CN113034331A - 一种基于多模态融合的安卓赌博应用识别方法和*** - Google Patents

Abstract

本发明公开了一种基于多模态融合的安卓赌博应用识别方法和***，属于安卓应用安全技术领域，该识别方法具体过程如下；(1)批量获取网站评论和赌博网站中安卓赌博应用下载线索信息；(2)通过在目标网站发现以APK结尾的应用下载链接，提取疑似安卓应用；(3)提取安卓应用安装包的包名、图标、证书、IP地址、URL域名和电子邮件地址；(4)通过多模态融合的安卓赌博应用识别模型，判定识别赌博应用包括图像模型、文本模型和Multihead Attention融合模型；(5)存储发现的安卓应用基本信息及应用安装包；本发明多模态识别模型能够精确地识别出安卓平台中的赌博应用，有利于减少网络赌博违法犯罪活动。

Description

一种基于多模态融合的安卓赌博应用识别方法和***

技术领域

本发明涉及安卓应用安全技术领域，尤其涉及一种基于多模态融合的安卓赌博应用识别方法和***。

背景技术

经检索，中国专利号CN108052523A公开了一种基于卷积神经网络的赌博网站识别方法和***，该发明虽然能通过卷积神经网络模型对待预测网站的网页截图进行识别，判断其是否为赌博网站，但仅仅只能针对网站的图像特征进行训练识别；近年来,随着互联网和移动通信产业的飞速发展，网络赌博作为一种参与人数多、传播渠道广、涉案规模大的违法犯罪活动，在境内不断蔓延，导致大量资金外流，其衍生犯罪严重威胁我国社会安全；安卓(Android)移动应用作为网络赌博信息重要传播载体之一,具有平台开放、可以不通过官方或第三方应用商店安装等特点，大量安卓平台赌博应用选择直接在官方网站提供安装包或其他信息传播渠道提供下载链接的方式进行传播；当前，赌博应用作为有害应用之一，安卓平台有害应用分析主要聚焦恶意代码及行为安全等传统网络安全领域，对于应用内容有害发现及内容安全研究较少；因此，发明出一种基于多模态融合的安卓赌博应用识别方法和***变得尤为重要；

现有的安卓应用识别方法往往关注应用中的恶意代码及行为安全等网络安全方面问题，对于应用有害内容发现判别及内容信息安全研究较少，且内容安全相关的公开训练、测试数据集较少；此外，安卓赌博应用安装包中含有文本、图片、证书等大量多模态信息，已有的多模态融合方法不具有针对性；为此，我们提出一种基于多模态融合的安卓赌博应用识别方法和***。

发明内容

本发明的目的是为了解决现有技术中存在的缺陷，而提出的一种基于多模态融合的安卓赌博应用识别方法和***。

为了实现上述目的，本发明采用了如下技术方案：

一种基于多模态融合的安卓赌博应用识别方法，该识别方法具体过程如下：

(1)批量获取网站评论和赌博网站中安卓赌博应用下载线索信息；

(2)通过在目标网站发现以APK结尾的应用下载链接，提取疑似安卓应用；

(3)提取安卓应用安装包的包名、图标、证书、IP地址、URL域名和电子邮件地址；

(4)通过多模态融合的安卓赌博应用识别模型，判定识别赌博应用包括图像模型、文本模型和Multihead Attention融合模型；

(5)存储发现的安卓应用基本信息及应用安装包；

(6)前端展示安卓赌博已发现情况及安卓赌博应用新发现情况。

优选的，所述图像模型判定过程具体如下：

S1：使用VGGNet把图标图片映射为特征f_I，其公式如下：

f_I＝CNN_vgg(I) (1)

S2：把图标图片缩放为448*448像素，然后获取最后一层池化层的特征f_I，其输出的维度为512*14*14，其中14*14是图片分割区域的数量，512是每个区域特征向量的维度；

S3：使用一个单层感知机把每个特征向量转换为一个与文本向量维度相同的新向量，其公式如下：

v_I＝tanh(W_If_I+b_I) (2)

