，所述步骤(3)还包括：

(34)收集宽度学习模型不能正确识别的应用样本并提取样本特征；

(35)利用样本特征对宽度学习模型进行增量学习，更新宽度学习模型。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，具有以下技术特征及有益效果：

(1)本发明方法构建宽度学习模型对恶意应用进行检测，宽度学习不同于深度学习，宽度学习架构层次较浅，对计算资源要求较低使得其能够在移动设备上进行部署且不会损失太大的精度；除此之外，深度学习在接收到新的样本需要对模型进行改进时只能进行重新训练而花费大量的时间，而宽度学习具有增量学习的能力，在接收到新的样本时不必重新训练，只需要依据新样本提取的特征对现有模型进行补充调整，因此花费时间非常少；

(2)本发明方法采用预训练的形式构建宽度学***台上离线完成，无需网络，避免了恶意应用控制网络访问伪造数据包为自身洗白的问题，并且可以根据新获取的样本在手机本地进行权重的调整而无需耗费大量资源。

附图说明

图1是本发明实施例的Android恶意应用程序离线检测的整体流程图；

图2是本发明实施例的Android应用程序PC端特征提取流程图；

图3是本发明实施例的Android应用分类器模型训练流程图；

图4是本发明实施例的Android应用分类器模型移植流程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

本发明提供了一种基于宽度学习模型的Android恶意应用离线检测方法，如图1所示，Android恶意应用离线检测方法包括如下步骤：

步骤1，Android应用程序安装包样本的特征提取；

如图2所示，包括一下子步骤：

步骤1.1，利用“apktool”工具解压缩处理Android应用程序安装包样本即APK文件，得到APK文件内包含的“AndroidManifest.xml”文件；

步骤1.2，利用“Androguard”工具解析“AndroidManifest.xml”文件，得到Android应用请求的权限列表，对比Android全部权限清单获取静态特征向量；假设有147个权限，那么静态特征向量一共有147位，每一位数字为0或者1，如果APP请求了某一个权限，那么这一位就是1，否则是0；

步骤1.3，在Android虚拟机中安装应用程序并持续执行一段时间，利用DroidBox生成的日志记录筛选关键行为特征，获取应用运行的动态特征向量；和上面静态特征向量一致，假设有147个关键行为，那么动态特征向量一共有147位，如果APP中出现了某一个动态行为，那么动态特征相应位置就为1，否则为0；

步骤1.4，将静态特征和动态特征进行拼接得到特征向量。

步骤2具体包括以下处理：

步骤2.1，利用步骤1获取的Android应用样本特征向量集合对宽度学习模型进行训练并测试分类器性能；

步骤2.1包括以下处理：

步骤2.1.1，随机初始化分类器模型特征节点权重矩阵，并利用稀疏自编码对特征节点权重进行处理；

步骤2.1.2，Android应用训练样本特征集合与步骤2.1.1.获取的权重矩阵进行矩阵乘法得到特征节点矩阵；

步骤2.1.3，随机初始化增强节点权重矩阵；

步骤2.1.4，将步骤2.1.,2获取的特征节点矩阵与步骤2.1.3获取的权重矩阵相乘获得增强节点矩阵；

步骤2.1.5，将步骤2.1.2获取的特征节点矩阵和步骤2.1.4获取的增强节点矩阵按列进行拼接得到输入矩阵；

步骤2.1.6，求取步骤2.1.5所得输入矩阵矩阵的加号广义逆并与Android应用训练样本标签集合进行矩阵乘法得到权重矩阵；

步骤2.1.7，在Android应用测试样本集合上重复步骤2.1.2，步骤2.1.4，步骤2.1.5得到测试集合的输入矩阵；

步骤2.1.8，将步骤2.1.7所得输入矩阵与步骤2.1.6所得权重矩阵进行矩阵乘法并与Android应用测试样本标签集合对比得到测试精度。

步骤2.2，利用增量学习调整网络架构进行训练并测试直到分类器达到预期性能或者调整达到一定次数，获取最优情况下的各层权重信息并保存。

步骤2.2具体包括以下处理：

步骤2.2.1，利用增加特征节点数和增强节点数的增量学习方法对步骤2.1中所得模型进行调整并进行测试；

步骤2.2.2，循环一定次数进行步骤2.2.1并对所得测试精度进行记录，对比确定最优的特征节点数目和增强节点数目，保存此最优模型。

步骤3，将预训练的宽度学习模型移植到Android智能手机上进行恶意应用的检测；

步骤3具体包括以下处理：

步骤3.1，利用机器学习框架“Tensorflow”的移动端支持对步骤2中所得最优模型进行移植；

如图3所示，步骤3.1具体包括以下处理：

步骤3.1.1，利用编译工具“Android NDK”及“Bazel”对“Tensorflow”源代码进行Android平台的交叉编译，得到动态链接库文件和java库文件

