CN113378171B - 一种基于卷积神经网络的Android勒索软件检测方法 - Google Patents

一种基于卷积神经网络的Android勒索软件检测方法 Download PDF

Info

Publication number
CN113378171B
CN113378171B CN202110783769.5A CN202110783769A CN113378171B CN 113378171 B CN113378171 B CN 113378171B CN 202110783769 A CN202110783769 A CN 202110783769A CN 113378171 B CN113378171 B CN 113378171B
Authority
CN
China
Prior art keywords
software
application program
android
neural network
feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110783769.5A
Other languages
English (en)
Other versions
CN113378171A (zh
Inventor
史闻博
王思雨
李丹
潘润邦
鲁宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Northeastern University Qinhuangdao Branch
Original Assignee
Northeastern University Qinhuangdao Branch
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Northeastern University Qinhuangdao Branch filed Critical Northeastern University Qinhuangdao Branch
Priority to CN202110783769.5A priority Critical patent/CN113378171B/zh
Publication of CN113378171A publication Critical patent/CN113378171A/zh
Application granted granted Critical
Publication of CN113378171B publication Critical patent/CN113378171B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/40Transformation of program code
    • G06F8/53Decompilation; Disassembly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Virology (AREA)
  • Image Analysis (AREA)
  • Stored Programmes (AREA)

Abstract

本发明提供一种基于卷积神经网络的Android勒索软件检测方法,涉及检测技术领域。本发明对训练样本的原始安装文件进行特征提取,获得结构特征以及行为特征;利用特征构建特征向量,将权限和API、API和权限生成具有映射关系的图片特征形式,并读取dex文件生成具有dex文件结构特征的图片形式;利用特征图片转换成numpy数组形式训练卷积神经网络。对待检测Android勒索应用程序,首先对其安装文件进行特征提取,获得其权限和API、API和权限映射关系的两张特征图片,提取dex文件特征生成特征图片;然后将三张图片的numpy数组格式输入训练好的卷积神经网络中,输出是否属于勒索软件的分类结果。

Description

一种基于卷积神经网络的Android勒索软件检测方法
技术领域
本发明涉及检测技术领域,尤其涉及一种基于卷积神经网络的Android勒索软件检测方法。
背景技术
Android系统的开放性促进了Android设备的爆炸性增长和第三方应用市场的繁荣。第三方申请市场是除了用户信任和依赖的Google Play之外的主要第三方渠道之一。由于第三方申请市场进行了利润,并且没有严格统一的申请安全审计机制,这在一定程度上对用户和设备带来了极大的风险。它为培育恶意软件提供了机会,为攻击者提供了攻击的机会,以执行隐私盗窃,遥控器,甚至勒索等恶意行为,这将为用户及其设备带来经济损失和伤害。例如,勒索软件通过锁定移动电话直接从用户处获取大量的资金,这会导致直接的经济损失。在这种情况下,第三方应用市场成为恶意软件感染最脆弱的渠道。一旦勒索软件出现在第三方应用市场中,如果大量用户在不知不觉中下载并安装申请,后果和经济损失将是不可估量的。因此,有必要为第三方应用市场提出勒索软件检测方法。
Android软件检测方法目前主要有两种,即静态分析和动态检测。静态分析是指通过分析程序代码来判断程序行为。动态分析是指在严格控制的环境下执行应用程序,尽可能的触发软件的全部行为并记录,以检测应用程序是否包含恶意行为。目前已有的静态方法,已经提出了一种基于启发式算法和机器学习的检测方法。它捕获了勒索软件的行为模式,并通过提取原始应用程序API调用和权限来构建检测框架。此外,还有一种已经提出的轻量级方法,可自动检测储物柜。它采用全面分析软件行为的方法来提取来自多个来源的特征和集成探测器,该方法结合了四种机器学习方法来进行分类。这些研究在勒索软件检测领域仅集中在理想的平衡数据集上而不是不平衡。近年来,许多研究人员试图改善不平衡数据集下的恶意软件检测问题。研究表明,数据级别方法是最早,最具影响力和最广泛使用的方法。由于采样方法的计算效率低,噪音容易影响,结合第三方市场的需求,本方法不考虑来自数据视角的方法。已有的动态分析方法,通过使用运行时分析获得的系统调用作为特征,并利用信息增益来选择最重要的系统调用,最后使用不同的机器学习算法来对实例的功能进行分类。运行时特征的提取需要浪费大量的计算资源并增加时间成本,因此不适合在第三方应用市场的检测方法中采用这些特征。
在静态方法检测中,大多的检测方法都集中在理想的平衡数据集下,对于非平衡数据集的检测,目前还存在问题,许多研究人员正在试图改善不平衡数据集下的恶意软件检测所带来的问题。在动态方法检测中,模拟软件运行时状态,这种方法不仅增加了检测和消耗资源的难度,而且难以涵盖应用程序的所有执行路线,使得难以在特定的触发条件下发现恶意行为,并且不适合处理大规模样本。在运行时也要消耗大量的计算资源,这也是动态检测中最常见的缺陷
发明内容
针对现有技术存在的问题,本发明提供一种基于卷积神经网络的Android勒索软件检测方法。
为了解决上述技术问题,本发明采用以下的技术方案:
一种基于卷积神经网络的Android勒索软件检测方法,包括以下步骤:
步骤1:安卓应用软件特征提取,对不平衡数据集中的Android非勒索软件和勒索软件的原始安装文件进行特征提取,具体包括行为特征以及结构特征;
所述行为特征为从XML文件中提取权限和API函数,具体包括以下步骤:
步骤S1:反编译:使用apk反编译工具对应用程序进行分解,并获得应用程序的配置文件;
步骤S2:解析程序包中Manifest.xml配置文件以提取应用程序请求的权限;通过扫描对应用程序的分解获得的SMALI装配文件代码以提取应用程序调用的系统API函数;
步骤S3:生成特征向量:基于步骤S2中提取的应用程序权限和API函数,生成二进制特征向量,即行为特征。
所述结构特征为从DEX文件中提取软件应用程序的全部操作指令以及运行数据,具体包括以下步骤:
步骤D1:反编译:使用apk反编译工具对应用程序进行分解,并获得应用程序的DEX文件。
步骤D2:通过反向工程获取的DEX文件中的编码格式,直接用作解析文件;
步骤D3:生成特征向量:解析所获得编码格式,生成十六进制特征向量,即结构特征。
步骤2:建立特征向量图片,具体包括两种映射关系图以及一种DEX特征图;
所述映射关系图,根据步骤S3获得的行为特征,在每个Android软件样本中,如果权限或API的调用被解析为映射关系,则标注该位置为对应关系,根据标注的映射关系,获得映射关系的二进制特征向量,将二进制特征向量转换为十进制值矩阵,并将转化后的十进制值矩阵生成映射关系图,分别是权限-API映射关系图和API-权限映射关系图,这两种图片作为行为特征提取的结果;
所述DEX特征图,读取步骤D3中解析应用程序后所获取的十六进制特征向量,将特征向量转换为十进制值,并将十进制矩阵生成DEX特征图,即得到一种特征向量图片,为DEX特征图,作为结构特征提取的结果。
步骤3:读取映射关系图以及特征向量图片,生成numpy数组,用作卷积神经网络CNN的输入。
所有Android软件安装包APK文件的行为特征以及结构特征分别根据相应的特征向量表示为两种映射关系图和DEX特征图。在此阶段生成的特征向量图片将被拼接在一起以形成numpy数组。
所述numpy数组是提取特征的最终形式,其表示Android软件安装包APK文件所代表的特征信息。
步骤4:训练卷积神经网络CNN;根据神经网络的误测精度反向传播进行权重和参数的调整,直至CNN满足条件或训练周期结束,得到训练好的卷积神经网络模型。
所述卷积神经网络CNN包括卷积层、池化层、Flatten层、Dropout层,全连接层;
首先构建序贯模型Sequential,将numpy数组放入卷积层中,使用卷积核进行模型训练,得到训练后的numpy数组;使用池化层降低信息冗余,得到更新后的numpy数组,将更新后的numpy数组输入至Flatten层,得到一维数组;
使用自定义的全连接权重矩阵进行训练,将输出维度设定为一维数组,得到的新的矩阵,并输入至Dropout层,防止矩阵训练过程中过拟合现象的发生;
使用自定义的全连接权重矩阵继续进行训练,将输出维度仍保持为不变,得到的新的矩阵,输出的一维数组并再次输入至Dropout层,再次防止矩阵训练过程中过拟合现象的发生;
将全连接矩阵变成1*1的矩阵获得最终结果,即预测应用的概率,设置概率N(1>N>0)作为判断待检测应用程序是勒索软件或非勒索软件的判定界限;
步骤5:安卓勒索软件与非勒索软件检测识别;
对待检测Android勒索应用程序,获取其特征向量图片;将特征向量图片的numpy数组格式输入训练好的卷积神经网络CNN中,并输出是否属于勒索软件的分类结果。
本发明所产生的有益效果在于:
本发明提出一种基于卷积神经网络的Android勒索软件检测方法,提出了一个更准确的勒索软件检测框架。为了获得最代表性的特征,进一步开采应用行为和特征之间的关系,并且从许多功能中选择具有最多分割属性的特征子集。更重要的是,设计了基于焦损函数的CNN分类模型。采用的CNN是图像表示数据形式最合适的模型,其可以自动检测特征的微妙差异,并自动学习内部模式。引入焦损函数,它可以减少多数阶级对模型损失价值的贡献,提高少数群体样本的学习能力,也可以缓解分类器不能充分学习分类中少量样本的问题,缓解了不平衡数据集的问题。最后,选择更合适的标准来评估分类模型根据当前分类问题的样本分布要求。本方法检测准确率更高,具有明显的优势。,对Android平台下的勒索软件与非勒索软件的识别区分,提高Android软件平台的安全性。与现有技术相比,本发明要解决第三方应用市场面临的Android勒索软件检测问题,本发明提出了一个准确的勒索软件检测框架。我们使用最具代表性的特征组合作为分析应用程序以获得更好的特征表达式。采用了具有焦损函数的深层CNN模型来缓解少量数据集样本学习不足的问题。对于软件的检测准确率更高,具有明显优势。
附图说明
图1为本发明Android勒索软件检测方法整体流程图;
图2为本发明特征提取及建立特征向量图片流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
一种基于卷积神经网络的Android勒索软件检测方法,如图1所示,包括以下步骤:
步骤1:安卓应用软件特征提取,对不平衡数据集中的Android非勒索软件和勒索软件的原始安装文件进行特征提取,具体包括行为特征以及结构特征;
基于第三方应用市场的实际需求和勒索软件的特点,本文选择了具有行为特征的许可和API的组合,以及基于结构特征的基于DEX的图像特性。通过系统提供的API来实现一些函数,它反映了相应的代码功能,并且可以预测运行过程中模块的行为属性和表现形式。API调用还需要权限,这是一个高度相关的组合功能,构成行为特征。此外,考虑到DEX文件对应用程序行为的重要性,执行DEX文件的图像可视化以获得结构特征。
所述行为特征为从XML文件中提取权限和API函数,从勒索软件的行为功能判断,锁定屏幕并申请危险权限是最直接的行为,锁定屏幕是由应用高级权限和成功调用相应API引起的。Android建立权限机制的主要目的是细分权限和控制访问应用程序可以执行的某些特定操作。应用程序开发人员只能通过在Manifest.xml文件中声明定义标记来获得权限,从而阻止未经任何声明的恶意行为。许可信息可以反映应用程序的行为模式,而在许可中存在恶意和良性应用之间存在明显差异。因此,可以通过将许可信息作为索引来评估和量化应用程序的安全性,并利用良性和恶意软件之间的差异。就API功能而言,通过调用相应的系统API来实现敏感数据,系统资源和设备状态的敏感数据,系统资源和设备状态。不同代码范围和级别的API使用反映了相应模块的代码功能,也可以在运行过程中推断模块的可能行为属性和表现形式。如图2所示,具体包括以下步骤:
步骤S1:反编译:使用apk反编译工具apktool对应用程序进行分解,并获得应用程序的程序源代码和SMALI文件、XML文件等配置文件;
步骤S2:解析程序包中Manifest.xml配置文件以提取应用程序请求的权限;通过扫描对应用程序的分解获得的SMALI装配文件代码以提取应用程序调用的系统API函数;
步骤S3:生成特征向量:基于步骤S2中提取的应用程序权限和API函数,生成二进制特征向量,即行为特征。
所述结构特征为从DEX文件中提取软件应用程序的全部操作指令以及运行数据,具体包括以下步骤:
Android将APK的核心代码存储在DEX文件中。解压缩的.apk文件通常包含名为classes.dex的文件,并且dex文件封装了Dalvik虚拟机可以执行的所有Dalvik字节码。它包含了很多Android应用程序的功能,因此了解Android操作系统和Android应用程序的安全性具有重要意义,以掌握DEX文件格式。Android恶意软件开发人员通常通过原始代码开发新的恶意软件,如果Android恶意软件表示为数据结构的直接形式,则可以在图像中轻松检测到代码中的这些更改。
步骤D1:反编译:使用apk反编译工具apktool对应用程序进行分解,并获得应用程序的DEX文件。
步骤D2:通过反向工程获取的DEX文件中的编码格式,直接用作解析文件;
步骤D3:生成特征向量:解析所获得编码格式,生成十六进制特征向量,即结构特征。
步骤2:建立特征向量图片,具体包括两种映射关系图以及一种DEX特征图;
所述映射关系图,根据步骤S3获得的行为特征,在每个Android软件样本中,如果权限或API的调用被解析为映射关系,则标注该位置为对应关系,根据标注的映射关系,获得映射关系的二进制特征向量,将二进制特征向量转换为十进制值矩阵,并将转化后的十进制值矩阵生成映射关系图,分别是权限-API映射关系图和API-权限映射关系图,这两种图片作为行为特征提取的结果;
所述DEX特征图,读取步骤D3中解析应用程序后所获取的十六进制特征向量,将特征向量转换为十进制值,并将十进制矩阵生成DEX特征图,即得到一种特征向量图片,为DEX特征图,作为结构特征提取的结果。
步骤3:读取映射关系图以及特征向量图片,生成numpy数组,用作卷积神经网络CNN的输入。
所有Android软件安装包APK文件的行为特征以及结构特征分别根据相应的特征向量表示为两种映射关系图和DEX特征图。在此阶段生成的特征向量图片将被拼接在一起以形成numpy数组。
所述numpy数组是提取特征的最终形式,其表示Android软件安装包APK文件所代表的特征信息。
步骤4:训练卷积神经网络CNN;根据神经网络的误测精度反向传播进行权重和参数的调整,直至CNN满足条件或训练周期结束,得到训练好的卷积神经网络模型。
为了使网络能够更充分地学习不平衡数据集的样本,引入了具有焦损函数的卷积神经网络CNN。此功能显着提高了分类器对于不平衡样本中学习的能力。
CNN可以通过将大数据填充到非线性变换中自动学习来自大量数据的训练,从而替换手动设计的功能。此外,它的深度结构使其能够具有强大的表达和学习能力。
所述卷积神经网络CNN包括卷积层、池化层、Flatten层、Dropout层,全连接层;
为了实现足够的少量数据集样本,CNN采用焦损函数。通过降低多数样本的损失来降低对整体损失的贡献。焦损函数用于估计模型输出与实际值之间的间隙,以实现预测标签生成的错误的反向化和样本的实际标签,以指导网络参数学习和表示学习,并指导模型优化的方向。交叉熵可以测量同一随机变量中的两个不同概率分布之间的差异程度。联结的值越小,模型预测效果越好。
为了解决类样本的不平衡,在属于[0,1]的每个样品的损耗函数之前,添加重量因子α。因此,获得焦损函数,其公式是
FL=-αt(1-pt)γlg(pt)
γ越大,差异越大。为了解决数据集的不平衡问题,引入了权重参数α。简单地加权阳性和阴性样品的损失,α样品平衡因子平衡正面和阴性样品的重要性。通过改进标准交叉熵,将数据集中难以分类的样品的梯度相对降低。
本实施例中采用尺寸为(270,90,1)的numpy数组输入卷积神经网络,进行训练,其过程如下:
首先构建序贯模型Sequential,序贯模型Sequential是最简单的线性、从头到尾的结构顺序,不分叉,是多个网络层的线性堆叠;本实施例中将尺寸为(270,90,1)numpy数组放入卷积层中,使用32个(3,3)的卷积核进行模型训练,得到训练后结构为(270,90,32)的numpy数组;使用池化层降低信息冗余,防止过拟合,池化窗口大小为2,得到的大小为(135,45,32)的numpy数组,
将更新后的numpy数组输入至Flatten层,把多维的输入一维化,用做全连接层的过渡,得到一维数组(194400,)
使用自定义的全连接权重矩阵(1,100)进行训练,将输出维度设定为一维数组(100,),得到的新的矩阵,并输入至Dropout层,防止矩阵训练过程中过拟合现象的发生;
使用自定义的全连接权重矩阵(1,100)继续进行训练,将输出维度仍保持为不变1*100得到的新的矩阵,输出的一维数组是(100,)并再次输入至Dropout层,再次防止矩阵训练过程中过拟合现象的发生;
将全连接矩阵变成1*1的矩阵获得最终结果,即预测应用的概率,设置概率N(1>N>0),本实施例中使用0.5作为判断待检测应用程序是勒索软件或非勒索软件的判定界限,并设置0是勒索软件,1是非勒索软件;
步骤5:安卓勒索软件与非勒索软件检测识别;
对待检测Android勒索应用程序,获取其特征向量图片;将特征向量图片的numpy数组格式输入训练好的卷积神经网络CNN中,本实施例中若得到预测应用的概率大于0.5,则判断该应用为非勒索软件,若小于等于0.5,则判断该应用为勒索软件,输出分类结果。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明权利要求所限定的范围。

Claims (1)

1.一种基于卷积神经网络的Android勒索软件检测方法,其特征在于,包括以下步骤:
步骤1:安卓应用软件特征提取,对不平衡数据集中的Android非勒索软件和勒索软件的原始安装文件进行特征提取,具体包括行为特征以及结构特征;
所述行为特征为从XML文件中提取权限和API函数,具体包括以下步骤:
步骤S1:反编译:使用apk反编译工具对应用程序进行分解,并获得应用程序的配置文件;
步骤S2:解析程序包中Manifest.xml配置文件以提取应用程序请求的权限;通过扫描对应用程序的分解获得的SMALI装配文件代码以提取应用程序调用的系统API函数;
步骤S3:生成特征向量:基于步骤S2中提取的应用程序权限和API函数,生成二进制特征向量,即行为特征;
所述结构特征为从DEX文件中提取软件应用程序的全部操作指令以及运行数据,具体包括以下步骤:
步骤D1:反编译:使用apk反编译工具对应用程序进行分解,并获得应用程序的DEX文件;
步骤D2:通过反向工程获取的DEX文件中的编码格式,直接用作解析文件;
步骤D3:生成特征向量:解析所获得编码格式,生成十六进制特征向量,即结构特征;
步骤2:建立特征向量图片,具体包括两种映射关系图以及一种DEX特征图;
步骤2中所述映射关系图,根据步骤S3获得的行为特征,在每个Android软件样本中,如果权限或API的调用被解析为映射关系,则标注该位置为对应关系,根据标注的映射关系,获得映射关系的二进制特征向量,将二进制特征向量转换为十进制值矩阵,并将转化后的十进制值矩阵生成映射关系图,分别是权限-API映射关系图和API-权限映射关系图,这两种图片作为行为特征提取的结果;
所述DEX特征图,读取步骤D3中解析应用程序后所获取的十六进制特征向量,将特征向量转换为十进制值,并将十进制矩阵生成DEX特征图,即得到一种特征向量图片,为DEX特征图,作为结构特征提取的结果;
步骤3:读取映射关系图以及特征向量图片,生成numpy数组,用作卷积神经网络CNN的输入;所述numpy数组是提取特征的最终形式,其表示Android软件安装包APK文件所代表的特征信息;
步骤4:训练卷积神经网络CNN;根据神经网络的误测精度反向传播进行权重和参数的调整,直至CNN满足条件或训练周期结束,得到训练好的卷积神经网络模型;
步骤4中所述卷积神经网络CNN包括卷积层、池化层、Flatten层、Dropout层,全连接层;卷积神经网络CNN采用焦损函数,通过降低多数样本的损失来降低对整体损失的贡献,焦损函数用于估计模型输出与实际值之间的间隙,以实现预测标签生成的错误的反向化和样本的实际标签,以指导网络参数学习和表示学习,并指导模型优化的方向,交叉熵测量同一随机变量中的两个不同概率分布之间的差异程度,联结的值越小,模型预测效果越好;
首先构建序贯模型Sequential,将numpy数组放入卷积层中,使用卷积核进行模型训练,得到训练后的numpy数组;使用池化层降低信息冗余,得到更新后的numpy数组,将更新后的numpy数组输入至Flatten层,得到一维数组;
使用自定义的全连接权重矩阵进行训练,将输出维度设定为一维数组,得到的新的矩阵,并输入至Dropout层,防止矩阵训练过程中过拟合现象的发生;
使用自定义的全连接权重矩阵继续进行训练,将输出维度仍保持为不变,得到的新的矩阵,输出的一维数组并再次输入至Dropout层,再次防止矩阵训练过程中过拟合现象的发生;
将全连接矩阵变成1*1的矩阵获得最终结果,即预测应用的概率,设置概率N(1>N>0)作为判断待检测应用程序是勒索软件或非勒索软件的判定界限;
步骤5:安卓勒索软件与非勒索软件检测识别;对待检测Android勒索应用程序,获取其特征向量图片;将特征向量图片的numpy数组格式输入训练好的卷积神经网络CNN中,并输出是否属于勒索软件的分类结果。
CN202110783769.5A 2021-07-12 2021-07-12 一种基于卷积神经网络的Android勒索软件检测方法 Active CN113378171B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110783769.5A CN113378171B (zh) 2021-07-12 2021-07-12 一种基于卷积神经网络的Android勒索软件检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110783769.5A CN113378171B (zh) 2021-07-12 2021-07-12 一种基于卷积神经网络的Android勒索软件检测方法

Publications (2)

Publication Number Publication Date
CN113378171A CN113378171A (zh) 2021-09-10
CN113378171B true CN113378171B (zh) 2022-06-21

Family

ID=77581817

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110783769.5A Active CN113378171B (zh) 2021-07-12 2021-07-12 一种基于卷积神经网络的Android勒索软件检测方法

Country Status (1)

Country Link
CN (1) CN113378171B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105205396A (zh) * 2015-10-15 2015-12-30 上海交通大学 一种基于深度学习的安卓恶意代码检测系统及其方法
CN109753800A (zh) * 2019-01-02 2019-05-14 重庆邮电大学 融合频繁项集与随机森林算法的Android恶意应用检测方法及系统
CN110245493A (zh) * 2019-05-22 2019-09-17 中国人民公安大学 一种基于深度置信网络的Android恶意软件检测的方法
CN110472417A (zh) * 2019-08-22 2019-11-19 东北大学秦皇岛分校 基于卷积神经网络的恶意软件操作码分析方法
CN112395615A (zh) * 2020-12-23 2021-02-23 中科信息安全共性技术国家工程研究中心有限公司 一种Android恶意应用检测方法
CN112632539A (zh) * 2020-12-28 2021-04-09 西北工业大学 一种Android系统恶意软件检测中动静混合特征提取方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017011702A1 (en) * 2015-07-15 2017-01-19 Cylance Inc. Malware detection
CN107832610A (zh) * 2017-09-25 2018-03-23 暨南大学 基于组合特征模式的Android恶意软件检测方法
CN109344614B (zh) * 2018-07-23 2021-04-20 厦门大学 一种Android恶意应用在线检测方法
CN109165688A (zh) * 2018-08-28 2019-01-08 暨南大学 一种安卓恶意软件家族分类器构建方法及其分类方法
CN110704840A (zh) * 2019-09-10 2020-01-17 中国人民公安大学 一种基于卷积神经网络cnn的恶意软件检测方法
CN111400708B (zh) * 2020-03-11 2023-05-05 重庆大学 用于恶意代码检测的方法及装置
CN112182577A (zh) * 2020-10-14 2021-01-05 哈尔滨工程大学 一种基于深度学习的安卓恶意代码检测方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105205396A (zh) * 2015-10-15 2015-12-30 上海交通大学 一种基于深度学习的安卓恶意代码检测系统及其方法
CN109753800A (zh) * 2019-01-02 2019-05-14 重庆邮电大学 融合频繁项集与随机森林算法的Android恶意应用检测方法及系统
CN110245493A (zh) * 2019-05-22 2019-09-17 中国人民公安大学 一种基于深度置信网络的Android恶意软件检测的方法
CN110472417A (zh) * 2019-08-22 2019-11-19 东北大学秦皇岛分校 基于卷积神经网络的恶意软件操作码分析方法
CN112395615A (zh) * 2020-12-23 2021-02-23 中科信息安全共性技术国家工程研究中心有限公司 一种Android恶意应用检测方法
CN112632539A (zh) * 2020-12-28 2021-04-09 西北工业大学 一种Android系统恶意软件检测中动静混合特征提取方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JIAYIN FENG等."A Two-Layer Deep Learning Method for Android Malware Detection Using Network Traffic".《IEEE》.2021, *
Ning Lu等."An efficient combined deep neural network based malware detection framework in 5G environment".《Computer Networks》.2021, *

Also Published As

Publication number Publication date
CN113378171A (zh) 2021-09-10

Similar Documents

Publication Publication Date Title
Li et al. Deeppayload: Black-box backdoor attack on deep learning models through neural payload injection
Wu et al. A survey of android malware static detection technology based on machine learning
CN109614795B (zh) 一种事件感知的安卓恶意软件检测方法
Chen et al. Slam: A malware detection method based on sliding local attention mechanism
Xu et al. SoProtector: Safeguard privacy for native SO files in evolving mobile IoT applications
Xue et al. Homology analysis of malware based on ensemble learning and multifeatures
CN112688966A (zh) webshell检测方法、装置、介质和设备
Feng et al. Android malware detection via graph representation learning
Wang et al. Deep learning and regularization algorithms for malicious code classification
Warmsley et al. A survey of explainable graph neural networks for cyber malware analysis
Sun et al. Android malware detection based on feature selection and weight measurement
Si et al. Malware detection using automated generation of yara rules on dynamic features
Kuang et al. Automated data-processing function identification using deep neural network
Zheng et al. A new malware detection method based on vmcadr in cloud environments
Canbay et al. Detection of mobile applications leaking sensitive data
CN113378171B (zh) 一种基于卷积神经网络的Android勒索软件检测方法
CN116522337A (zh) 一种基于api语义的恶意软件家族无偏检测方法
CN115766090A (zh) 一种多特征融合神经网络网络安全检测方法
Wang et al. Deep learning-based multi-classification for malware detection in IoT
US20220237289A1 (en) Automated malware classification with human-readable explanations
CN111475812B (zh) 一种基于数据可执行特征的网页后门检测方法与系统
Lukas et al. Android malware detection using deep learning methods
Fang et al. Research on Multi-model Android Malicious Application Detection Based on Feature Fusion
Raza et al. TL‐GNN: Android Malware Detection Using Transfer Learning
Tian et al. Bbreglocator: A vulnerability detection system based on bounding box regression

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant