技術領域

本發明涉及Android平臺上惡意代碼檢測研究領域，為了能夠更好地保護Android平臺用戶信息的安全性，提出一種基于卷積神經網絡的Android惡意代碼樣本分類檢測方法，該方法能夠準確識別惡意軟件所屬類別，從而有效地實現對惡意軟件的檢測。

背景技術

近幾年，惡意軟件已經成為威脅網絡和信息安全的關鍵因素之一。據Symantec的2016年度互聯網安全威脅報告透露，2015年新增惡意軟件數量達4.3億個，其中涉及隱私竊取或者泄漏的個人信息超過5億條。由于惡意代碼檢測技術的局限性，有大量惡意代碼無法有效查殺。特別是進行代碼混淆的惡意代碼及其變種的不斷出現，是惡意代碼檢測形勢日益嚴峻的根本原因。Android平臺是當前主流的兩大移動終端平臺之一，Android移動終端惡意代碼家族逐年不斷增長，同時，惡意代碼的變種數目也急劇增長，這表明惡意代碼開發人員更多的是對原型惡意代碼做稍微修改或重新打包進而衍生出新的變種進行傳播。因此需要能快速有效地檢測出變種病毒的檢測方法。

惡意代碼檢測技術可以分為兩類，分別為靜態惡意代碼檢測和動態惡意代碼檢測。靜態惡意代碼檢測是在不運行代碼的情況下，利用反編譯技術，采用控制流分析、數據流分析和語義分析等方法來識別應用程序的行為特征。這種方法具有快速、高效等優點，但是難以對抗代碼混淆等保護技術。動態惡意代碼檢測則是關注于應用程序實際運行的行為，通過在一個可執行的環境中運行待檢測應用程序并實時監控其系統調用、網絡訪問、文件操作和內存修改等行為，來判斷該應用程序是否具有惡意行為。與靜態惡意代碼檢測方法相比，動態惡意代碼檢測方法無法有效地對所有代碼進行審計，因為有些代碼需要在特殊條件下才會被觸發。在惡意代碼檢測領域中，國內外許多學者已經進行了大量的研究工作。王蕊和馮登國(Wang Rui,Feng Deng-guo,Yang Yi,Su Pu-rui.An Malware detection method based on the semantic of feature extraction[J].Journal of Software,2012,2:378-393)提出一種基于語義分析的靜態惡意代碼行為特征提取的檢測方法。孔德光和譚小彬等(Kong De-guang,Tan Xiao-bin,Xi Hong-sheng,Gong Tao,Shuai Jian-mei.Lifting multidimensional characteristics testing confuse malicious code[J].Journal of Software,2011,3:522-533)提出從統計特性出發并結合代碼中函數調用以及系統調用流程圖，對家族惡意代碼進行檢測，這些靜態檢測方法有較高的檢測效率，但是對使用代碼混淆技術的惡意代碼抵抗力不強。美國佐治亞理工學院的Dinaburg提出(Dinaburg A,Royal P,Sharif M,et al.Ether:malware analysis via hardware virtualization extensions[C]，Proceedings of the 15th ACM conference on Computer and communications security.ACM,2008:51-62)通過建立一個虛擬的應用程序執行環境來監聽待檢測應用程序運行時的內存操作、涉及的特權層級、系統調用等事件，針對這些事件來識別應用程序的惡意行為。西班牙德烏斯托大學的Santos提出(Santos I,Brezo F,Nieves J,et al.Idea:Opcode-sequence-based malware detection[C]，International Symposium on Engineering Secure Software and Systems.Springer Berlin Heidelberg,2010:35-43)利用信息論中方法來計算應用程序中各類特征間的關聯程度，通過計算待檢測應用程序與已知的惡意軟件之間的聯系來確定其是否具有惡意行為。西班牙蒙特拉貢大學的Burguera(Burguera I,Zurutuza U,Nadjm-Tehrani S.Crowdroid:behavior-based malware detection system for android[C]//Proceedings of the 1st ACM workshop on Security and privacy in smartphones and mobile devices.ACM,2011:15-26)提出一種直接將收集器和檢測器嵌入到Android操作系統的方法來收集廣大用戶手機中應用程序的行為信息，在云端進行檢測并將檢測的結果及時通知用戶。盧森堡大學的Kevin(Allix K,BissyandéT F,Jérome Q,et al.Empirical assessment of machine learning-based malware detectors for Android[J].Empirical Software Engineering,2016,21(1):183-211)利用機器學習的方法來提取Android應用程序中所使用權限的特征，并用于惡意代碼檢測。臺灣科技大學的Dong-Jie Wu學者(Wu D J,Mao C H,Wei T E,et al.Droidmat:Android malware detection through manifest and api calls tracing[C]，Information Security(Asia JCIS),2012 Seventh Asia Joint Conference on.IEEE,2012:62-69)則以大量的樣本數據為基礎，從中提取與已知惡意軟件的特征，并利用這些特征來用于對新樣本的檢測。這些方法都是通過提取惡意軟件的特征來對未知軟件進行識別，由于實際應用中軟件的多樣性，容易出現誤檢的情況。本發明提出通過從惡意軟件的變種出發，利用深度學習的思想來檢測出同種類的惡意軟件。