式中：v_I是一个矩阵，它的第i列是图片特征向量的区域i；

S4：使用18层或34层残差神经网络解决梯度消失问题。

优选的，所述残差神经网络由两个堆叠层building block组成，其结构如下：

H(x)＝F(x,{W_i})+x (3)

式中：x与H(x)是building block的输入输出向量；F(x,{W_i})表示学习的残差映射；

其中：

F(x)＝W₂δ(W₁x) (4)

式中：δ表示激活函数，W₁表示第一个连接权值，W₂表示第二个连接权值；

若维度x与F不匹配，可以使用线性映射W_s来进行维度匹配：

H(x)＝F(x，{W_i})+W_δx (5)

通过具有快捷连接的前向神经网络来实现公式F(x)+x，快捷连接的由一个恒等映射来实现，输出将会被添加到堆叠层的最终输出中。

优选的，所述文本模型具体为LSTM，LSTM的基本结构是一个保留序列状态的记忆单元，在每一步中，LSTM单元获取一个输入词向量x_t,更新记忆单元c_t,然后输出一个隐藏状态h_t；更新过程中使用了门机制；一个遗忘门f_t控制从上一个状态的c_t-1中保留多少信息；一个输入门i_t控制当前输入x_t更新多少信息到记忆单元；输出门控制多少信息进入输出即隐藏状态，详细的更新过程如下：

i_t＝σ(W_xix_t+W_hih_t-1+b_i) (6)

f_t＝σ(W_xfx_t+W_hfh_t-1+b_f) (7)

o_t＝σ(W_xox_t+W_hoh_t-1+b_o) (8)

c_t＝f_tc_t-1+i_ttanh(W_xcx_t+W_hch_t-1+b_c) (9)

h_t＝o_ttanh(c_t) (10)

式中：i，f，o，c分别为输入门、遗忘门、输出门、记忆单元；

所述词向量x_t作为LSTM的输入，其公式如下：

x_t＝W_eq_t,t∈{1,2，…T} (11)

h_t＝LSTM(x_t),t∈{1，2,…T} (12)

式中：q＝[q₁,…,q_T]表示文本，q_t是位置t的单词的one-hot向量表示。

优选的，所述Multihead Attention融合模型具体为基于Attention机制的多模态融合模型，其将图片模型与文本模型输出的结果由一个注意力机制进行融合，该注意力机制计算过程如下：

(1)通过相似度来计算查询和每个键的权重，相似的函数使用点积；

(2)点积操作，其中因子

起到调节作用，使点积不至于太大；

(3)通过softmax函数对得到的权重进行标准化；

(4)通过相似度与相应键的值得到它们的加权和；

基于以上步骤，得到如下公式：

式中：Q为图片的特征向量，V，K为文本模型的输出。

优选的，所述多模态融合需经过一个全局平均池化层，其公式如下：

v_gap＝Global(v₁,v₂,…,v_n) (14)

最后，把得到的v_gap向量直接输入softmax层进行分类预测，预测的结果如下所示，

引入交叉熵函数的目的是为了评价模型，反映真实的类别y与预测的类别

之间的差距：

式中：i为索引数。

一种基于多模态融合的安卓赌博应用识别***，包括网络爬虫层、提取判别层、数据存储层和成果展示层；

其中，所述网络爬虫层用于爬取网站内容及评论信息中的安卓赌博应用线索，以及抓取和发现安卓应用下载地址；

所述提取判别层用于提取安卓应用基本信息，以及进行基于多模态融合的安卓平台赌博应用识别；

所述提取判别层用于存储识别后的安卓应用安装包，以及存储安卓应用信息；

所述成果展示层用于总体展示安卓赌博应用，以及展示安卓赌博应用新发现情况。

相比于现有技术，本发明的有益效果在于：

1、该基于多模态融合的安卓赌博应用识别方法，通过数据爬虫方法提取安卓平台应用安装包中包含大量不同模态的资源文件，如包名、图标、证书和字符串(IP地址、URL域名、电子邮件地址)，然后通过图片模型和文本模型判别应用中图片和文本特征向量，有利于为后续多模态识别模型建立奠定基础；