libtensorflow_inference.so；

libandroid_tensorflow_inference_java.jar；

步骤3.1.2，使用Tensorflow和“Bazel”将步骤2中得到的模型保存为其可以识别的模型pb文件；

步骤3.1.3，使用步骤3.1.1得到的动态链接库以及步骤3.1.2得到的模型pb文件编写Android应用程序；

步骤3.2，使用编写的Android程序在Android手机平台上对待检测的应用程序执行步骤1中的特征提取；

步骤3.2中用来实现检测功能的Android应用程序具体包括以下功能实现：

(1)读取已安装应用程序列表；

(2)获取任意已安装应用程序使用的权限信息；

(3)获取任意已安装应用程序的动态行为信息；

步骤3.3，利用步骤3.2中的方法获取任意已安装手机应用的特征向量，导入宽度学习模型，输出分类结果获知其是否为恶意应用。

步骤4，在Android手机上收集预训练模型不能正确识别的恶意应用及正常应用样本的特征；

步骤4具体包括以下处理：

分类器的准确度不能达到100％，因此不可避免地会有误判的情况，当出现以下情况时：1，将正常应用分类为恶意应用；2，将恶意应用分类为正常应用，将误判应用的特征向量记录在本地文件中。

步骤5，利用步骤4提取的特征对模型进行增量改进。

步骤5具体包括以下处理：

当步骤4中记录的特征向量达到一定数目后，利用增加输入的增量学习方法对步骤3中使用的模型进行权重调整，获得新的权重矩阵。

以上内容本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于宽度学***台恶意应用离线检测方法，其特征在于，所述方法具体包括：

(1)提取Android应用程序样本集中所有程序的静态特征和动态特征，将各个程序的静态特征和动态特征合并得到特征向量并放入特征向量集合；

(2)利用所述特征向量集合进行预训练以建立宽度学习模型；

(3)将所述宽度学习模型移植到Android手机上进行恶意应用的检测。

2.根据权利要求1所述的一种Android平台恶意应用离线检测方法，其特征在于，所述步骤(1)中提取Android应用程序的静态特征具体为：

首先解压缩Android应用程序的安装包文件获取安装包内的源代码文件；之后分析所述源代码文件，获取Android应用程序请求的权限列表；最后将所述权限列表和Android***所有权限的列表进行对比，提取静态特征向量。

3.根据权利要求1所述的一种Android平台恶意应用离线检测方法，其特征在于，所述步骤(1)中提取Android应用程序的动态特征具体为：

首先在Android虚拟机上安装应用程序，持续运行之后利用***日志获取Android应用的动态行为列表；将所述动态行为列表和关键行为列表进行对比，提取动态特征向量。

4.根据权利要求1所述的一种Android平台恶意应用离线检测方法，其特征在于，所述步骤(1)中特征向量集合分为训练样本集合和测试样本集合。

5.根据权利要求1所述的一种Android平台恶意应用离线检测方法，其特征在于，所述步骤(2)具体包括：

(21)利用所述特征向量集合对宽度学习模型进行训练，并测试分类器性能；

(22)增加节点数量，利用增量学习不断调整宽度学习模型架构进行训练，并测试分类器性能，当分类器性能达到设定阈值时，获取此时各层权重信息并保存宽度学习模型。

6.根据权利要求4或5所述的一种Android平台恶意应用离线检测方法，其特征在于，所述步骤(21)具体包括：

(211)随机初始化分类器模型特征节点权重矩阵，并利用稀疏自编码使单个特征节点组紧凑化；

(212)训练样本集合和所述特征节点权重矩阵进行矩阵乘法得到特征节点矩阵；

(213)随机初始化增强节点权重矩阵；

(214)将所述特征节点矩阵和所述增强节点权重矩阵相乘获得增强节点矩阵；

(215)将所述特征节点矩阵和所述增强节点矩阵按列进行拼接得到输入矩阵；

(216)求取所述输入矩阵的加号广义逆并和训练样本集合中的标签集进行矩阵乘法得到权重矩阵；

(217)将测试样本集合替换训练样本集合重复步骤(212)、(214)和(215)中执行得到测试样本集合的输入矩阵；

(218)将测试样本集合的输入矩阵和步骤(216)所得权重矩阵进行矩阵乘法得到预测标签集合，并将预测标签集合与集合中的标签集对比得到分类器性能。

7.根据权利要求5所述的一种Android平台恶意应用离线检测方法，其特征在于，所述步骤(22)具体包括：

(221)增加节点数量，采用增量学习的方法对步骤(21)中所得模型权重矩阵进行调整；

(222)循环执行步骤(221)，更新宽度学习模型和检测分类器性能，当分类器性能达到设定阈值时，保存此时的宽度学习模型。

8.根据权利要求1所述的一种Android平台恶意应用离线检测方法，其特征在于，所述步骤(3)具体包括：

(31)利用机器学习框架将宽度学习模型移植到Android手机上；

(32)提取Android手机上所有应用程序的静态特征和动态特征，并将各个应用程序的静态特征和动态特征合并得到特征向量集合；

(33)将所述Android手机特征向量集合输入到Android手机上的宽度学习模型，根据输出结果确定Android手机上应用程序是否为恶意应用。

9.根据权利要求1所述的一种Android平台恶意应用离线检测方法，其特征在于，所述步骤(3)还包括：

(34)收集宽度学习模型不能正确识别的应用样本并提取样本特征；

(35)利用样本特征对宽度学习模型进行增量学习，更新宽度学习模型。