2024年5月7日发(作者:厚诗筠)
(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(21)申请号 CN2.0
(22)申请日 2014.07.22
(71)申请人 卢永强;袁振龙
地址 610065 四川省成都市四川大学望江校区电子信息学院
(72)发明人 卢永强 袁振龙
(74)专利代理机构
代理人
(51)
G06F21/56
权利要求说明书 说明书 幅图
(10)申请公布号 CN 104123500 A
(43)申请公布日 2014.10.29
(54)发明名称
一种基于深度学习的Android平台
恶意应用检测方法及装置
(57)摘要
本发明公开了基于深度学习的
Android恶意应用检测方法及装置。该方法
包括:步骤1,Android应用原始安装文件
特征提取;步骤2,Android应用安装运行
特征提取;步骤3,Android应用深度学习
模型建立;步骤4,Android的正常应用与
恶意应用识别。
法律状态
法律状态公告日
法律状态信息
法律状态
权 利 要 求 说 明 书
1.一种基于深度学习的Android平台恶意应用检测方法及装置,其特征
步骤1,Android应用原始安装文件特征提取;
步骤2,Android应用安装运行特征提取;
步骤3,Android应用深度学习模型建立;
步骤4,Android的正常应用与恶意应用识别。
2.如权利要求1所述的方法,其特征在于,所述步骤1具体包括如下处
步骤11,解压缩Android应用的原始安装文件,获取应用安装文件包含的
步骤12,解析上述步骤获取的代码文件,获取Android应用的权限使用和
步骤13,搜索上述清单中的敏感权限使用和敏感API接口函数,提取多
3.如权利要求1所述的方法,其特征在于,所述步骤2具体包括如下处
维特征组合。
API接口函数清单;
若干代码文件;
理:
在于,包括:
理:
步骤21,在沙盒中安装执行Android应用,并持续运行一段时间;
步骤22,扫描沙盒运行过程中生成的系统日志,获取Android应用运行中
步骤23;搜索上述获取的行为信息中的敏感行为,提取多维特征组合。
4.如权利要求1所述的方法,其特征在于,所述步骤3具体包括如下处
步骤31,通过获取的特征,生成Android应用的特征样本集合;
步骤32,通过上述获取的特征样本集合,训练Android应用分类的深度学
5.如权利要求4所述的方法,其特征在于,步骤32具体包括如下处理:
步骤321,无监督的Android应用深度学习模型的预训练过程;
步骤322,有监督的Android应用深度学习模型的微调过程。
习模型并保存。
理:
的行为信息;
6.如权利要求5所述的方法,其特征在于,所述步骤321具体包括如下
步骤3211,Android应用深度学习模型的深度置信网络(DBN)参数初始
步骤3212,将Android应用深度学习模型的受限玻尔兹曼机(RBM)参数
步骤3213,训练Android应用深度学习模型的RBM;
步骤3214,评估Android应用深度学习模型的RBM;
步骤3215,通过上述训练后的结果,重新更新Android应用深度学习模型
步骤3216,循环执行步骤3212至3215,直至Android应用深度学习模型
步骤3217,循环执行步骤3212至3216,直至完成包含多层RBM的Android
7.如权利要求5所述的方法,其特征在于,所述步骤322进一步包括:
应用深度学习模型的DBN训练。
的RBM满足条件或训练周期结束;
中RBM的配置参数;
初始化;
化;
处理:
通过已采集的标记好正常应用和恶意应用的Android应用特征集合,采用
反向传播算法微调步骤321训练完成的Android应用深度学习模型,直到满
件或达到微调周期。 足条
8.如权利要求1所述的方法,其特征在于,所述步骤4进一步包括:
对待检测的Android应用执行步骤1和步骤2,提取特征后导入步骤3已训练
的Android应用深度学习模型,输出分类结果,标明是否属于
Android恶意应用。
9.一种在线的自动化Android恶意应用检测装置,其特征在于,包括:
网站提交模块,提供用户上传待检测的Android应用的程序安装文件,并
检测模块,通过已训练的Android应用深度学习模型判断用户提交的
