CN108595955A - 一种安卓手机恶意应用检测***及方法 - Google Patents
一种安卓手机恶意应用检测***及方法 Download PDFInfo
- Publication number
- CN108595955A CN108595955A CN201810377452.XA CN201810377452A CN108595955A CN 108595955 A CN108595955 A CN 108595955A CN 201810377452 A CN201810377452 A CN 201810377452A CN 108595955 A CN108595955 A CN 108595955A
- Authority
- CN
- China
- Prior art keywords
- neural networks
- sample
- mobile phone
- extraction module
- files
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 17
- 238000013528 artificial neural network Methods 0.000 claims abstract description 68
- 230000003068 static effect Effects 0.000 claims abstract description 43
- 239000013598 vector Substances 0.000 claims abstract description 35
- 238000000605 extraction Methods 0.000 claims abstract description 32
- 230000003542 behavioural effect Effects 0.000 claims abstract description 26
- 238000012544 monitoring process Methods 0.000 claims abstract description 13
- 239000011159 matrix material Substances 0.000 claims abstract description 9
- 238000012549 training Methods 0.000 claims description 19
- 239000010410 layer Substances 0.000 claims description 13
- 238000009434 installation Methods 0.000 claims description 12
- 230000006870 function Effects 0.000 claims description 9
- 239000002356 single layer Substances 0.000 claims description 9
- 210000002569 neuron Anatomy 0.000 claims description 7
- 238000012360 testing method Methods 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 4
- 244000035744 Hura crepitans Species 0.000 claims description 3
- 230000004913 activation Effects 0.000 claims description 3
- 210000005036 nerve Anatomy 0.000 claims description 3
- 230000008676 import Effects 0.000 claims description 2
- 238000012545 processing Methods 0.000 claims 1
- 238000001514 detection method Methods 0.000 abstract description 14
- 238000004458 analytical method Methods 0.000 abstract description 8
- 238000005516 engineering process Methods 0.000 abstract description 4
- 230000006399 behavior Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000001524 infective effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 210000004218 nerve net Anatomy 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
一种安卓手机恶意应用检测***,属于手机检测技术领域。所述安卓手机恶意应用检测***包括正负样本收集模块、静态特征提取模块、动态特征提取模块、神经网络模块和监测结果输出模块,本发明将基于软件代码的静态分析和基于软件行为的动态监测相结合,使检测方法不再是单纯基于签名技术的静态分析,并通过分析软件的代码和软件运行之后的行为来判断软件是否为恶意软件,这种检测方法更加准确,所以我们通过收集恶意软件样品和安全软件样品,获取静态特征向量和动态特征矩阵,并通过大量样本来训练MLP神经网络和RNN神经网络两种神经网络,进行自动的学习和检测,使效率和准确率大大提升。
Description
技术领域
本发明涉及手机检测技术领域,特别涉及一种安卓手机恶意应用检测***及方法。
背景技术
最近国外的市场数据调研公司Kantar woroldpanel正式公布了截止到2017年一季度,全球范围内智能手机市场的最新排名情况,以国内市场为例,安卓手机市场占有率从去年的76.4%上涨到了86.4%,提升了10%。国内国产手机制造业蓬勃发展,而其所用的操作***正是安卓,随着安卓手机用户的增多,安卓恶意应用也随之增长,根据奇虎360的报告我们知道,2016年全年,360互联网安全中心累计截获Android平台新增恶意程序样本1403.3万个,平均每天新增3.8万恶意程序样本。Android用户感染恶意程序2.53亿,平均每天恶意程序感染量约为70万人次。这些恶意应用窃取安卓手机用户的私密数据,破坏手机功能,影响手机的正常使用。
安卓手机的用户群体如此之大,安卓手机恶意应用如此泛滥,一款安卓手机应用是否安全显得尤为重要。大多数的资料显示,现有的恶意应用的检测方法主要是两类,一个是基于签名的检测,另一种是基于软件行为的检测。基于签名的检测是当第一次可疑的软件行为被发现并得到分析之后,针对这个恶意软件会产生一个签名。签名传播开来,防病毒软件最终通过签名匹配来捕获恶意软件。基于签名的检测存在以下问题:第一,从恶意软件的传播开始到检验的周期一般很长,通常数周甚至数月,在此期间很多***已经受到伤害;第二,基于签名的检测方法只能捕获有签名存在的恶意软件,对于未知攻击是没有防御能力的;第三,基于签名的检测对于压缩,加密和变形的恶意代码不能做出正确判断。基于软件行为的检测方法比基于签名的监测更佳准确,但也比较单一,不全面。
发明内容
为了解决现有技术存在的问题,本发明提供了一种安卓手机恶意应用检测***。所述安卓手机恶意应用检测***包括正负样本收集模块、静态特征提取模块、动态特征提取模块、神经网络模块和监测结果输出模块;
所述正负样本收集模块包括正样本集和负样本集;
所述静态特征提取模块包括AndroidManifest.xml文件和class.dex文件,通过分析所述AndroidManifest.xml文件获取***权限列表,通过分析class.dex文件获取调用API列表,将所述权限列表和所述API列表作为静态特征向量;
所述动态特征提取模块是将安卓应用包放入DroidBox沙盒运行,通过运行,查看运行后日志文件,得到软件调用应用程序编程接口API在固定时间段的频率,作为动态特征向量矩阵;
所述神经网络模块包括MLP神经网络和RNN神经网络,所述MLP神经网络包括多个神经元,每层每个所述神经元用来将一个向量输入加权求和后经过激活函数输出传递至下一层的每个神经元,所述MLP神经网络用来导入静态特征向量,所述RNN神经网络用来处理序列数据,结构是序列长度各单层感知器之间的相互组合,每个所述单层感知器的输出将会和序列的下一个输入向量一起,作为下一个单层感知器的输入,所述RNN神经网络用来导入动态特征向量,所述MLP神经网络和RNN神经网络的训练都使用反向传播算法;
所述监测结果输出模块是在经由静态特征提取模块和动态特征提取模块后,将所述特征向量和所述特征矩阵传入训练好的神经网络中,将结果加权求和计算概率,算出其应用为恶意应用的可能性,并输出结果。
所述AndroidManifest.xml文件和class.dex文件为安装包组成部分,安装包包括Lib文件夹,assets文件夹,NETA-INT文件夹,AndroidManifest.xml文件,class.dex文件和resource.arsc文件。
设置所述177维0-1向量,软件有限权的设为1,软件无限权的设为0,并将所述177维的向量作为静态特征。
设置每个APP的运行时间为15S,将每秒11种操作的统计的数量作为15*11维动态特征矩阵。
在所述MLP神经网络和RNN神经网络的训练中,随机选择80%样本作为训练集,剩余20%为验证集或测试集。
所述反向传播算法是以损失函数为样本,并通过模型的输出值与预测值之间的差值之和,对该式子关于各个模型参数求偏导获得梯度,将所述参数向所述梯度反方向调整学习速率的大小,不断迭代,直到整个模型的所述损失函数开始收敛至最小值,模型训练完毕,并在预测集上进行测试。
所述安卓手机恶意应用检测***的使用方法,所述方法包括:
步骤1、从不同来源收集两个样本库,分别组成恶意安卓应用样本库的负样品集和良性安卓应用样本库正样品集;
步骤2、将两个样本库中所有的应用通过所述静态特征提取模块,通过AndroidManifest.xml文件获取安卓应用所申请的***权限列表,并通过class.dex文件调用所述API列表,生成177维0-1静态特征向量,代表某个权限或者API是否被申请或者调用;
步骤3、将步骤2中从安卓正样本和负样本提取的所有特征通过反向传播算法训练MLP神经网络,最后确认MLP神经网络分为三层,dropout率为0.2,学习迭代次数200,通过五折交叉检验法,确定准确率最高的模型参数;
步骤4、将两个样本库中所有应用通过所述动态特征提取模块,并通过DroidBox获取日志文件,得到软件调用应用程序编程接口API在固定时间段的频率,从而获得每个应用15*11维的特征矩阵;
步骤5、将步骤4获得的所有特征矩阵通过反向传播算法训练RNN神经网络,最后确认RNN神经网络为15层,学习率0.01,学习迭代次数200,并通过五折交叉检验法,确定准确率最高的模型参数;
步骤6、将待测样本通过静态特征提取模块,获得177维静态特征向量;
步骤7、将177维特征向量导入步骤3训练完毕的所述MLP神经网络中,得到静态分类的预测概率作为输出;
步骤8、将待测样本通过动态特征提取模块,获得15*11维特征矩阵;
步骤9、将15*11维特征矩阵导入步骤5训练完毕的所述RNN神经网络中,得到动态分类的预测概率作为输出;
步骤10、将步骤7与步骤9的结果进行加权求和计算概率,作为待测样本为恶意应用的概率。
有益效果:本发明将基于软件代码的静态分析和基于软件行为的动态监测相结合,使检测方法不再是单纯的基于签名技术的静态分析,并通过分析软件的代码和软件运行之后的行为来判断软件是否为恶意软件,这种检测方法更加准确,所以我们通过收集恶意软件样品和安全软件样品,获取静态特征向量和动态特征矩阵,并通过大量样本来训练MLP神经网络和RNN神经网络两种神经网络,进行自动的学习和监测,使效率和准确率大大提升。
附图说明
图1是本发明提供的模块结构示意图;
图2是本发明提供的监测流程示意图;
图3是本发明提供的安卓应用安装包内文件内容结构图;
图4是本发明提供的安卓应用安装包AndroidManifest.xml的结构图;
图5是本发明提供的安卓应用安装包class.dex文件的结构图;
图6是本发明提供的安全安卓应用监测结果输出示意图;
图7是本发明提供的恶意安卓应用监测结果输出示意图。
具体实施方式
下面将结合发明实施例中的附图,对发明实施例中的技术方案进行清楚、完整地描述,
如图1至图7所示,本发明提供了一种安卓手机恶意应用检测***.,所述安卓手机恶意应用检测***包括正负样本收集模块1、静态特征提取模块2、动态特征提取模块3、神经网络模块4和监测结果输出模块5;
所述正负样本收集模块1包括正样本集和负样本集,正样本集为安全软件样本集,负样本集为恶意软件样本集;
所述静态特征提取模块2包括AndroidManifest.xml文件201和class.dex文件202,所述AndroidManifest.xml文件201是用来专门介绍该安卓应用的功能和使用该软件功能需要的***权限203,所述class.dex文件202是将JAVA代码转换为安卓Dalvik虚拟机上可以运行的字节码文件,分析得到其调用API204的列表,通过分析所述AndroidManifest.xml文件201获取***权限203列表,通过分析class.dex文件202获取调用API204列表,将所述权限列表和所述API列表作为静态特征向量;
所述动态特征提取模块3是将安卓应用包放入DroidBox沙盒运行301,DroidBox是一个动态分析工具,用来展示一个软件在运行时候的动作,通过对软件的运行,查看运行后日志文件302,得到软件调用应用程序编程接口API在固定时间段的频率,作为动态特征向量矩阵;
所述神经网络模块4包括MLP神经网络206和RNN神经网络304,MLP神经网络206为多层感知器网络,且RNN神经网络304为循环神经网络,所述MLP神经网络206包括多个神经元,每层每个所述神经元用来将一个向量输入加权求和后经过激活函数输出传递至下一层的每个神经元,从而可以映射一组输入向量到一组输出向量间的非线性关系,找出数据之间的规律,所述MLP神经网络206用来导入静态特征向量,所述RNN神经网络304用来处理序列数据,即当前数据的分类结果与上下序列数据有密切关系,结构是序列长度各单层感知器之间的相互组合,每个所述单层感知器的输出将会和序列的下一个输入向量一起,作为下一个单层感知器的输入,从而实现神经网络对于之前数据的记忆和持久化,所述RNN神经网络用来导入动态特征向量,所述MLP神经网络和RNN神经网络的训练都使用反向传播算法;