2、该基于多模态融合的安卓赌博应用识别方法，通过将图片模型与文本模型得到的特征向量进行融合训练，形成多模态识别模型，其相较于传统单一特征的安卓赌博应用识别模型，该多模态识别模型识别范围更广，识别精度更高，从而有利于精确自动地识别出安卓平台中的赌博应用，进而有利于减少网络赌博违法犯罪活动。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。

图1为本发明提出的一种人工智能眼病筛查服务方法的整体流程图；

图2为本发明提出的一种基于多模态融合的安卓赌博应用识别***的整体结构示意图；

图3为本发明图片模型的判定过程示意图；

图4为本发明残差神经网络结构的示意图；

图5为本发明Multihead Attention融合模型的融合过程示意图；

图6为本发明注意力机制计算过程的示意图；

图7为本发明ResNet-18模型预测结果的示意图；

图8为本发明ResNet-18预训练后的模型预测结果的示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。

在本发明的描述中，需要理解的是，术语“上”、“下”、“前”、“后”、“左”、“右”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

参照图1-8，收集赌博类应用495个，其中训练集395个，验证集50个，测试集50个，从应用市场中爬取到446个非赌博正常应用，其中训练集346个，验证集50个，测试集50个，如下表所示：

	训练集	验证集	测试集	总数
					赌博类	395	50	50	495
非赌博类	346	50	50	446

通过提取应用中的文本信息可以获得的文本信息，如下表所示：

序号	域名
		1	www.qhc25.com
2	agmbet.com
		3	api.383game7a1.com
4	api.yjgame1.com
		5	api.kgky8372.com
序号	部分应用内文本示例
		1	盈盛国际、红包捕鱼、AG视讯…
2	四季彩、龙虎大战、神龙宝藏、炸金花…
		3	乐博现金网、彩25、五万…
4	威尼斯人娱乐、百家乐…
		5	永利国际娱乐城…

同时使用了收集到的10994条短文本作为文本模型的预训练数据，其中赌博文本为3425条，非赌博正常文本为7569条，如下表所示：

在训练时，首先需要对图片进行预处理，通过缩放、裁剪，再把像素从0到255变换到-1到1之间进行正则化；

本实施例提供一种基于多模态融合的安卓赌博应用识别方法，该识别方法具体过程如下：

(1)批量获取网站评论和赌博网站中安卓赌博应用下载线索信息；

(2)通过在目标网站发现以APK结尾的应用下载链接，提取疑似安卓应用；

(3)提取安卓应用安装包的包名、图标、证书、字符串(IP地址、URL域名、电子邮件地址)等信息，部分安卓应用信息提取示例如下：

(4)通过多模态融合的安卓赌博应用识别模型，判定识别赌博应用包括图像模型、文本模型和Multihead Attention融合模型；

(5)存储发现的安卓应用基本信息及应用安装包；

(6)前端展示安卓赌博已发现情况及安卓赌博应用新发现情况。

图像模型判定过程具体如下：

S1：使用VGGNet把图标图片映射为特征f_I，其公式如下：

f_I＝CNN_vgg(I) (1)

S2：把图标图片缩放为448*448像素，然后获取最后一层池化层的特征f_I，其输出的维度为512*14*14，其中14*14是图片分割区域的数量，512是每个区域特征向量的维度；

S3：使用一个单层感知机把每个特征向量转换为一个与文本向量维度相同的新向量，其公式如下：

v_I＝tanh(W_If_I+b_I) (2)

式中：v_I是一个矩阵，它的第i列是图片特征向量的区域i；

S4：使用18层或34层残差神经网络解决梯度消失问题。

残差神经网络由两个堆叠层building block组成，其结构如下：

H(x)＝F(x,{W_i})+x (3)

式中：x与H(x)是building block的输入输出向量；F(x,{W_i})表示学习的残差映射；

其中：

F(x)＝W₂δ(W₁x) (4)

式中：δ表示激活函数，W₁表示第一个连接权值，W₂表示第二个连接权值；

若维度x与F不匹配，可以使用线性映射W_s来进行维度匹配：

H(x)＝F(x，{W_i})+W_δx (5)

通过具有快捷连接的前向神经网络来实现公式F(x)+x，快捷连接的由一个恒等映射来实现，输出将会被添加到堆叠层的最终输出中。

需要说明的是，文本模型具体为LSTM，LSTM的基本结构是一个保留序列状态的记忆单元，在每一步中，LSTM单元获取一个输入词向量x_t,更新记忆单元c_t,然后输出一个隐藏状态h_t；更新过程中使用了门机制；一个遗忘门f_t控制从上一个状态的c_t-1中保留多少信息；一个输入门i_t控制当前输入x_t更新多少信息到记忆单元；输出门控制多少信息进入输出即隐藏状态，详细的更新过程如下：

i_t＝σ(W_xix_t+W_hih_t-1+b_i) (6)

f_t＝σ(W_xfx_t+W_hfh_t-1+b_f) (7)

o_t＝σ(W_xox_t+W_hoh_t-1+b_o) (8)

c_t＝f_tc_t-1+i_ttanh(W_xcx_t+W_hch_t-1+b_c) (9)

h_t＝o_ttanh(c_t) (10)

式中：i，f，o，c分别为输入门、遗忘门、输出门、记忆单元；

词向量x_t作为LSTM的输入，其公式如下：

x_t＝W_eq_t,t∈{1,2，…T} (11)

h_t＝LSTM(x_t),t∈{1，2,…T} (12)

式中：q＝[q₁,…,q_T]表示文本，q_t是位置t的单词的one-hot向量表示。

需要说明的是，Multihead Attention融合模型具体为基于Attention机制的多模态融合模型，其将图片模型与文本模型输出的结果由一个注意力机制进行融合，该注意力机制计算过程如下：

(1)通过相似度来计算查询和每个键的权重，相似的函数使用点积；

(2)点积操作，其中因子

起到调节作用，使点积不至于太大；

(3)通过softmax函数对得到的权重进行标准化；

(4)通过相似度与相应键的值得到它们的加权和；

基于以上步骤，得到如下公式：

式中：Q为图片的特征向量，V，K为文本模型的输出。

多模态融合需经过一个全局平均池化层，其公式如下：

v_gap＝Global(v₁,v₂,…,v_n) (14)

最后，把得到的v_gap向量直接输入softmax层进行分类预测，预测的结果如下所示，

引入交叉熵函数的目的是为了评价模型，反映真实的类别y与预测的类别

之间的差距：

式中：i为索引数。

本实施例提供一种基于多模态融合的安卓赌博应用识别***，包括网络爬虫层、提取判别层、数据存储层和成果展示层；

其中，网络爬虫层用于爬取网站内容及评论信息中的安卓赌博应用线索，以及抓取和发现安卓应用下载地址；

提取判别层用于提取安卓应用基本信息，以及进行基于多模态融合的安卓平台赌博应用识别；

提取判别层用于存储识别后的安卓应用安装包，以及存储安卓应用信息；

成果展示层用于总体展示安卓赌博应用，以及展示安卓赌博应用新发现情况。

图片模型在测试集上的结果，如下表所示：

Model	Precision	Recall	F1
				CNN	0.61	0.86	0.71
ResNet-18	0.82	0.79	0.80
				ResNet-34	0.78	0.77	0.77
CNN(Pre-training)	0.69	0.78	0.73
				ResNet-18(Pre-training)	0.84	0.80	0.82
ResNet-34(Pre-training)	0.82	0.78	0.80

具体的，从图标识别结果来看ResNet网络要明显优于基本的CNN网络，即使经过预训练，基本CNN网络的识别效果提升也不大；值得注意的是，ResNet-34的模型效果反而要比ResNet-18的效果要差，但使用了预训练的模型后，模型效果有了很大提升，但仍要差于ResNet-18；

结合图7和图8所示，从对图片的预测结果来看，基本CNN模型虽然也能预测对大部分结果，但预测的概率只从训练前的百分之五十左右上升了百分之几，而ResNet模型的预测概率却能到百分之九十多。

文本模型在测试集上的结果，如下表所示：

具体的，可以看到LSTM对于基本RNN模型的效果有着明显的提升，经过其它赌博类短文本的预训练，基本RNN模型也有着很大提升，但效果仍要差于LSTM模型，所以在最终的模型中选用了进行预训练的LSTM文本模型，但文本模型的总体效果明显劣于图片模型。

融合模型在测试集上的结果，如下表所示：

Model	Precision	Recall	F1
				ResNet	0.84	0.80	0.82
LSTM	0.80	0.81	0.80
				LSTM-ResNet-Concat	0.88	0.92	0.90
LSTM-ResNet-MHAT	0.90	0.93	0.91

在最终的多模态特征融合模型中，我们也对图片特征向量与文本特征向量进行进行连接操作再经过一个全连接层、全局平均池化层与softmax层进行分类预测，作为实验的基线模型进行对比；实验结果表明，在使用单一模态的特征时，模型可以学习出赌博有害应用与正常应用的不同，进行有效识别，使用多种模态的特征时，对模型的效果有着明显的提升，而Multihead Attention机制可以通过关注到图片中的部分区域，而不是全局图片引入的干扰，可以获得更优的结果，多于有害赌博应用的识别有极大的意义。

本发明的工作原理及使用流程：该基于多模态融合的安卓赌博应用识别***，在使用时，首先批量获取网站评论和赌博网站中安卓赌博应用下载线索信息；然后通过在目标网站发现以APK结尾的应用下载链接，提取疑似安卓应用；之后提取安卓应用安装包的包名、图标、证书、IP地址、URL域名和电子邮件地址；接着通过多模态融合的安卓赌博应用识别模型，判定识别赌博应用包括图像模型、文本模型和Multihead Attention融合模型；然后存储发现的安卓应用基本信息及应用安装包；最后前端展示安卓赌博已发现情况及安卓赌博应用新发现情况；本发明通过爬虫技术提取应用中的静态资源，如包名、图标、证书、字符串(IP地址、URL域名、电子邮件地址)，之后运用Multihead Attention的多模态融合技术，把文字、图片等不同模态的特征相结合，构建多模态融合的安卓赌博应用识别模型，从而有利于精确自动地识别出安卓平台中的赌博应用。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。

Claims (7)

1.一种基于多模态融合的安卓赌博应用识别方法，其特征在于，该识别方法具体过程如下：

(1)批量获取网站评论和赌博网站中安卓赌博应用下载线索信息；

(2)通过在目标网站发现以APK结尾的应用下载链接，提取疑似安卓应用；

(3)提取安卓应用安装包的包名、图标、证书、IP地址、URL域名和电子邮件地址；

(4)通过多模态融合的安卓赌博应用识别模型，判定识别赌博应用包括图像模型、文本模型和Multihead Attention融合模型；

(5)存储发现的安卓应用基本信息及应用安装包；

(6)前端展示安卓赌博已发现情况及安卓赌博应用新发现情况。

2.根据权利要求1所述的一种基于多模态融合的安卓赌博应用识别方法，其特征在于，所述图像模型判定过程具体如下：

S1：使用VGGNet把图标图片映射为特征f_I，其公式如下：

f_I＝CNN_vgg(I) (1)

S2：把图标图片缩放为448*448像素，然后获取最后一层池化层的特征f_I，其输出的维度为512*14*14，其中14*14是图片分割区域的数量，512是每个区域特征向量的维度；

S3：使用一个单层感知机把每个特征向量转换为一个与文本向量维度相同的新向量，其公式如下：

v_I＝tanh(W_If_I+b_I) (2)

式中：v_I是一个矩阵，它的第i列是图片特征向量的区域i；

S4：使用18层或34层残差神经网络解决梯度消失问题。

3.根据权利要求2所述的一种基于多模态融合的安卓赌博应用识别方法，其特征在于，所述残差神经网络由两个堆叠层building block组成，其结构如下：

H(x)＝F(x，{W_i})+x (3)

式中：x与H(x)是building block的输入输出向量；F(x，{W_i})表示学习的残差映射；

其中：

F(x)＝W₂δ(W₁x) (4)

式中：δ表示激活函数，W₁表示第一个连接权值，W₂表示第二个连接权值；

若维度x与F不匹配，可以使用线性映射W_s来进行维度匹配：

H(x)＝F(x，{W_i})+W_δx (5)

通过具有快捷连接的前向神经网络来实现公式F(x)+x，快捷连接的由一个恒等映射来实现，输出将会被添加到堆叠层的最终输出中。

4.根据权利要求1所述的一种基于多模态融合的安卓赌博应用识别方法，其特征在于，所述文本模型具体为LSTM，LSTM的基本结构是一个保留序列状态的记忆单元，在每一步中，LSTM单元获取一个输入词向量x_t，更新记忆单元c_t，然后输出一个隐藏状态h_t；更新过程中使用了门机制；一个遗忘门f_t控制从上一个状态的c_t-1中保留多少信息；一个输入门i_t控制当前输入x_t更新多少信息到记忆单元；输出门控制多少信息进入输出即隐藏状态，详细的更新过程如下：

i_t＝σ(W_xix_t+W_hih_t-1+b_i) (6)

f_t＝σ(W_xfx_t+W_hfh_t-1+b_f) (7)

o_t＝σ(W_xox_t+W_hoh_t-1+b_o) (8)

c_t＝f_tc_t-1+i_ttanh(W_xcx_t+W_hch_t-1+b_c) (9)

h_t＝o_ttanh(c_t) (10)

式中：i，f，o，c分别为输入门、遗忘门、输出门、记忆单元；

所述词向量x_t作为LSTM的输入，其公式如下：

x_t＝W_eq_t，t∈{1，2，...T} (11)

h_t＝LSTM(x_t)，t∈{1，2，...T} (12)

式中：q＝[q₁，...，q_T]表示文本，q_t是位置t的单词的one-hot向量表示。

5.根据权利要求1所述的一种基于多模态融合的安卓赌博应用识别方法，其特征在于，所述Multihead Attention融合模型具体为基于Attention机制的多模态融合模型，其将图片模型与文本模型输出的结果由一个注意力机制进行融合，该注意力机制计算过程如下：

(1)通过相似度来计算查询和每个键的权重，相似的函数使用点积；

(2)点积操作，其中因了

起到调节作用，使点积不至于太大；

(3)通过softmax函数对得到的权重进行标准化；

(4)通过相似度与相应键的值得到它们的加权和；

基于以上步骤，得到如下公式：

式中：Q为图片的特征向量，V，K为文本模型的输出。

6.根据权利要求5所述的一种基于多模态融合的安卓赌博应用识别方法，其特征在于，所述多模态融合需经过一个全局平均池化层，其公式如下：

v_gap＝Global(v₁，v₂，...，v_n) (14)

把得到的v_gap向量直接输入softmax层进行分类预测，预测的结果如下所示，

引入交叉熵函数的目的是为了评价模型，反映真实的类别y与预测的类别

之间的差距：

式中：i为索引数。

7.一种基于多模态融合的安卓赌博应用识别***，其特征在于，包括网络爬虫层、提取判别层、数据存储层和成果展示层；

其中，所述网络爬虫层用于爬取网站内容及评论信息中的安卓赌博应用线索，以及抓取和发现安卓应用下载地址；

所述提取判别层用于提取安卓应用基本信息，以及进行基于多模态融合的安卓平台赌博应用识别；

所述提取判别层用于存储识别后的安卓应用安装包，以及存储安卓应用信息；

所述成果展示层用于总体展示安卓赌博应用，以及展示安卓赌博应用新发现情况。

Images