申请/专利权人：山东省计算中心(国家超级计算济南中心);齐鲁工业大学(山东省科学院)

申请日：2024-04-12

公开（公告）日：2024-07-05

公开（公告）号：CN118036006B

主分类号：G06F21/56

分类号：G06F21/56;G06F18/213;G06F18/241;G06N3/0442;G06N3/08

优先权：

专利状态码：有效-授权

法律状态：2024.07.05#授权;2024.05.31#实质审查的生效;2024.05.14#公开

摘要：本发明提供了一种基于敏感API的恶意软件检测方法、系统、设备及介质，其属于软件检测技术领域，包括：对待检测的APK文件进行反编译，并从中提取API调用图、操作码以及包名；对API调用图中的每个节点进行分类，获得内部调用节点和外部调用节点；其中，对于内部调用节点采用操作码进行特征表示，外部调用节点采用API所在的包名进行特征表示；基于预设敏感API数据集，获取满足预设要求的若干敏感API，并基于所述若干敏感API对分类后的API调用图中的节点进行重要性标记，获得增强后的API调用图；将所述增强后的API调用图输入预先训练的基于深度学习的安卓恶意软件检测模型中，获得检测结果。

主权项：1.一种基于敏感API的恶意软件检测方法，其特征在于，包括：对待检测的APK文件进行反编译，并从中提取API调用图、操作码以及包名；对API调用图中的每个节点进行分类，获得内部调用节点和外部调用节点；其中，对于内部调用节点采用操作码进行特征表示，所述操作码为Dalvik虚拟机指令集的基本元素，将操作码进一步聚类成若干个功能组用于降低数据维度，捕捉更具代表性的执行模式；对于内部调用节点的处理过程为：当遍历调用图节点时，如果节点不是外部调用节点，则通过分析节点所代表的方法内部指令，并将其归类到不同的操作码组别中，随后将这些操作码组别的ID转化为二进制向量并存入特征向量的"user"部分；具体的，对于调用图的每个节点都通过相同长度的特征向量进行表述，每个特征向量中包含三个部分，即"api"、"user"和"sensitive"；每个向量长度都为447，即21位操作码标识+226位包名标识+200位敏感API标识，初始值为447个0向量，当节点判断为外部或者内部时，相应的特征向量部分置为1；外部调用节点采用API所在的包名进行特征表示；所述包名在公用规范中总结为226个，对于一个调用java.lang.String.length的外部API节点，将其映射到APItrie树中的java.lang包名索引位置，从而转化为特定包名的特征向量，以此提升分析模型的实用性与泛化能力；基于预设敏感API数据集，获取满足预设要求的若干敏感API，并基于所述若干敏感API对分类后的API调用图中的节点进行重要性标记，获得增强后的API调用图；将所述增强后的API调用图输入预先训练的基于深度学习的安卓恶意软件检测模型中，获得检测结果。

全文数据：

权利要求：

百度查询： 山东省计算中心(国家超级计算济南中心) 齐鲁工业大学(山东省科学院) 基于敏感API的恶意软件检测方法、系统、设备及介质

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD