基於安卓系統惡意軟件檢測的多模式深度學習
一 .課題引入
(1)背景:安卓系統允許用戶從第三方市場下載應用程序,攻擊者可以引誘或者誘導安卓用戶從攻擊者服務器上下載惡意的或者可疑的應用程序
(2)研究具體方式:通過生成特徵向量的方法,通過對樣本的特徵分析已達到識別是良性軟件還是惡意軟件
二.基本框架
A.原始數據的特徵提取
(1)原始數據在提取過程中是使安卓系統的安裝包文件成爲可解析
(2)爲了提取原始數據,APK文件是不能被壓縮的,而清單文件dec文件和共享庫文件是首先被提取的
(3)清單文件和dex文件可以由APKtool解碼或者反彙編,包中的共享庫文件可由IDA pro反彙編
B.特徵提取過程
主要的特徵:
1)方法操作碼特徵
2)方法API特徵
3)功能共享庫操作碼特徵
4)字符串特徵
5)權限特徵
6)組件特徵
7)環境特徵
注意:在訪問XML樹節點時,將檢查每個節點的標記,以確認該節點是否包含有關權限、應用程序組件等信息
C.特徵向量的生成
(1)基於存在性特徵向量
(2)基於相似性特徵向量
特徵向量生成算法:
D.檢測環節
三.多模式神經網絡
規範化:
過度訓練是神經網絡模型的主要問題之一,若一個神經網絡模型被一個特定的訓練集所過度使用,那麼該神經網絡模型不能被正常使用來分類
在神經網絡模型中我們引入了跳出技術(所謂的跳出技術,就是在神經網絡訓練的過程中隨機跳過一些單元)
跳出技術:
在固定概率的狀態下,網絡中一些傳入和傳出的連接點被刪除,這使得模型不再過於依賴一組特定的單位以及相關的權重和偏差
神經網絡學習的策略:
通常情況下,我們無法獲取多模態的特徵,但是我們只需使用所有類型特徵的應用程序或者將零填充到特徵向量,就可以構建多模態神經網絡
(1)學習每一個特定特徵類型的初始神經網絡
(2)用先建立的初始網絡學習最終的神經網絡