网站反馈模块,反馈用户Android应用安全检测结果,并报告详细的
日志模块,记录用户的Android应用提交信息和相关数据结果,存储于数
据库。
Android应用行为信息;
Android应用是否为恶意应用,并返回结果;
转存至后台Android应用深度学习模型检测;
10.如权利要求9所述的装置,其特征在于,所述检测模块进一步用于:
通过后台Android应用深度学习模型自动化分析和处理用户提交的
Android应用,并将结果返回至前端界面。
说 明 书
技术领域
本发明涉及特征提取和深度学习技术,特别涉及一种将深度学习应用于
背景技术
随着智能手机和移动设备的快速发展,Android平台服务已经成为大部分
络
网络用户不可或缺的要素。与此同时,移动恶意软件也快速增长成为威胁网
安全和隐私的重要源头。最近来自Gartner的研究报告指出,Android
在2013年增长幅度达到127%,在整体移动平板市场份额中
因此,Android下的恶意应用检测已经成为了现今移动
保障,研究和实现高精准的Android恶意应用检
价值,被相关的学术界和业界所关注。
Android恶意应用检测的方法。
平板销售
已占据了第一位。
互联网发展的重要技术
测具有很强的现实意义和实用
Android市场(例如Google Play商店)的平台开放性,导致其成为了恶意
恶
应用攻击的重点,对移动互联网用户的安全和隐私构成了极大威胁。许多的
意应用软件混杂在Android市场大量正常应用里面,使得Android恶
检测成为了极具挑战性的工作。因此,高精准的Android恶意
一项迫切的需求。
意应用的
应用检测成为了
当前,Android恶意应用检测的技术手段主要依赖于一种风险评估机制,
这种评估机制可以在恶意应用软件安装前提示并警告用户正在安装的应用所
需求的系统权限信息。实际上,由于这种技术提示的“应用所需权限”
一和片面,很难使得普通用户仅根据此项信息能够快速地分辨
应用。实践表明,许多的恶意应用与正常应用很可能所
过于单
出是否属于恶意
需求的权限是一致的, 这使得用户更加难以分辨恶意应用和正常应用。
制,实际上用
心应用
相对于这种传统的风险评估机
户更倾向于能够直接知晓此应用是否为恶意应用,而并不普遍关
的风险评估信息。
深度学习,是近年来兴起的一种新的机器学习领域,在人工智能和自然语
传
言处理领域引发了广泛关注,在语音和图像识别方面取得了许多成功案例。
统的机器学习模型,像支持向量机、逻辑回归、决策树、贝叶斯以及
网络模型,均被认为含有少于三层的计算单元和浅层的学习架
深度学习拥有较深层次的学习架构,能够更好地模仿人
知。实际应用中,深度学习更多的是一种架构设
方式,利用多种不同的算法和方法共同实
传统神经
构。不同于它们,
脑更聪明的学习和认
计思想,可以采用不同的思路
现。
发明内容
本发明提供了一种Android恶意应用检测方法及装置,实现对Android平
为实现上述目的,本发明提供了基于深度学习的Android恶意应用识别方
步骤1,Android应用原始安装文件特征提取;
步骤2,Android应用安装运行特征提取;
步骤3,Android应用深度学习模型建立;
法,包括:
台下的正常应用和恶意应用的识别区分,提高Android平台应用的安全性。
步骤4,Android的正常应用与恶意应用识别。
优选地,步骤1具体包括如下处理:
步骤11,解压缩Android应用的原始安装文件,获取应用安装文件包含的
步骤12,解析上述步骤获取的代码文件,获取Android应用的权限使用和
步骤13,搜索上述清单中的敏感权限使用和敏感API接口函数,提取多
优选地,步骤2具体包括如下处理:
步骤21,在沙盒中安装执行Android应用,并持续运行一段时间;
步骤22,扫描沙盒运行过程中生成的系统日志,获取Android应用运行中
步骤23,搜索上述获取的行为信息中的敏感行为,提取多维特征组合。
优选地,步骤3具体包括如下处理:
步骤31,将上述步骤1和步骤2中获取的特征合并,生成Android应用的
步骤32,通过上述获取的特征样本集合,训练Android应用分类的深度学
习模型并保存。
特征样本集合;
的行为信息;
维特征组合。
API接口函数清单;
若干代码文件;
优选地,步骤32具体包含如下处理:
步骤321,无监督的Android应用深度学习模型的预训练过程;
步骤322,有监督的Android应用深度学习模型的微调过程。
优选地,步骤321具体包含如下处理:
步骤3211,Android应用深度学习模型的深度置信网络(DBN)参数初始
步骤3212,Android应用深度学习模型的受限玻尔兹曼机(RBM)参数初
步骤3213,训练Android应用深度学习模型的RBM;
步骤3214,评估Android应用深度学习模型的RBM;
步骤3215,通过上述训练后的结果,重新更新Android应用深度学习模型
步骤3216,循环执行步骤3212至3215,直至Android应用深度学习模型
步骤3217,循环执行步骤3212至3216,直至完成包含多层RBM的Android
优选地,步骤322进一步包括:
应用深度学习模型的DBN训练。
的RBM满足条件或训练周期结束;
中RBM的配置参数;
始化;
化;
通过已采集的标记好正常应用和恶意应用的Android应用特征集合,采用
足
优选地,步骤4进一步包括:
对待检测的Android应用执行步骤1和步骤2,提取特征后导入步骤3已
恶
本发明还提供了一种在线的自动化Android恶意应用检测装置,包括:
网站提交模块,提供用户上传待检测的Android应用的程序安装文件,并
检测模块,通过已训练的Android应用深度学习模型判断用户提交的
网站反馈模块,反馈用户Android应用安全检测结果,并报告详细的
日志模块,记录用户的Android应用提交信息和相关数据结果,存储于数
优选地,检测模块具体用于:
通过后台Android应用深度学习模型自动化分析和处理用户提交的
Android应用,并将结果返回至前端界面。
据库。
Android应用行为信息;
Android应用是否为恶意应用,并返回结果;
转存至后台Android应用深度学习模型检测;
训练的Android应用深度学习模型,输出分类结果,标明是否属于Android
意应用。
反向传播算法微调步骤321训练完成的Android应用深度学习模型,直到满
条件或达到微调周期。
本发明有益效果如下:
借助于本发明实施例的技术方案,可以自动化解决Android恶意应用的检
和
附图说明
图1是本发明实施例的Android应用深度学习检测示意流程图;
图2是本发明实施例的Android应用提取特征示意图;
图3是本发明实施例的Android应用深度学习模型建立示意流程图;
图4是本发明实施例的Android应用自动化在线检测装置示意流程图;
图5是本发明实施例的Android应用检测识别准确率对比效果图。
具体实施方式
为了解决Android平台恶意应用的检测难题,本发明提供了一种基于深度
S3.
学习模型的Android应用检测方法及装置,主要包括以下四个步骤:S1.
Android应用原始安装文件特征提取;d应用安装运行特征提取;
Android应用深度学习模型建立;d的正常应用与恶意应用
下结合附图以及实施例,对本发明进行进一步详细说明。应当
述的具体实施例仅仅用以解释本发明,并不限定本发明。
测难题,且设计实现的Android应用深度学习模型能够高精准的对正常应用
恶意应用作出区分,提高Android平台的安全性。
识别。以
理解,此处所描
方法实施例
根据本发明的实施例,提供了一种基于深度学习模型的Android恶意应用
检测方法,图1是本发明实施例的Android应用深度学习检测的示意流程图,
如图1所示,根据本发明实施例的Android恶意应用检测方法包括如
下处理:
步骤101,Android应用程序原始安装APK文件特征提取;
步骤101具体包括如下处理:
步骤1011,采用“7-Zip”工具解压缩Android应用的APK安装文件,获
步骤1012,采用“AXMLPrinter2”工具和“TinyXml”解析器解析
步骤1013,采用“baksmali”反汇编程序处理“”文件,获取
步骤1014,提取步骤1012和步骤1013中的敏感权限和敏感API函数,
步骤102,Android应用在沙盒环境下的安装运行特征提取;
步骤102具体包括如下处理:
步骤1021,在DroidBox沙盒环境中安装执行Android应用,并持续运行
组成Android应用的多维特征。
Android应用的API接口函数清单;
“”文件,获取Android应用的权限使用列表;
取应用安装文件包含的“”文件和“”文件;
一定时间;
步骤1022,扫描DroidBox沙盒运行过程中生成的系统日志,获取Android
步骤1023;搜索匹配步骤1022获取的行为信息中的敏感动作行为,提取
步骤103,Android应用深度学习模型建立;
步骤103具体包括如下处理:
步骤1031,将步骤101和步骤102中获取的特征合并,生成Android应用
步骤1032,通过获取的特征样本集合,训练Android应用分类的深度学习
步骤1032具体包括如下处理:
步骤10321,无监督条件下基于DBN深度置信网络的Android应用深度学
步骤10322,有监督条件下基于Back Propagation(BP)反向传播算法的
步骤104,基于深度学习的Android的正常应用与恶意应用识别。
步骤104具体包括如下处理:
Android应用深度学习模型的微调过程。
习模型的预训练过程;
模型并保存。
的特征样本集合,如图2所示;
多维特征组合。
应用运行中的行为数据;
对待检测的Android未知应用执行步骤101和步骤102,提取多维特征后
是
以下结合附图,对本发明实施例中的Android应用深度学习模型建立的技
图3是本发明实施例的深度学习模型建立的示意流程图,如图3所示,具
S1、无监督的Android应用深度学习模型的预训练过程;
S2、有监督的Android应用深度学习模型的微调过程。
其中,步骤S1进一步包括:
S1.1、Android应用深度学习模型的深度置信网络(DBN)参数初始化;
S1.2、Android应用深度学习模型的受限玻尔兹曼机(RBM)参数初始化;
S1.3、采用CD-k算法训练Android应用深度学习模型的RBM;
S1.4、采用RBM重构误差评估Android应用深度学习模型的RBM;
S1.5、重新更新Android应用深度学习模型中RBM的配置参数,包括权
S1.6、循环执行S1.3至S1.5,直至Android应用深度学习模型的RBM满
值矩阵和初始化偏置向量;
体包括如下处理:
术方案进行详细说明。
导入步骤1033已训练的Android应用深度学习模型,输出分类结果,标明
否属于Android恶意应用。
足条件或训练周期结束;
S1.7、循环执行步骤S1.3至S1.6,直至完成包含多层RBM的Android应
其中,步骤S2进一步包括:
通过已采集的标记好正常应用和恶意应用的Android应用特征集合,采用
满
综上所述,借助于本发明实施例的技术方案,可以解决Android恶意应用
装置实施例
根据本发明的实施例,提供了一种基于Android应用深度学习模型的自动
用
化Android恶意应用检测装置,图4是本发明实施例的在线Android恶意应
检测的结构示意图,如图4所示,根据本
意应用检测装置包括:网站在线提
块43和日志记录模块44,
的检测难题,实现基于Android应用深度学习模型的Android恶意应用检测,
提高Android平台的安全性。
BP反向传播算法微调步骤S1训练完成的Android应用深度学习模型,直到
足条件或达到微调周期。
用深度学习模型的DBN深度置信网络训练。
发明实施例的在线自动化Android恶
交模块41、后台检测模块42、网站反馈模
以下对本发明实施例的各个模块进行详细的说明。
网站在线提交模块41,提供用户上传待检测的Android应用的程序APK
后台检测模块42,通过已训练的Android应用深度学习模型判断用户提交
安装文件,并转存至后台Android应用深度学习模型检测;
的Android应用是否为恶意应用,并返回结果;
网站反馈模块43,反馈用户Android应用安全检测结果,并报告详细的
日志记录模块44,记录用户的Android应用提交信息和相关数据结果,存
综上所述,借助于本发明实施例的技术方案,基于深度学习模型的Android
尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将
上
意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于
述实施例。
应用检测方法及装置可以在线自动化解决Android平台下的恶意应用检测难
题,且与传统的模型相比较,能达到更加优良的识别效果,如图5所示。
储于网站数据库。
Android应用行为信息;
