CN107729927B - 一种基于lstm神经网络的手机应用分类方法 - Google Patents

Abstract

本发明提出了一种基于LSTM神经网络的手机应用分类方法，属于移动终端软件安全技术领域。首先通过触发构造的场景事件组合来模拟不同功能类别的手机应用运行状态，并提取有效的动态行为特征数据构建动态行为特征序列，通过构建的LSTM神经网络分类模型，对这些动态事件行为时序序列中潜在的行为模式进行学习得到手机应用样本的分类结果。本发明提出的基于LSTM神经网络的手机应用分类方法能够有效地学习与归纳不同类别的典型的手机应用的网络行为模式，最佳模型的平均分类准确率达到93.79％，优于常见的面向Android应用的机器学习分类器，可用于预测与评审未知应用的可信性与恶意性。

Description

一种基于LSTM神经网络的手机应用分类方法

技术领域

本发明涉及移动终端软件安全技术领域，特别是一种基于LSTM神经网络的手机应用分类方法。

背景技术

近年来，随着移动互联网的发展，移动智能终端和移动应用程序的种类、数量、功能呈现爆发式增长。其中Android平台凭借灵活开源的开发流程、运行环境以及物美价廉的硬件产品，在全球市场上赢得了垄断性的市场份额，并且保持持续增长的态势。然而，Android平台的开放性、普及性、易用性，也吸引了形形色色的恶意攻击者，通过编写各类恶意软件来实现其系统攻击、数据窃取、服务干扰、资源滥用的恶意目标。

谷歌官方应用市场Google Play采用了多种审查机制，不断完善与提高检测的准确性与周密性，仍然不能避免恶意应用的上线。而其他第三方市场的审查机制不够完善，监管不力，导致市场内更是频繁出现具有虚假功能、恶意行为、攻击动机的风险应用程序。因此，Android开发者发布新应用的环节仍需要进一步的完善应用的功能测试、分类验证以及功能与行为的一致性检测过程。

目前针对Android应用的分类技术主要是基于应用程序的静态代码特征与动态运行特征。静态特征分类一般是通过反编译获取应用申请的权限、API调用列表等特征进行应用的分类。然而，基于静态特征的分类方法对于恶意软件编写者们常用的代码混淆、动态更新、实时加载等高级隐藏技术则无力抵抗。动态特征分类主要是获取应用的运行特征或行为特征进行模式规约。但是目前这方面的大多数研究工作都是被动式地获取动态行为，或者简单模拟一些用户行为，没有主动地构造不同的事件或操作，从而多方面地触发应用的多方面的动态行为，更没有考虑不同场景事件组合造成的动态行为之间的时序关联关系。

发明内容

本发明提出了一种基于LSTM神经网络的手机应用分类方法。

实现本发明的技术解决方案为，一种基于LSTM神经网络的手机应用分类方法，具体步骤为：

步骤1、构造场景事件并运行手机应用样本，获取手机应用样本的动态行为特征数据；

步骤2、对步骤1中获取的手机应用样本的动态行为特征数据进行预处理，并构建触发的场景事件的动态行为特征序列；

步骤3、构造LSTM神经网络分类模型；

步骤4、将动态行为特征序列输入至LSTM神经网络分类模型进行学习，得到手机应用样本的分类结果。

本发明与现有技术相比，其显著优点为：1)本发明构造了多种场景事件，并生成了状态转移图，考虑了应用所处状态和应用所属类别对场景事件触发的影响，更有利于触发应用的核心动态行为。动态获取应用的行为特征数据，不会受到代码混淆、动态更新、实时加载等高级隐藏技术的影响。2)本发明采用改进的DroidBet自动化测试脚本工具进行应用动态行为特征数据的获取，节省了人力、物力，提高了时间效率。3)本发明对获取到的动态行为特征数据分别进行规整化预处理，降低了数据的数量级，更有利于对数据的训练和学习。4)本发明将不同场景事件触发的动态行为特征组成一个动态行为特征序列，考虑了前后场景事件所产生的动态行为特征之间的时序关系，增加了场景事件触发的合理性，提高了分类的准确率。5)本发明所选用的带有特殊输入层的LSTM模型能够有效地学习各类功能类别下的应用的行为模式，并能充分考虑动态事件行为序列内部的因果关系与时序关系，与贝叶斯网络(BayesNet)、朴素贝叶斯(NaiveBayes)、判定表(DecisionTable)、决策树(J48)、支持向量机—序列最小最优化(SMO)、多层感知机等常见的分类模型相比，正确率更高。。

