CN115630364A - 基于多维度可视化分析的Android恶意软件检测方法及系统 - Google Patents

基于多维度可视化分析的Android恶意软件检测方法及系统 Download PDF

Info

Publication number
CN115630364A
CN115630364A CN202211215245.7A CN202211215245A CN115630364A CN 115630364 A CN115630364 A CN 115630364A CN 202211215245 A CN202211215245 A CN 202211215245A CN 115630364 A CN115630364 A CN 115630364A
Authority
CN
China
Prior art keywords
module
convolution
android
rgb image
malicious software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211215245.7A
Other languages
English (en)
Inventor
叶根超
贺子宸
石玉江
栗刚
张琴
陶袁凤霞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial Bank Co Ltd
CIB Fintech Services Shanghai Co Ltd
Original Assignee
Industrial Bank Co Ltd
CIB Fintech Services Shanghai Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial Bank Co Ltd, CIB Fintech Services Shanghai Co Ltd filed Critical Industrial Bank Co Ltd
Priority to CN202211215245.7A priority Critical patent/CN115630364A/zh
Publication of CN115630364A publication Critical patent/CN115630364A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/764Arrangements for image or video recognition or understanding using pattern recognition or machine learning using classification, e.g. of video objects
    • G06V10/765Arrangements for image or video recognition or understanding using pattern recognition or machine learning using classification, e.g. of video objects using rules for classification or partitioning the feature space
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/77Processing image or video features in feature spaces; using data integration or data reduction, e.g. principal component analysis [PCA] or independent component analysis [ICA] or self-organising maps [SOM]; Blind source separation
    • G06V10/774Generating sets of training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/82Arrangements for image or video recognition or understanding using pattern recognition or machine learning using neural networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • Virology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Molecular Biology (AREA)
  • Mathematical Physics (AREA)
  • Image Analysis (AREA)

Abstract

本发明提供了一种基于多维度可视化分析的Android恶意软件检测方法及系统,包括:通过挑选Android应用程序安装包Apk文件中的三种特征文件;将其转化为二进制序列并分别映射在RGB图像的三个通道中;RGB图像传入轻量型卷积神经网络进行训练,生成检测模型。该方法预处理简单,避免了传统静态分析冗余的逆向工程以及动态分析较大的开销,所生成的RGB图像不同文件的纹理特征相互映射,每一个像素点所涵盖的特征信息更全面,图像可解释性强。本方法既能提高检测效率,也能保持较高准确率。