2024年5月7日发(作者:厚诗筠)
(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(21)申请号 CN2.0
(22)申请日 2014.07.22
(71)申请人 卢永强;袁振龙
地址 610065 四川省成都市四川大学望江校区电子信息学院
(72)发明人 卢永强 袁振龙
(74)专利代理机构
代理人
(51)
G06F21/56
权利要求说明书 说明书 幅图
(10)申请公布号 CN 104123500 A
(43)申请公布日 2014.10.29
(54)发明名称
一种基于深度学习的Android平台
恶意应用检测方法及装置
(57)摘要
本发明公开了基于深度学习的
Android恶意应用检测方法及装置。该方法
包括:步骤1,Android应用原始安装文件
特征提取;步骤2,Android应用安装运行
特征提取;步骤3,Android应用深度学习
模型建立;步骤4,Android的正常应用与
恶意应用识别。
法律状态
法律状态公告日
法律状态信息
法律状态
权 利 要 求 说 明 书
1.一种基于深度学习的Android平台恶意应用检测方法及装置,其特征
步骤1,Android应用原始安装文件特征提取;
步骤2,Android应用安装运行特征提取;
步骤3,Android应用深度学习模型建立;
步骤4,Android的正常应用与恶意应用识别。
2.如权利要求1所述的方法,其特征在于,所述步骤1具体包括如下处
步骤11,解压缩Android应用的原始安装文件,获取应用安装文件包含的
步骤12,解析上述步骤获取的代码文件,获取Android应用的权限使用和
步骤13,搜索上述清单中的敏感权限使用和敏感API接口函数,提取多
3.如权利要求1所述的方法,其特征在于,所述步骤2具体包括如下处
维特征组合。
API接口函数清单;
若干代码文件;
理:
在于,包括:
理:
步骤21,在沙盒中安装执行Android应用,并持续运行一段时间;
步骤22,扫描沙盒运行过程中生成的系统日志,获取Android应用运行中
步骤23;搜索上述获取的行为信息中的敏感行为,提取多维特征组合。
4.如权利要求1所述的方法,其特征在于,所述步骤3具体包括如下处
步骤31,通过获取的特征,生成Android应用的特征样本集合;
步骤32,通过上述获取的特征样本集合,训练Android应用分类的深度学
5.如权利要求4所述的方法,其特征在于,步骤32具体包括如下处理:
步骤321,无监督的Android应用深度学习模型的预训练过程;
步骤322,有监督的Android应用深度学习模型的微调过程。
习模型并保存。
理:
的行为信息;
6.如权利要求5所述的方法,其特征在于,所述步骤321具体包括如下
步骤3211,Android应用深度学习模型的深度置信网络(DBN)参数初始
步骤3212,将Android应用深度学习模型的受限玻尔兹曼机(RBM)参数
步骤3213,训练Android应用深度学习模型的RBM;
步骤3214,评估Android应用深度学习模型的RBM;
步骤3215,通过上述训练后的结果,重新更新Android应用深度学习模型
步骤3216,循环执行步骤3212至3215,直至Android应用深度学习模型
步骤3217,循环执行步骤3212至3216,直至完成包含多层RBM的Android
7.如权利要求5所述的方法,其特征在于,所述步骤322进一步包括:
应用深度学习模型的DBN训练。
的RBM满足条件或训练周期结束;
中RBM的配置参数;
初始化;
化;
处理:
通过已采集的标记好正常应用和恶意应用的Android应用特征集合,采用
反向传播算法微调步骤321训练完成的Android应用深度学习模型,直到满
件或达到微调周期。 足条
8.如权利要求1所述的方法,其特征在于,所述步骤4进一步包括:
对待检测的Android应用执行步骤1和步骤2,提取特征后导入步骤3已训练
的Android应用深度学习模型,输出分类结果,标明是否属于
Android恶意应用。
9.一种在线的自动化Android恶意应用检测装置,其特征在于,包括:
网站提交模块,提供用户上传待检测的Android应用的程序安装文件,并
检测模块,通过已训练的Android应用深度学习模型判断用户提交的
网站反馈模块,反馈用户Android应用安全检测结果,并报告详细的
日志模块,记录用户的Android应用提交信息和相关数据结果,存储于数
据库。
Android应用行为信息;
Android应用是否为恶意应用,并返回结果;
转存至后台Android应用深度学习模型检测;
10.如权利要求9所述的装置,其特征在于,所述检测模块进一步用于:
通过后台Android应用深度学习模型自动化分析和处理用户提交的
Android应用,并将结果返回至前端界面。
说 明 书
技术领域
本发明涉及特征提取和深度学习技术,特别涉及一种将深度学习应用于
背景技术
随着智能手机和移动设备的快速发展,Android平台服务已经成为大部分
络
网络用户不可或缺的要素。与此同时,移动恶意软件也快速增长成为威胁网
安全和隐私的重要源头。最近来自Gartner的研究报告指出,Android
在2013年增长幅度达到127%,在整体移动平板市场份额中
因此,Android下的恶意应用检测已经成为了现今移动
保障,研究和实现高精准的Android恶意应用检
价值,被相关的学术界和业界所关注。
Android恶意应用检测的方法。
平板销售
已占据了第一位。
互联网发展的重要技术
测具有很强的现实意义和实用
Android市场(例如Google Play商店)的平台开放性,导致其成为了恶意
恶
应用攻击的重点,对移动互联网用户的安全和隐私构成了极大威胁。许多的
意应用软件混杂在Android市场大量正常应用里面,使得Android恶
检测成为了极具挑战性的工作。因此,高精准的Android恶意
一项迫切的需求。
意应用的
应用检测成为了
当前,Android恶意应用检测的技术手段主要依赖于一种风险评估机制,
这种评估机制可以在恶意应用软件安装前提示并警告用户正在安装的应用所
需求的系统权限信息。实际上,由于这种技术提示的“应用所需权限”
一和片面,很难使得普通用户仅根据此项信息能够快速地分辨
应用。实践表明,许多的恶意应用与正常应用很可能所
过于单
出是否属于恶意
需求的权限是一致的, 这使得用户更加难以分辨恶意应用和正常应用。
制,实际上用
心应用
相对于这种传统的风险评估机
户更倾向于能够直接知晓此应用是否为恶意应用,而并不普遍关
的风险评估信息。
深度学习,是近年来兴起的一种新的机器学习领域,在人工智能和自然语
传
言处理领域引发了广泛关注,在语音和图像识别方面取得了许多成功案例。
统的机器学习模型,像支持向量机、逻辑回归、决策树、贝叶斯以及
网络模型,均被认为含有少于三层的计算单元和浅层的学习架
深度学习拥有较深层次的学习架构,能够更好地模仿人
知。实际应用中,深度学习更多的是一种架构设
方式,利用多种不同的算法和方法共同实
传统神经
构。不同于它们,
脑更聪明的学习和认
计思想,可以采用不同的思路
现。
发明内容
本发明提供了一种Android恶意应用检测方法及装置,实现对Android平
为实现上述目的,本发明提供了基于深度学习的Android恶意应用识别方
步骤1,Android应用原始安装文件特征提取;
步骤2,Android应用安装运行特征提取;
步骤3,Android应用深度学习模型建立;
法,包括:
台下的正常应用和恶意应用的识别区分,提高Android平台应用的安全性。
步骤4,Android的正常应用与恶意应用识别。
优选地,步骤1具体包括如下处理:
步骤11,解压缩Android应用的原始安装文件,获取应用安装文件包含的
步骤12,解析上述步骤获取的代码文件,获取Android应用的权限使用和
步骤13,搜索上述清单中的敏感权限使用和敏感API接口函数,提取多
优选地,步骤2具体包括如下处理:
步骤21,在沙盒中安装执行Android应用,并持续运行一段时间;
步骤22,扫描沙盒运行过程中生成的系统日志,获取Android应用运行中
步骤23,搜索上述获取的行为信息中的敏感行为,提取多维特征组合。
优选地,步骤3具体包括如下处理:
步骤31,将上述步骤1和步骤2中获取的特征合并,生成Android应用的
步骤32,通过上述获取的特征样本集合,训练Android应用分类的深度学
习模型并保存。
特征样本集合;
的行为信息;
维特征组合。
API接口函数清单;
若干代码文件;
优选地,步骤32具体包含如下处理:
步骤321,无监督的Android应用深度学习模型的预训练过程;