下面结合附图对本发明做进一步详细的描述。

附图说明

图1为本发明一种基于LSTM神经网络的手机应用分类方法构造的15种场景事件。

图2为本发明一种基于LSTM神经网络的手机应用分类方法构造的场景事件的状态转移图。

图3为本发明实施例1选取的敏感API。

图4为本发明新闻类手机应用样本预处理后的动态事件行为序列。

图5为本发明LSTM整体网络模型。

图6为本发明LSTM模型输入层展开后的网络模型。

图7为本发明实施例1中手机应用样本分类的实验结果。

图8为6种常见的机器学习分类器的实验结果。

具体实施方式

一种基于LSTM神经网络的手机应用分类方法，具体步骤为：

步骤1、构造场景事件并运行手机应用样本，获取手机应用样本的动态行为特征数据，具体步骤为：

步骤1-1、获取N类手机应用样本；

步骤1-2、构造场景事件E^m，1≤m≤15来模拟手机应用运行环境的改变，其中，场景事件具体为启动手机应用、唤醒移动设备、让移动设备进入休眠、改变网络连接状态、改变移动设备地理位置、重启移动设备、启动拍照功能、修改通讯录、收到短信、点击屏幕、滑动屏幕、插入耳机、清理内存、修改壁纸、修改日程表中的任意m种；

步骤1-3、根据场景事件构造状态转移图，确定手机应用在触发不同场景事件情况下的状态转移方向；

步骤1-4、触发场景事件并实时提取手机应用样本的动态行为特征数据，提取的动态行为特征数据具体为发送字节数s′、接收字节数r′、连接会话数c′；敏感API调用信息aⁱ′，1≤i≤K,K表示敏感API个数，以及CPU最大占用率cmax’和CPU平均占用率cavr’。

步骤2、对步骤1中获取的手机应用样本的动态行为特征数据进行预处理，并构建触发的场景事件的动态行为特征序列，具体步骤为：

步骤2-1、采用取对数的方法对发送字节数s′、接收字节数r′、连接会话数c′规整化处理，得到规整化处理后的发送字节数s、接收字节数r、连接会话数c，即：

s＝logs'，r＝logr'，c＝c′

步骤2-2、对敏感API调用信息aⁱ′进行二值划分调整，低于最大调用次数的10％取0，否则取1，得到二值划分调整后的敏感API调用信息aⁱ′，1≤i≤K；；

步骤2-3、对CPU最大占用率cmax’和CPU平均占用率cavr’除10取整处理，得到预处理后的CPU最大占用率cmax和CPU平均占用率cavr，即：

cmax＝cmax′/10，cavr＝cavr'/10

步骤2-4、构造触发的场景事件及其动态行为特征的动态行为特征序列：

e_k表示触发的场景事件，0≤k≤m。

步骤3、构造LSTM神经网络分类模型，LSTM神经网络分类模型由输入层、隐藏层以及输出层组成，其中，输入层由第一输入模块以及第二输入模块组成，第一输入模块前馈连接接入第二个输入模块且添加循环连接至第二个输入模块，第一输入模块以触发场景事件为输入，第二输入模块以触发的场景事件产生的动态行为特征序列为输入，隐藏层由多层LSTM子网络构成；输出层以每组动态行为特征序列属于各类别的概率为输出。

步骤4、将动态行为特征序列输入至LSTM神经网络分类模型进行学习，得到手机应用样本的分类结果，具体步骤为：

步骤4-1、分别将每组动态行为特征序列输入至LSTM神经网络分类模型进行学习，分别得到每组动态行为特征序列属于各类别的概率；

步骤4-2、将每组动态行为特征序列属于各类别的概率对应相加得到每个应用样本分到每个功能类别的可能性指标；

步骤4-3、选取可能性指标最大的数值所指向的类作为该手机应用样本的分类结果。

从而，本发明公开的一种基于LSTM神经网络的手机应用分类方法通过分析手机应用程序运行过程中基于不同场景事件组合产生的动态事件行为序列，实现基于手机应用程序的动态行为的自动分类过程。实验结果表明，所提出的LSTM神经网络分类模型在有效性、准确性上表现良好，最优模型的平均准确率远高于采用传统机器学习的分类算法。该方法能够较好地学习应用的动态行为模式，从而有效检测与评估未知应用的可信度与恶意度。

下面结合实施例进行更详细的描述。

实施例1

步骤1、构造场景事件并运行手机应用样本，获取手机应用样本的动态行为特征数据，具体步骤为：

步骤1-1、获取N类手机应用样本，本实施例中根据Android应用市场中典型的应用功能分类目录收集了新闻类、音频类、日程类、视频类、壁纸类、拍照类、地图类7类应用，每一类的应用数目不尽相同，共计386个应用。

步骤1-2、构造场景事件E^m，1≤m≤15来模拟手机应用运行环境的改变，本实施例中，构造的场景事件包括3类：模拟用户与应用程序之间的交互过程(点击、睡眠等)、改变程序运行环境(网络状态、位置等)、模拟外来事件(接收短信)，具体场景事件如图1所示。

步骤1-3、如图2所示，根据场景事件构造状态转移图，确定手机应用在触发不同场景事件情况下的状态转移方向；

步骤1-4、触发场景事件并实时提取手机应用样本的动态行为特征数据，提取的动态行为特征数据具体为发送字节数s′、接收字节数r′、连接会话数c′；敏感API调用信息aⁱ′，1≤i≤K,K表示敏感API个数，以及CPU最大占用率cmax’和CPU平均占用率cavr’。具体操作为：将不同功能类别的应用程序，联网运行在测试沙箱设备上，通过自动化测试脚本工具DroidBet结合monkey和monkeyrunner这两款工具实现场景事件的触发，从而模拟不同的场景事件组合的触发，通过tcpdump抓包工具抓取数据包以获取应用层网络交互流量数据，并将抓获的数据包pcap文件导出保存，之后对pcap文件进行解析，统计网络流通信数据；利用Xposed框架及相关插件的使用来Hook系统函数，以获取应用调用敏感API的情况；通过系统top命令来获取CPU的负载情况，本实施例中调用的敏感API如图3所示。

步骤2、对步骤1中获取的手机应用样本的动态行为特征数据进行预处理，并构建触发的场景事件的动态行为特征序列，具体步骤为：

步骤2-1、采用取对数的方法对发送字节数s′、接收字节数r′、连接会话数c′规整化处理，得到规整化处理后的发送字节数s、接收字节数r、连接会话数c，即：

s＝logs'，r＝logr'，c＝c′

步骤2-2、对敏感API调用信息aⁱ′进行二值划分调整，低于最大调用次数的10％取0，否则取1，得到二值划分调整后的敏感API调用信息aⁱ′，1≤i≤K；

步骤2-3、对CPU最大占用率cmax’和CPU平均占用率cavr’除10取整处理，得到预处理后的CPU最大占用率cmax和CPU平均占用率cavr，即：

cmax＝cmax'/10，cavr＝cavr'/10

步骤2-4、构造触发的场景事件及其动态行为特征的动态行为特征序列：

本实施例中触发了5种场景事件，因而构造了5组动态行为特征序列。

步骤3、构造LSTM神经网络分类模型，如图5所示，LSTM神经网络分类模型由输入层、隐藏层以及输出层组成，其中，输入层由第一输入模块以及第二输入模块组成，两个输入模块展开后如图6所示，第一输入模块以触发场景事件为输入，采用前馈连接接入第二个输入模块，用来传递场景事件与触发的行为之间的因果关系，与此同时添加循环连接至第二个输入模块，用于表现动态事件行为序列中潜在的时序关系；第二输入模块以触发的场景事件产生的动态行为特征序列为输入；隐藏层由多层LSTM子网络构成，输入层采用全连接的方式接入隐藏层，特征经过隐藏层的提取与学习后，以全连接的方式接入输出层。隐藏层是由5层，每层30个LSTM神经元组成。本实施例中将手机应用样本分属于7类，因此输出层由7个神经元组成，代表分到每一类的可能性。

步骤4、将动态行为特征序列输入至LSTM神经网络分类模型进行学习，得到手机应用样本的分类结果，每一个动态行为特征序列输入到LSTM神经网络分类模型中都会得到7个代表类归属的概率数值，本实施例中触发5种场景事件，则会产生5组的类归属。本实施例中最后通过将多组的类归属分别对应相加来代表这条动态事件行为序列最终分到每个功能类别的可能性指标，因此可能性指标最大的数值所指向的类就是最终分类结果。图7展示了最终的分类结果。每一行数据表示该类别的应用预测到不同类别的应用个数，同时标明了相应的百分比，更直观的体现不同类别应用之间的行为相似性，最右侧是该类别应用测试的动态事件行为序列的总个数。通过观察图7的对角线数据，充分说明本文提出的LSTM网络模型分类结果相当理想。

此外，本发明为了更好地验证本文提出的LSTM模型相较其他常见机器学习分类算法拥有更大优势，借助机器学习工具weka，使用相同的实验数据进行多种常见的机器学习分类器的实验。实验选择了贝叶斯网络(BayesNet)、朴素贝叶斯(NaiveBayes)、判定表(DecisionTable)、决策树(J48)、支持向量机—序列最小最优化(SMO)、多层感知机(MultilayerPerceptron)6种常见的分类器，统一采用十折交叉验证方法进行训练、学习。

基于6种常见机器学习分类器的最终的实验结果如图8所示。整体上，常见分类器的分类情况不够理想。贝叶斯网络、决策树、多层感知机的分类模型效果相对较好，其中多层感知机达到最高的分类正确率89.66％。而本发明提出的LSTM分类模型能达到93.79％的正确率，优于这些常见分类模型。

Claims (6)

1.一种基于LSTM神经网络的手机应用分类方法，其特征在于，具体步骤为：

步骤1、构造场景事件并运行手机应用样本，获取手机应用样本的动态行为特征数据，具体步骤为：

步骤1-1、获取N类手机应用样本；

步骤1-2、构造场景事件E^m,1≤m≤15来模拟手机应用运行环境的改变，其中，场景事件具体为启动手机应用、唤醒移动设备、让移动设备进入休眠、改变网络连接状态、改变移动设备地理位置、重启移动设备、启动拍照功能、修改通讯录、收到短信、点击屏幕、滑动屏幕、插入耳机、清理内存、修改壁纸、修改日程表中的任意m种；

步骤1-3、根据场景事件构造状态转移图，确定手机应用在触发不同场景事件情况下的状态转移方向；

步骤1-4、触发场景事件并实时提取手机应用样本的动态行为特征数据；

步骤2、对步骤1中获取的手机应用样本的动态行为特征数据进行预处理，并构建触发的场景事件的动态行为特征序列；

步骤3、构造LSTM神经网络分类模型；

步骤4、将动态行为特征序列输入至LSTM神经网络分类模型进行学习，得到手机应用样本的分类结果。

2.根据权利要求1所述的基于LSTM神经网络的手机应用分类方法，其特征在于，所述手机应用样本的动态行为特征数据包括：发送字节数s′、接收字节数r′、连接会话数c′；敏感API调用信息aⁱ′，1≤i≤K,K表示敏感API个数，以及CPU最大占用率cmax’和CPU平均占用率cavr’。

3.根据权利要求2所述的基于LSTM神经网络的手机应用分类方法，其特征在于，步骤2中对步骤1中获取的手机应用样本的动态行为特征数据进行预处理，并构建每种场景事件的动态行为特征序列具体步骤为：

步骤2-1、采用取对数的方法对发送字节数s′、接收字节数r′、连接会话数c′规整化处理，得到规整化处理后的发送字节数s、接收字节数r、连接会话数c，即：

s＝logs’,r＝logr’,c＝c’

步骤2-2、对敏感API调用信息aⁱ′进行二值划分调整，低于最大调用次数的10％取0，否则取1，得到二值划分调整后的敏感API调用信息aⁱ′，1≤i≤K；

步骤2-3、对CPU最大占用率cmax’和CPU平均占用率cavr’除10取整处理，得到预处理后的CPU最大占用率cmax和CPU平均占用率cavr，即：

cmax＝cmax′/10,cavr＝cavr’/10

步骤2-4、构造触发的场景事件及其动态行为特征的动态行为特征序列：

e_k表示触发的场景事件，0≤k≤m。

4.根据权利要求1中所述的基于LSTM神经网络的手机应用分类方法，其特征在于，所述LSTM神经网络分类模型由输入层、隐藏层以及输出层组成，其中，所述输入层由第一输入模块以及第二输入模块组成，第一输入模块前馈连接接入第二个输入模块且添加循环连接至第二个输入模块；所述隐藏层由多层LSTM子网络构成；所述输出层以每组动态行为特征序列属于各类别的概率为输出。

5.根据权利要求4中所述的基于LSTM神经网络的手机应用分类方法，其特征在于，所述第一输入模块以触发场景事件为输入，所述第二输入模块以触发的场景事件产生的动态行为特征序列为输入。

6.根据权利要求1所述的基于LSTM神经网络的手机应用分类方法，其特征在于，步骤4中将每组动态行为特征序列输入至LSTM神经网络分类模型进行学习，得到手机应用样本的分类结果，具体步骤为：

步骤4-1、分别将每组动态行为特征序列输入至LSTM神经网络分类模型进行学习，分别得到每组动态行为特征序列属于各类别的概率；

步骤4-2、将每组动态行为特征序列属于各类别的概率对应相加得到每个应用样本分到每个功能类别的可能性指标；

步骤4-3、选取可能性指标最大的数值所指向的类作为该手机应用样本的分类结果。

Images