所述监测结果输出模块5是在经由静态特征提取模块2和动态特征提取模块3后,将所述特征向量和所述特征矩阵传入训练好的神经网络中,将结果加权求和计算概率7,算出其应用为恶意应用的可能性,并输出结果8,用户将根据百分比的数值判断是否安装该应用。
所述AndroidManifest.xml文件201和class.dex文件202为安装包组成部分,安装包包括Lib文件夹601,assets文件夹602,NETA-INT文件夹603,AndroidManifest.xml文件201,class.dex文件202和resource.arsc文件604。
设置所述177维0-1向量,软件有限权的设为1,软件无限权的设为0,并将所述177维的向量作为静态特征。
设置每个APP的运行时间为15S,将每秒11种操作的统计的数量作为动态特征。
在所述MLP神经网络206和RNN神经网络304的训练中,随机选择80%样本作为训练集,剩余20%为验证集或测试集,通过不断训练,获得所述验证集上较好的准确率,保存模型参数。
所述反向传播算法是以损失函数为样本,并通过模型的输出值与预测值之间的差值之和,对该式子关于各个模型参数求偏导获得梯度,将所述参数向所述梯度反方向调整学习速率的大小,不断迭代,直到整个模型的所述损失函数开始收敛至最小值,模型训练完毕,并在预测集上进行测试,通过反向传播的算法,来实现对MLP神经网络206和RNN神经网络304的训练。
本发明中的安卓手机恶意应用检测***的方法包括:
步骤1、从不同来源收集两个样本库,分别组成恶意安卓应用样本库的负样品集和良性安卓应用样本库正样品集;
步骤2、将两个样本库中所有的应用通过所述静态特征提取模块2,通过AndroidManifest.xml文件201获取安卓应用所申请的***权限203列表,并通过class.dex文件202调用API204列表,生成177维0-1静态特征向量,代表某个权限或者API是否被申请或者调用;
步骤3、将步骤2中从安卓正样本和负样本提取的所有特征通过反向传播算法训练MLP神经网络206,最后确认MLP神经网络206分为三层,dropout率为0.2,学习迭代次数200,通过五折交叉检验法,确定准确率最高的模型参数;
步骤4、将两个样本库中所有应用通过所述动态特征提取模块3,并通过DroidBox获取日志文件,得到软件调用应用程序编程接口API在固定时间段的频率,从而获得每个应用15*11维的特征矩阵303;
步骤5、将步骤4获得的所有特征矩阵通过反向传播算法训练RNN神经网络304,最后确认RNN神经网络304为15层,学习率0.01,学习迭代次数200,并通过五折交叉检验法,确定准确率最高的模型参数;
步骤6、将待测样本通过静态特征提取模块2,获得177维静态特征向量205;
步骤7、将177维特征向量导入步骤3训练完毕的所述MLP神经网络206中,得到静态分类的预测概率作为输出;
步骤8、将待测样本通过动态特征提取模块3,获得15*11维特征矩阵303;
步骤9、将15*11维特征矩阵303导入步骤5训练完毕的所述RNN神经网络304中,得到动态分类的预测概率作为输出;
步骤10、将步骤7与步骤9的结果进行加权求和计算概率304,作为待测样本为恶意应用的概率。
工作原理:本发明首先通过正负样本收集模块1来对恶意安卓应用样本和良性安卓应用样本进行收集,然后通过安装包APK6中的AndroidManifest.xml文件201来获取***权限203列表,通过安装包APK6中的class.dex文件202来调用API204列表,并将所述***权限203列表和API列表204生成为177维静态特征向量205导入通过反向传播算法训练的MLP神经网络206中,经由五折交叉检验法,确定准确率最高的模型参数,得到静态分类的预测概率作为输出,再将正负样本收集模块1中的所有应用通过动态特征提取模块,从而获得每个应用的15*11维特征矩阵303,并将15*11维特征矩阵303通过反向传播算法训练的RNN神经网络304中,经由五折交叉检验法,确定准确率最高的模型参数,得到动态分类的预测概率作为输出,最后将静态分类的预测输出概率和动态分类的预测输出概率进行加权求和计算概率7,计算出待测样本为恶意应用的概率。
Claims (7)
1.一种安卓手机恶意应用检测***,其特征在于:所述安卓手机恶意应用检测***包括正负样本收集模块、静态特征提取模块、动态特征提取模块、神经网络模块和监测结果输出模块;
所述正负样本收集模块包括正样本集和负样本集;
所述静态特征提取模块包括AndroidManifest.xml文件和class.dex文件,通过分析所述AndroidManifest.xml文件获取***权限列表,通过分析class.dex文件获取***调用API列表,将所述权限列表和所述API列表作为静态特征向量;
所述动态特征提取模块是将安卓应用安装包放入DroidBox沙盒运行,通过运行,查看运行后日志文件,得到软件调用应用程序编程接口API在固定时间段的频率,作为动态特征向量矩阵;
所述神经网络模块包括MLP神经网络和RNN神经网络,所述MLP神经网络包括多个神经元,每层每个所述神经元用来将一个向量输入加权求和后经过激活函数输出传递至下一层的每个神经元,所述MLP神经网络用来导入静态特征向量,所述RNN神经网络用来处理序列数据,结构是序列长度各单层感知器之间的相互组合,每个所述单层感知器的输出将会和序列的下一个输入向量一起,作为下一个单层感知器的输入,所述RNN神经网络用来导入动态特征向量,所述MLP神经网络和RNN神经网络的训练都使用反向传播算法;
所述监测结果输出模块是在经由静态特征提取模块和动态特征提取模块后,将所述特征向量和所述特征矩阵传入训练好的神经网络中,将结果加权求和计算概率,算出其应用为恶意应用的可能性,并输出结果。
2.根据权利要求1所述的一种安卓手机恶意应用检测***.,其特征在于,所述AndroidManifest.xml文件和class.dex文件为安装包组成部分,安装包包括Lib文件夹,assets文件夹,NETA-INT文件夹,AndroidManifest.xml文件,class.dex文件和resource.arsc文件。
3.根据权利要求1所述的一种安卓手机恶意应用检测***,其特征在于,设置所述177维0-1向量,软件有限权的设为1,软件无限权的设为0,并将所述177维的向量作为静态特征。
4.根据权利要求1所述的一种安卓手机恶意应用检测***,其特征在于,设置每个APP的运行时间为15S,将每秒11种操作的统计的数量作为动态特征。
5.根据权利要求1所述的一种安卓手机恶意应用检测***,其特征在于,在所述MLP神经网络和RNN神经网络的训练中,随机选择80%样本作为训练集,剩余20%为验证集或测试集。
6.根据权利要求1所述的一种安卓手机恶意应用检测***,其特征在于,所述反向传播算法是以损失函数为样本,并通过模型的输出值与预测值之间的差值之和,对该式子关于各个模型参数求偏导获得梯度,将所述参数向所述梯度反方向调整学习速率的大小,不断迭代,直到整个模型的所述损失函数开始收敛至最小值,模型训练完毕,并在预测集上进行测试。
7.权利要求1所述的一种安卓手机恶意应用检测***的使用方法,其特征在于,所述方法包括:
步骤1、从不同来源收集两个样本库,分别组成恶意安卓应用样本库的负样品集和良性安卓应用样本库正样品集;
步骤2、将两个样本库中所有的应用通过所述静态特征提取模块,通过AndroidManifest.xml文件获取安卓应用所申请的***权限列表,并通过class.dex文件获取调用API列表,生成177维0-1静态特征向量,代表某个权限或者API是否被申请或者调用;
步骤3、将步骤2中从安卓正样本和负样本提取的所有特征通过反向传播算法训练MLP神经网络,最后确认MLP神经网络分为三层,dropout率为0.2,学习迭代次数200,通过五折交叉检验法,确定准确率最高的模型参数;
步骤4、将两个样本库中所有应用通过所述动态特征提取模块,并通过DroidBox获取日志文件,得到软件调用应用程序编程接口API在固定时间段的频率,从而获得每个应用15*11维的特征矩阵;
步骤5、将步骤4获得的所有特征矩阵通过反向传播算法训练RNN神经网络,最后确认RNN神经网络为15层,学习率0.01,学习迭代次数200,并通过五折交叉检验法,确定准确率最高的模型参数;
步骤6、将待测样本通过静态特征提取模块,获得177维静态特征向量;
步骤7、将177维特征向量导入步骤3训练完毕的所述MLP神经网络中,得到静态分类的预测概率作为输出;
步骤8、将待测样本通过动态特征提取模块,获得15*11维特征矩阵;
步骤9、将15*11维特征矩阵导入步骤5训练完毕的所述RNN神经网络中,得到动态分类的预测概率作为输出;
步骤10、将步骤7与步骤9的结果进行加权求和计算概率,作为待测样本为恶意应用的概率。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810377452.XA CN108595955B (zh) | 2018-04-25 | 2018-04-25 | 一种安卓手机恶意应用检测***及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810377452.XA CN108595955B (zh) | 2018-04-25 | 2018-04-25 | 一种安卓手机恶意应用检测***及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108595955A true CN108595955A (zh) | 2018-09-28 |
CN108595955B CN108595955B (zh) | 2022-05-24 |
Family
ID=63609097
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810377452.XA Expired - Fee Related CN108595955B (zh) | 2018-04-25 | 2018-04-25 | 一种安卓手机恶意应用检测***及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108595955B (zh) |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109359439A (zh) * | 2018-10-26 | 2019-02-19 | 北京天融信网络安全技术有限公司 | 软件检测方法、装置、设备及存储介质 |
CN109543409A (zh) * | 2018-11-09 | 2019-03-29 | 腾讯科技(深圳)有限公司 | 用于检测恶意应用及训练检测模型的方法、装置及设备 |
CN109614795A (zh) * | 2018-11-30 | 2019-04-12 | 武汉大学 | 一种事件感知的安卓恶意软件检测方法 |
CN109753794A (zh) * | 2018-11-30 | 2019-05-14 | 北京奇虎科技有限公司 | 一种恶意应用的识别方法、***、训练方法、设备及介质 |
CN109753801A (zh) * | 2019-01-29 | 2019-05-14 | 重庆邮电大学 | 基于***调用的智能终端恶意软件动态检测方法 |
CN109858250A (zh) * | 2019-02-20 | 2019-06-07 | 哈尔滨工程大学 | 一种基于级联分类器的安卓恶意代码检测模型方法 |
CN109992514A (zh) * | 2019-04-01 | 2019-07-09 | 国家计算机网络与信息安全管理中心 | 基于可视化内容的移动应用动态分析方法 |
CN110008700A (zh) * | 2019-03-20 | 2019-07-12 | 北京大学 | 一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置 |
CN111382783A (zh) * | 2020-02-28 | 2020-07-07 | 广州大学 | 恶意软件识别方法、装置及存储介质 |
CN111639337A (zh) * | 2020-04-17 | 2020-09-08 | 中国科学院信息工程研究所 | 一种面向海量Windows软件的未知恶意代码检测方法及*** |
CN112182571A (zh) * | 2020-07-21 | 2021-01-05 | 浙江工商大学 | 一种基于神经网络不变量的安卓恶意应用检测*** |
CN112464233A (zh) * | 2020-11-21 | 2021-03-09 | 西北工业大学 | 一种云平台上基于rnn的恶意软件检测方法 |
CN113127872A (zh) * | 2021-04-16 | 2021-07-16 | 国家计算机网络与信息安全管理中心浙江分中心 | 一种判别对抗网络的恶意应用检测方法和*** |
CN113312621A (zh) * | 2021-06-02 | 2021-08-27 | 沈阳航空航天大学 | 基于增强深度学习的拟态的安卓恶意软件动态检测方法 |
CN113761529A (zh) * | 2020-12-01 | 2021-12-07 | 北京卫达信息技术有限公司 | 一种基于异构图学习的安卓恶意软件检测***和方法 |
CN113868660A (zh) * | 2021-12-01 | 2021-12-31 | 北京华云安信息技术有限公司 | 恶意软件检测模型的训练方法、装置以及设备 |
CN113935022A (zh) * | 2021-12-17 | 2022-01-14 | 北京微步在线科技有限公司 | 一种同源样本捕获方法、装置、电子设备及存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105205396A (zh) * | 2015-10-15 | 2015-12-30 | 上海交通大学 | 一种基于深度学习的安卓恶意代码检测***及其方法 |
-
2018
- 2018-04-25 CN CN201810377452.XA patent/CN108595955B/zh not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105205396A (zh) * | 2015-10-15 | 2015-12-30 | 上海交通大学 | 一种基于深度学习的安卓恶意代码检测***及其方法 |
Non-Patent Citations (1)
Title |
---|
贾蕴哲等: "《基于静态特征的Android恶意代码检测》", 《通信技术》 * |
Cited By (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109359439A (zh) * | 2018-10-26 | 2019-02-19 | 北京天融信网络安全技术有限公司 | 软件检测方法、装置、设备及存储介质 |
CN109359439B (zh) * | 2018-10-26 | 2019-12-13 | 北京天融信网络安全技术有限公司 | 软件检测方法、装置、设备及存储介质 |
CN109543409B (zh) * | 2018-11-09 | 2021-06-08 | 腾讯科技(深圳)有限公司 | 用于检测恶意应用及训练检测模型的方法、装置及设备 |
CN109543409A (zh) * | 2018-11-09 | 2019-03-29 | 腾讯科技(深圳)有限公司 | 用于检测恶意应用及训练检测模型的方法、装置及设备 |
CN109614795A (zh) * | 2018-11-30 | 2019-04-12 | 武汉大学 | 一种事件感知的安卓恶意软件检测方法 |
CN109753794A (zh) * | 2018-11-30 | 2019-05-14 | 北京奇虎科技有限公司 | 一种恶意应用的识别方法、***、训练方法、设备及介质 |
CN109753801B (zh) * | 2019-01-29 | 2022-04-22 | 重庆邮电大学 | 基于***调用的智能终端恶意软件动态检测方法 |
CN109753801A (zh) * | 2019-01-29 | 2019-05-14 | 重庆邮电大学 | 基于***调用的智能终端恶意软件动态检测方法 |
CN109858250A (zh) * | 2019-02-20 | 2019-06-07 | 哈尔滨工程大学 | 一种基于级联分类器的安卓恶意代码检测模型方法 |
CN109858250B (zh) * | 2019-02-20 | 2023-01-03 | 哈尔滨工程大学 | 一种基于级联分类器的安卓恶意代码检测模型方法 |
CN110008700A (zh) * | 2019-03-20 | 2019-07-12 | 北京大学 | 一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置 |
CN110008700B (zh) * | 2019-03-20 | 2020-12-22 | 北京大学 | 一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置 |
CN109992514A (zh) * | 2019-04-01 | 2019-07-09 | 国家计算机网络与信息安全管理中心 | 基于可视化内容的移动应用动态分析方法 |
CN109992514B (zh) * | 2019-04-01 | 2023-04-07 | 国家计算机网络与信息安全管理中心 | 基于可视化内容的移动应用动态分析方法 |
CN111382783A (zh) * | 2020-02-28 | 2020-07-07 | 广州大学 | 恶意软件识别方法、装置及存储介质 |
CN111639337A (zh) * | 2020-04-17 | 2020-09-08 | 中国科学院信息工程研究所 | 一种面向海量Windows软件的未知恶意代码检测方法及*** |
CN111639337B (zh) * | 2020-04-17 | 2023-04-07 | 中国科学院信息工程研究所 | 一种面向海量Windows软件的未知恶意代码检测方法及*** |
CN112182571A (zh) * | 2020-07-21 | 2021-01-05 | 浙江工商大学 | 一种基于神经网络不变量的安卓恶意应用检测*** |
CN112464233B (zh) * | 2020-11-21 | 2023-04-07 | 西北工业大学 | 一种云平台上基于rnn的恶意软件检测方法 |
CN112464233A (zh) * | 2020-11-21 | 2021-03-09 | 西北工业大学 | 一种云平台上基于rnn的恶意软件检测方法 |
CN113761529A (zh) * | 2020-12-01 | 2021-12-07 | 北京卫达信息技术有限公司 | 一种基于异构图学习的安卓恶意软件检测***和方法 |
CN113761529B (zh) * | 2020-12-01 | 2024-04-26 | 北京卫达信息技术有限公司 | 一种基于异构图学习的安卓恶意软件检测***和方法 |
CN113127872A (zh) * | 2021-04-16 | 2021-07-16 | 国家计算机网络与信息安全管理中心浙江分中心 | 一种判别对抗网络的恶意应用检测方法和*** |
CN113312621A (zh) * | 2021-06-02 | 2021-08-27 | 沈阳航空航天大学 | 基于增强深度学习的拟态的安卓恶意软件动态检测方法 |
CN113312621B (zh) * | 2021-06-02 | 2024-03-26 | 深圳市凌晨知识产权运营有限公司 | 基于增强深度学习的拟态的安卓恶意软件动态检测方法 |
CN113868660A (zh) * | 2021-12-01 | 2021-12-31 | 北京华云安信息技术有限公司 | 恶意软件检测模型的训练方法、装置以及设备 |
CN113935022A (zh) * | 2021-12-17 | 2022-01-14 | 北京微步在线科技有限公司 | 一种同源样本捕获方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108595955B (zh) | 2022-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108595955A (zh) | 一种安卓手机恶意应用检测***及方法 | |
Ren et al. | End-to-end malware detection for android IoT devices using deep learning | |
CN105205396A (zh) | 一种基于深度学习的安卓恶意代码检测***及其方法 | |
Xing et al. | Employing latent dirichlet allocation for fraud detection in telecommunications | |
CN107103235A (zh) | 一种基于卷积神经网络的Android恶意软件检测方法 | |
CN106548343B (zh) | 一种非法交易检测方法及装置 | |
CN110362999B (zh) | 用于检测账户使用异常的方法及装置 | |
CN111107096A (zh) | 一种Web站点安全防护方法及装置 | |
CN107273747A (zh) | 勒索软件检测的方法 | |
Tabash et al. | Intrusion detection model using naive bayes and deep learning technique. | |
CN109117634A (zh) | 基于网络流量多视图融合的恶意软件检测方法及*** | |
CN109271780A (zh) | 机器学习恶意软件检测模型的方法、***和计算机可读介质 | |
CN110263538A (zh) | 一种基于***行为序列的恶意代码检测方法 | |
CN111614599A (zh) | 基于人工智能的webshell检测方法和装置 | |
CN112149124B (zh) | 一种基于异构信息网络的安卓恶意程序检测的方法和*** | |
Demertzis et al. | SAME: an intelligent anti-malware extension for android ART virtual machine | |
CN105959316A (zh) | 网络安全性验证*** | |
Sood et al. | Deep learning-based detection of fake task injection in mobile crowdsensing | |
CN112163222A (zh) | 一种恶意软件检测方法及装置 | |
Wu | A systematical study for deep learning based android malware detection | |
CN103593610A (zh) | 基于计算机免疫的间谍软件自适应诱导与检测方法 | |
Lee et al. | Detecting online game chargeback fraud based on transaction sequence modeling using recurrent neural network | |
CN111598568B (zh) | 一种基于多交易客体多维信誉管理的异常交易识别方法 | |
Shakya et al. | Intrusion detection system using back propagation algorithm and compare its performance with self organizing map | |
CN111901324B (zh) | 一种基于序列熵流量识别的方法、装置和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20220524 |
|
CF01 | Termination of patent right due to non-payment of annual fee |