步骤322,有监督的Android应用深度学习模型的微调过程。
优选地,步骤321具体包含如下处理:
步骤3211,Android应用深度学习模型的深度置信网络(DBN)参数初始
步骤3212,Android应用深度学习模型的受限玻尔兹曼机(RBM)参数初
步骤3213,训练Android应用深度学习模型的RBM;
步骤3214,评估Android应用深度学习模型的RBM;
步骤3215,通过上述训练后的结果,重新更新Android应用深度学习模型
步骤3216,循环执行步骤3212至3215,直至Android应用深度学习模型
步骤3217,循环执行步骤3212至3216,直至完成包含多层RBM的Android
优选地,步骤322进一步包括:
应用深度学习模型的DBN训练。
的RBM满足条件或训练周期结束;
中RBM的配置参数;
始化;
化;
通过已采集的标记好正常应用和恶意应用的Android应用特征集合,采用
足
优选地,步骤4进一步包括:
对待检测的Android应用执行步骤1和步骤2,提取特征后导入步骤3已
恶
本发明还提供了一种在线的自动化Android恶意应用检测装置,包括:
网站提交模块,提供用户上传待检测的Android应用的程序安装文件,并
检测模块,通过已训练的Android应用深度学习模型判断用户提交的
网站反馈模块,反馈用户Android应用安全检测结果,并报告详细的
日志模块,记录用户的Android应用提交信息和相关数据结果,存储于数
优选地,检测模块具体用于:
通过后台Android应用深度学习模型自动化分析和处理用户提交的
Android应用,并将结果返回至前端界面。
据库。
Android应用行为信息;
Android应用是否为恶意应用,并返回结果;
转存至后台Android应用深度学习模型检测;
训练的Android应用深度学习模型,输出分类结果,标明是否属于Android
意应用。
反向传播算法微调步骤321训练完成的Android应用深度学习模型,直到满
条件或达到微调周期。
本发明有益效果如下:
借助于本发明实施例的技术方案,可以自动化解决Android恶意应用的检
和
附图说明
图1是本发明实施例的Android应用深度学习检测示意流程图;
图2是本发明实施例的Android应用提取特征示意图;
图3是本发明实施例的Android应用深度学习模型建立示意流程图;
图4是本发明实施例的Android应用自动化在线检测装置示意流程图;
图5是本发明实施例的Android应用检测识别准确率对比效果图。
具体实施方式
为了解决Android平台恶意应用的检测难题,本发明提供了一种基于深度
S3.
学习模型的Android应用检测方法及装置,主要包括以下四个步骤:S1.
Android应用原始安装文件特征提取;d应用安装运行特征提取;
Android应用深度学习模型建立;d的正常应用与恶意应用
下结合附图以及实施例,对本发明进行进一步详细说明。应当
述的具体实施例仅仅用以解释本发明,并不限定本发明。
测难题,且设计实现的Android应用深度学习模型能够高精准的对正常应用
恶意应用作出区分,提高Android平台的安全性。
识别。以
理解,此处所描
方法实施例
根据本发明的实施例,提供了一种基于深度学习模型的Android恶意应用
检测方法,图1是本发明实施例的Android应用深度学习检测的示意流程图,
如图1所示,根据本发明实施例的Android恶意应用检测方法包括如
下处理:
步骤101,Android应用程序原始安装APK文件特征提取;
步骤101具体包括如下处理:
步骤1011,采用“7-Zip”工具解压缩Android应用的APK安装文件,获
步骤1012,采用“AXMLPrinter2”工具和“TinyXml”解析器解析
步骤1013,采用“baksmali”反汇编程序处理“”文件,获取
步骤1014,提取步骤1012和步骤1013中的敏感权限和敏感API函数,
步骤102,Android应用在沙盒环境下的安装运行特征提取;
步骤102具体包括如下处理:
步骤1021,在DroidBox沙盒环境中安装执行Android应用,并持续运行
组成Android应用的多维特征。
Android应用的API接口函数清单;
“”文件,获取Android应用的权限使用列表;
取应用安装文件包含的“”文件和“”文件;
一定时间;
步骤1022,扫描DroidBox沙盒运行过程中生成的系统日志,获取Android
步骤1023;搜索匹配步骤1022获取的行为信息中的敏感动作行为,提取
步骤103,Android应用深度学习模型建立;
步骤103具体包括如下处理:
步骤1031,将步骤101和步骤102中获取的特征合并,生成Android应用
步骤1032,通过获取的特征样本集合,训练Android应用分类的深度学习
步骤1032具体包括如下处理:
步骤10321,无监督条件下基于DBN深度置信网络的Android应用深度学
步骤10322,有监督条件下基于Back Propagation(BP)反向传播算法的
步骤104,基于深度学习的Android的正常应用与恶意应用识别。
步骤104具体包括如下处理:
Android应用深度学习模型的微调过程。
习模型的预训练过程;
模型并保存。
的特征样本集合,如图2所示;
多维特征组合。
应用运行中的行为数据;
对待检测的Android未知应用执行步骤101和步骤102,提取多维特征后
是
以下结合附图,对本发明实施例中的Android应用深度学习模型建立的技
图3是本发明实施例的深度学习模型建立的示意流程图,如图3所示,具
S1、无监督的Android应用深度学习模型的预训练过程;
S2、有监督的Android应用深度学习模型的微调过程。
其中,步骤S1进一步包括:
S1.1、Android应用深度学习模型的深度置信网络(DBN)参数初始化;
S1.2、Android应用深度学习模型的受限玻尔兹曼机(RBM)参数初始化;
S1.3、采用CD-k算法训练Android应用深度学习模型的RBM;
S1.4、采用RBM重构误差评估Android应用深度学习模型的RBM;
S1.5、重新更新Android应用深度学习模型中RBM的配置参数,包括权
S1.6、循环执行S1.3至S1.5,直至Android应用深度学习模型的RBM满
值矩阵和初始化偏置向量;
体包括如下处理:
术方案进行详细说明。
导入步骤1033已训练的Android应用深度学习模型,输出分类结果,标明
否属于Android恶意应用。
足条件或训练周期结束;
S1.7、循环执行步骤S1.3至S1.6,直至完成包含多层RBM的Android应
其中,步骤S2进一步包括:
通过已采集的标记好正常应用和恶意应用的Android应用特征集合,采用
满
综上所述,借助于本发明实施例的技术方案,可以解决Android恶意应用
装置实施例
根据本发明的实施例,提供了一种基于Android应用深度学习模型的自动
用
化Android恶意应用检测装置,图4是本发明实施例的在线Android恶意应
检测的结构示意图,如图4所示,根据本
意应用检测装置包括:网站在线提
块43和日志记录模块44,
的检测难题,实现基于Android应用深度学习模型的Android恶意应用检测,
提高Android平台的安全性。
BP反向传播算法微调步骤S1训练完成的Android应用深度学习模型,直到
足条件或达到微调周期。
用深度学习模型的DBN深度置信网络训练。
发明实施例的在线自动化Android恶
交模块41、后台检测模块42、网站反馈模
以下对本发明实施例的各个模块进行详细的说明。
网站在线提交模块41,提供用户上传待检测的Android应用的程序APK
后台检测模块42,通过已训练的Android应用深度学习模型判断用户提交
安装文件,并转存至后台Android应用深度学习模型检测;
的Android应用是否为恶意应用,并返回结果;
网站反馈模块43,反馈用户Android应用安全检测结果,并报告详细的
日志记录模块44,记录用户的Android应用提交信息和相关数据结果,存
综上所述,借助于本发明实施例的技术方案,基于深度学习模型的Android
尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将
上
意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于
述实施例。
应用检测方法及装置可以在线自动化解决Android平台下的恶意应用检测难
题,且与传统的模型相比较,能达到更加优良的识别效果,如图5所示。
储于网站数据库。
Android应用行为信息;