Description

基于多维度可视化分析的Android恶意软件检测方法及系统
技术领域
本发明涉及网络安全技术领域,具体地,涉及一种基于多维度可视化分析的Android恶意软件检测方法及系统。
背景技术
随着网络的快速发展,大规模恶意软件的自动化攻击已经成为网络攻击的主要形式。这不仅给普通用户带来了极大的困扰,同时也给企业与政府部门带来了不可小觑的损失。各种各样的软件面市,其中也有很多恶意软件威胁着用户的隐私安全。而Android操作系统作为目前国内最流行的移动操作系统,拥有广大的用户群,同时,Android操作系统是一种开源的操作系统,开发人员可以将应用程序直接上传到市场供用户使用而无需经过任何审查。这也意味着更多的用户面临着恶意软件的威胁。
目前恶意软件检测方法主要包含静态分析和动态检测技术,静态分析主要是利用程序自身的静态结构、代码来判断其是否具有恶意性,其中涉及反编译、静态系统调用、逆向分析和模式匹配等相关技术。虽然静态方法可以准确地捕捉到恶意软件的静态特征,但是由于特征类型单一,混淆或加壳等技术可以让恶意软件逃过检测,使得检测效果下降。而动态检测主要是通过手机监视程序来对恶意行为进行检测监视。但是,动态分析需要恶意软件完整运行,再进行判断,所以恶意软件的检测时效性较差。更重要的是,攻击者能够让恶意软件避开检测软件的检测。
专利文献CN111523117A公开了一种安卓恶意软件检测和恶意代码定位系统及方法,其实现方案为:将正常和恶意样本作为原始数据,使用Androguard提取应用指令字节码,通过静态提取的方式模拟程序在运行时可能出现的API序列,构造API序列数据集,之后基于深度学习模型训练出用于恶意软件检测的分类器,实现恶意软件自动检测,同时引入注意力机制,对于被检测为恶意的应用,定位其中的恶意代码段,最终以分析报告的形式输出。
但是,随着恶意软件的数量剧增,类型也逐渐变得多样和复杂,现有的恶意软件检测技术显得效率不足。传统的Android恶意软件静态分析需要进行反编译、逆向工程,操作繁琐且容易受到代码混淆技术或加密技术的干扰,静态分析检测结果不准确;动态分析需要在安全虚拟环境中重复执行代码,耗时且占用大量内存资源。因此研究者需要更多样的检测技术来应对恶意软件难以预测的变种和日益庞大的数量。
发明内容
针对现有技术中的缺陷,本发明的目的是提供一种基于多维度可视化分析的Android恶意软件检测方法及系统。
根据本发明提供的一种基于多维度可视化分析的Android恶意软件检测方法,包括:
步骤S1:构建Android软件数据库;
步骤S2:从所述数据库中提取特征文件;
步骤S3:对所述特征文件进行可视化预处理,生成RGB图像;
步骤S4:将所述RGB图像传入轻量型卷积神经网络进行训练,生成检测模型;
步骤S5:判断所述检测模型的检测效果是否达标,若是,则分类出恶意软件或者判定恶意软件的家族属性;若否,则触发步骤S4。
优选地,所述Android软件数据库包括:良性软件和恶意软件的apk安装包;
所述特征文件包括多个文件。
优选地,步骤S3包括:
步骤S3.1:将提取的特征文件分别生成二进制序列;
步骤S3.2:对比所述二进制序列的序列长度并将所有的序列长度补充为同长度;
步骤S3.3:将所述二进制序列分别切割为8位二进制为单个元素的数组;
步骤S3.4:将所述数组中的单个元素分别十进制化,生成对应的十进制元素;
步骤S3.5:将所述十进制元素一一对应像素点映射为RGB图像中对应的通道;
步骤S3.6:将所述通道合并生成完整的RGB图像。
优选地,所述轻量型卷积神经网络使用深度可分离卷积,包括:逐通道卷积、逐点卷积;
深度可分离卷积的参数数量和计算量为标准卷积的
Figure BDA0003876481900000021
计算公式分别如下:
Figure BDA0003876481900000031
Figure BDA0003876481900000032
其中,P1、P2分别表示深度可分离卷积、标准卷积的参数数量,C1、C2分别表示深度可分离卷积、标准卷积的计算量,Dk×Dk表示卷积核尺寸,DF×DF表示特征图尺寸,M、N分别表示输入通道和输出通道的个数。
优选地,步骤S4包括:
步骤S4.1:将RGB图像切割为设定尺寸的图像,得到恶意软件特征图像数据集;
步骤S4.2:将所述数据分成训练集和测试集,并进行标注;
步骤S4.3:将所述训练集传入轻量型卷积神经网络进行训练并与测试集测试,得到检测模型。
根据本发明提供的一种基于多维度可视化分析的Android恶意软件检测系统,包括:
模块M1:构建Android软件数据库;
模块M2:从所述数据库中提取特征文件;
模块M3:对所述特征文件进行可视化预处理,生成RGB图像;
模块M4:将所述RGB图像传入轻量型卷积神经网络进行训练,生成检测模型;
模块M5:判断所述检测模型的检测效果是否达标,若是,则分类出恶意软件或者判定恶意软件的家族属性;若否,则触发模块M4。
优选地,所述Android软件数据库包括:良性软件和恶意软件的apk安装包;
所述特征文件包括多个文件。
优选地,模块M3包括:
模块M3.1:将提取的特征文件分别生成二进制序列;
模块M3.2:对比所述二进制序列的序列长度并将所有的序列长度补充为同长度;
模块M3.3:将所述二进制序列分别切割为8位二进制为单个元素的数组;
模块M3.4:将所述数组中的单个元素分别十进制化,生成对应的十进制元素;
模块M3.5:将所述十进制元素一一对应像素点映射为RGB图像中对应的通道;
模块M3.6:将所述通道合并生成完整的RGB图像。
优选地,所述轻量型卷积神经网络使用深度可分离卷积,包括:逐通道卷积、逐点卷积;
深度可分离卷积的参数数量和计算量为标准卷积的
Figure BDA0003876481900000041
计算公式分别如下:
Figure BDA0003876481900000042
Figure BDA0003876481900000043
其中,P1、P2分别表示深度可分离卷积、标准卷积的参数数量,C1、C2分别表示深度可分离卷积、标准卷积的计算量,Dk×Dk表示卷积核尺寸,DF×DF表示特征图尺寸,M、N分别表示输入通道和输出通道的个数。
优选地,模块M4包括:
模块M4.1:将RGB图像切割为设定尺寸的图像,得到恶意软件特征图像数据集;
模块M4.2:将所述数据分成训练集和测试集,并进行标注;
模块M4.3:将所述训练集传入轻量型卷积神经网络进行训练并与测试集测试,得到检测模型。
与现有技术相比,本发明具有如下的有益效果:
1、本发明的可视化预处理虽然简单,但是避免了传统静态分析冗余的逆向工程以及动态分析较大的开销,同时,所生成的RGB图像不同文件的纹理特征相互映射,每一个像素点所涵盖的特征信息更全面,图像可解释性强。
2、本发明通过RGB图像传入轻量型卷积神经网络进行训练,减少了内存占比,提高训练速度。
3、本发明通过采用Apk文件预处理、二进制文件图像化、训练深度学习模型进而检测恶意软件,避免了逆向工程和代码执行,有效地提高了检测效率,也能保证检测结果的准确率。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明的流程示意图。
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
本发明以Android应用安装包Apk文件为主要检测对象,通过采用Apk文件预处理、二进制文件图像化、训练深度学习模型三个步骤,从而实现高效地Android恶意软件检测。
根据本发明提供的一种基于多维度可视化分析的Android恶意软件检测方法,如图1所示,包括:
步骤S1:构建Android软件数据库;Android软件数据库包括:良性软件和恶意软件的apk安装包。
步骤S2:从所述数据库中提取特征文件;所述特征文件包括多个文件。具体地,可以采用python中的zip、os带有的函数批量提取apk安装包中的特征文件,该特征文件包括:apk安装包中的classes.dex、resources.arsc、AndroidManifest.xml文件,将三个特征文件存储在一个文件夹下。
步骤S3:对所述特征文件进行可视化预处理,生成RGB图像。
具体地,首先,将提取的特征文件分别生成二进制序列;读取classes.dex文件,生成二进制序列;读取resources.arsc文件,生成二进制序列;读取AndroidManifest.xml文件,通过python实现二进制化,生成二进制序列。然后,对比所述二进制序列的序列长度,以最长序列为标准,对其他两条进行末尾补零,实现三条序列同长度;接着,将所述二进制序列分别切割为8位二进制为单个元素的数组,将数组中的每个8位二进制元素十进制化,生成对应的十进制元素;以classes.dex文件为例,切割classes.dex文件所生成的序列生成8位二进制为单个元素的数组,将数组中的每个8位二进制元素十进制化,生成取值范围为(0,255)的十进制元素,以数组中的每一个元素对应一个像素点,映射为RGB图像中的R通道;同样地,切割resources.arsc文件所生成的序列映射为RGB图像中的G通道、切割AndroidManifest.xml文件所生成的序列映射为RGB图像中的B通道。最后,将所述通道合并生成完整的RGB图像,可以利用python PIL库,依次将数组索引相同的十进制元素合并成一个数组放入列表,最终合并R、G、B三通道生成完整的特征图像。
步骤S4:将所述RGB图像传入轻量型卷积神经网络进行训练,生成检测模型。
具体地,将RGB图像切割为设定尺寸的图像,该设定尺寸例如224×224尺寸的图像,得到Android恶意软件特征图像数据集;将得到的Android恶意软件特征图像数据集随机分成训练集和测试集,并进行标注;然后把训练集传入MobileNet V2网络模型进行训练;在通过测试集测试后,得到检测模型,该检测模型是识别准确率在95%-99%之间的网络模型。
其中,轻量型卷积神经网络模型MobileNet V2使用深度可分离卷积,包括:逐通道卷积、逐点卷积;具体地,在云服务器采用tensorflow 2.1神经网络框架搭建轻量型卷积神经网络MobileNet V2;MobileNet V2使用深度可分离卷积,由逐通道卷积(DepthwiseConvolution,DW)和逐点卷积(Pointwise Convolution,PW)所构成,该卷积能极大地减少参数数量和计算量,约为标准卷积的
Figure BDA0003876481900000061
减少内存占比,提高训练速度。计算公式分别如下:
Figure BDA0003876481900000062
Figure BDA0003876481900000063
其中,P1、P2分别表示深度可分离卷积、标准卷积的参数数量,C1、C2分别表示深度可分离卷积、标准卷积的计算量,Dk×Dk表示卷积核尺寸,DF×DF表示特征图尺寸,M、N分别表示输入通道和输出通道的个数。
步骤S5:判断所述检测模型的检测效果是否达标,若是,则分类出恶意软件或者判定恶意软件的家族属性;若否,则触发步骤S4。从网络中收集未知Android软件,使用识别模型进行检测,判断该软件是否为恶意软件或者判定恶意软件的家族属性。
实施例二
本发明还提供了一种基于多维度可视化分析的Android恶意软件检测系统,本领域技术人员可以通过执行所述基于多维度可视化分析的Android恶意软件检测方法的步骤流程实现所述基于多维度可视化分析的Android恶意软件检测系统,即可以将所述基于多维度可视化分析的Android恶意软件检测方法理解为所述基于多维度可视化分析的Android恶意软件检测系统的优选实施方式。
根据本发明提供的一种基于多维度可视化分析的Android恶意软件检测系统,包括:
模块M1:构建Android软件数据库;所述Android软件数据库包括:良性软件和恶意软件的apk安装包。
模块M2:从所述数据库中提取特征文件;所述特征文件包括多个文件。
模块M3:对所述特征文件进行可视化预处理,生成RGB图像;模块M3包括:模块M3.1:将提取的特征文件分别生成二进制序列;模块M3.2:对比所述二进制序列的序列长度并将所有的序列长度补充为同长度;模块M3.3:将所述二进制序列分别切割为8位二进制为单个元素的数组;模块M3.4:将所述数组中的单个元素分别十进制化,生成对应的十进制元素;模块M3.5:将所述十进制元素一一对应像素点映射为RGB图像中对应的通道;模块M3.6:将所述通道合并生成完整的RGB图像。
模块M4:将所述RGB图像传入轻量型卷积神经网络进行训练,生成检测模型;所述轻量型卷积神经网络使用深度可分离卷积,包括:逐通道卷积、逐点卷积;
深度可分离卷积的参数数量和计算量为标准卷积的
Figure BDA0003876481900000071
计算公式分别如下:
Figure BDA0003876481900000072
Figure BDA0003876481900000073
其中,P1、P2分别表示深度可分离卷积、标准卷积的参数数量,C1、C2分别表示深度可分离卷积、标准卷积的计算量,Dk×Dk表示卷积核尺寸,DF×DF表示特征图尺寸,M、N分别表示输入通道和输出通道的个数。
模块M4包括:模块M4.1:将RGB图像切割为设定尺寸的图像,得到恶意软件特征图像数据集;模块M4.2:将所述数据分成训练集和测试集,并进行标注;模块M4.3:将所述训练集传入轻量型卷积神经网络进行训练并与测试集测试,得到检测模型。
模块M5:判断所述检测模型的检测效果是否达标,若是,则分类出恶意软件或者判定恶意软件的家族属性;若否,则触发模块M4。
本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的系统、装置及其各个模块以外,完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统、装置及其各个模块以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同程序。所以,本发明提供的系统、装置及其各个模块可以被认为是一种硬件部件,而对其内包括的用于实现各种程序的模块也可以视为硬件部件内的结构;也可以将用于实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变化或修改,这并不影响本发明的实质内容。在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。

Claims (10)

1.一种基于多维度可视化分析的Android恶意软件检测方法,其特征在于,包括:
步骤S1:构建Android软件数据库;
步骤S2:从所述数据库中提取特征文件;
步骤S3:对所述特征文件进行可视化预处理,生成RGB图像;
步骤S4:将所述RGB图像传入轻量型卷积神经网络进行训练,生成检测模型;
步骤S5:判断所述检测模型的检测效果是否达标,若是,则分类出恶意软件或者判定恶意软件的家族属性;若否,则触发步骤S4。
2.根据权利要求1所述的基于多维度可视化分析的Android恶意软件检测方法,其特征在于,所述Android软件数据库包括:良性软件和恶意软件的apk安装包;
所述特征文件包括多个文件。
3.根据权利要求1所述的基于多维度可视化分析的Android恶意软件检测方法,其特征在于,步骤S3包括:
步骤S3.1:将提取的特征文件分别生成二进制序列;
步骤S3.2:对比所述二进制序列的序列长度并将所有的序列长度补充为同长度;
步骤S3.3:将所述二进制序列分别切割为8位二进制为单个元素的数组;
步骤S3.4:将所述数组中的单个元素分别十进制化,生成对应的十进制元素;
步骤S3.5:将所述十进制元素一一对应像素点映射为RGB图像中对应的通道;
步骤S3.6:将所述通道合并生成完整的RGB图像。
4.根据权利要求1所述的基于多维度可视化分析的Android恶意软件检测方法,其特征在于,所述轻量型卷积神经网络使用深度可分离卷积,包括:逐通道卷积、逐点卷积;
深度可分离卷积的参数数量和计算量为标准卷积的
Figure FDA0003876481890000011
计算公式分别如下:
Figure FDA0003876481890000012
Figure FDA0003876481890000013
其中,P1、P2分别表示深度可分离卷积、标准卷积的参数数量,C1、C2分别表示深度可分离卷积、标准卷积的计算量,Dk×Dk表示卷积核尺寸,DF×DF表示特征图尺寸,M、N分别表示输入通道和输出通道的个数。
5.根据权利要求4所述的基于多维度可视化分析的Android恶意软件检测方法,其特征在于,步骤S4包括:
步骤S4.1:将RGB图像切割为设定尺寸的图像,得到恶意软件特征图像数据集;
步骤S4.2:将所述数据分成训练集和测试集,并进行标注;
步骤S4.3:将所述训练集传入轻量型卷积神经网络进行训练并与测试集测试,得到检测模型。
6.一种基于多维度可视化分析的Android恶意软件检测系统,其特征在于,包括:
模块M1:数据仓库模块,构建Android软件数据库;
模块M2:特征预处理模块,从所述数据库中提取特征文件;
模块M3:图像化模块,对所述特征文件进行可视化预处理,生成RGB图像;
模块M4:检测模型模块,将所述RGB图像传入轻量型卷积神经网络进行训练,生成检测模型;
模块M5:判断所述检测模型的检测效果是否达标,若是,则分类出恶意软件或者判定恶意软件的家族属性;若否,则触发模块M4。
7.根据权利要求6所述的基于多维度可视化分析的Android恶意软件检测系统,其特征在于,所述Android软件数据库包括:良性软件和恶意软件的apk安装包;
所述特征文件包括多个文件。
8.根据权利要求6所述的基于多维度可视化分析的Android恶意软件检测系统,其特征在于,模块M3包括:
模块M3.1:将提取的特征文件分别生成二进制序列;
模块M3.2:对比所述二进制序列的序列长度并将所有的序列长度补充为同长度;
模块M3.3:将所述二进制序列分别切割为8位二进制为单个元素的数组;
模块M3.4:将所述数组中的单个元素分别十进制化,生成对应的十进制元素;
模块M3.5:将所述十进制元素一一对应像素点映射为RGB图像中对应的通道;
模块M3.6:将所述通道合并生成完整的RGB图像。
9.根据权利要求6所述的基于多维度可视化分析的Android恶意软件检测系统,其特征在于,所述轻量型卷积神经网络使用深度可分离卷积,包括:逐通道卷积、逐点卷积;
深度可分离卷积的参数数量和计算量为标准卷积的
Figure FDA0003876481890000031
计算公式分别如下:
Figure FDA0003876481890000032
Figure FDA0003876481890000033
其中,P1、P2分别表示深度可分离卷积、标准卷积的参数数量,C1、C2分别表示深度可分离卷积、标准卷积的计算量,Dk×Dk表示卷积核尺寸,DF×DF表示特征图尺寸,M、N分别表示输入通道和输出通道的个数。
10.根据权利要求9所述的基于多维度可视化分析的Android恶意软件检测系统,其特征在于,模块M4包括:
模块M4.1:将RGB图像切割为设定尺寸的图像,得到恶意软件特征图像数据集;
模块M4.2:将所述数据分成训练集和测试集,并进行标注;
模块M4.3:将所述训练集传入轻量型卷积神经网络进行训练并与测试集测试,得到检测模型。
CN202211215245.7A 2022-09-30 2022-09-30 基于多维度可视化分析的Android恶意软件检测方法及系统 Pending CN115630364A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211215245.7A CN115630364A (zh) 2022-09-30 2022-09-30 基于多维度可视化分析的Android恶意软件检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211215245.7A CN115630364A (zh) 2022-09-30 2022-09-30 基于多维度可视化分析的Android恶意软件检测方法及系统

Publications (1)

Publication Number Publication Date
CN115630364A true CN115630364A (zh) 2023-01-20

Family

ID=84905026

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211215245.7A Pending CN115630364A (zh) 2022-09-30 2022-09-30 基于多维度可视化分析的Android恶意软件检测方法及系统

Country Status (1)

Country Link
CN (1) CN115630364A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115859290A (zh) * 2023-02-01 2023-03-28 中国人民解放军61660部队 一种基于静态特征的恶意代码检测方法和存储介质
CN117574364A (zh) * 2023-07-27 2024-02-20 广东工业大学 一种基于PSEAM-MobileNet神经网络的安卓恶意软件检测方法及系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115859290A (zh) * 2023-02-01 2023-03-28 中国人民解放军61660部队 一种基于静态特征的恶意代码检测方法和存储介质
CN117574364A (zh) * 2023-07-27 2024-02-20 广东工业大学 一种基于PSEAM-MobileNet神经网络的安卓恶意软件检测方法及系统
CN117574364B (zh) * 2023-07-27 2024-05-10 广东工业大学 一种基于PSEAM-MobileNet神经网络的安卓恶意软件检测方法及系统

Similar Documents

Publication Publication Date Title
EP4058916B1 (en) Detecting unknown malicious content in computer systems
CN112003870B (zh) 一种基于深度学习的网络加密流量识别方法及装置
CN115630364A (zh) 基于多维度可视化分析的Android恶意软件检测方法及系统
CN110443274B (zh) 异常检测方法、装置、计算机设备及存储介质
CN110765458A (zh) 一种基于深度学习的恶意软件检测方法及其装置
CN113935033B (zh) 特征融合的恶意代码家族分类方法、装置和存储介质
CN108563951B (zh) 病毒检测方法及装置
CN116915442A (zh) 漏洞测试方法、装置、设备和介质
Yeoh et al. A parallelizable chaos-based true random number generator based on mobile device cameras for the Android platform
Yujie et al. End-to-end android malware classification based on pure traffic images
Tang et al. Android malware detection based on a novel mixed bytecode image combined with attention mechanism
WO2020233322A1 (zh) 一种基于描述熵的大数据移动软件相似性智能检测方法
CN113420295A (zh) 恶意软件的检测方法及装置
US20240129329A1 (en) Method and apparatus for testing a malware detection machine learning model
Hoang Khoa et al. Detect Android malware by using deep learning: experiment and evaluation
CN111797395A (zh) 恶意代码可视化及变种检测方法、装置、设备及存储介质
CN116524357A (zh) 高压线路鸟巢检测方法、模型训练方法、装置及设备
CN113553586B (zh) 病毒检测方法、模型训练方法、装置、设备及存储介质
CN114169540A (zh) 一种基于改进机器学习的网页用户行为检测方法及系统
CN114579965A (zh) 一种恶意代码的检测方法、装置及计算机可读存储介质
CN114547606A (zh) 移动互联网操作系统第三方应用风险分析方法及系统
CN114676428A (zh) 基于动态特征的应用程序恶意行为检测方法及设备
CN114693955A (zh) 比对图像相似度的方法与装置及电子设备
Lukas et al. Android malware detection using deep learning methods
CN115438270B (zh) 设备信息智能推荐方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination