申请/专利权人：华中科技大学

申请日：2020-12-31

公开（公告）日：2024-04-09

公开（公告）号：CN112749391B

主分类号：G06F21/56

分类号：G06F21/56;G06N3/0464;G06N3/08

优先权：

专利状态码：有效-授权

法律状态：2024.04.09#授权;2021.05.21#实质审查的生效;2021.05.04#公开

摘要：本发明公开了一种恶意软件对抗样本的检测方法、装置和电子设备，属于安卓软件生态领域，所述包括：S1：从各个正常APK样本中提取多粒度函数调用图；S2：基于正常APK样本为每个粒度的函数调用图训练对应的变分图自编码器，变分图自编码器包括编码器和解码器；S3：利用变分图自编码器为每个粒度构造对抗样本检测模型；对抗样本检测模型用于从各个粒度学习APP正常样本的数据分布；S4：将检测样本输入训练完成后对抗样本检测模型，根据编码器输出的隐变量以及解码器对应的重构结果判断检测结果。本发明利用正常样本进行对抗样本检测模型训练，将一个粒度的恶意软件检测提升为多个粒度的恶意软件检测，能够提高恶意软件检测准确性。

主权项：1.一种恶意软件对抗样本的检测方法，其特征在于，包括：S1：从各个正常APK样本中提取多粒度函数调用图，多粒度函数调用图对应的粒度包括：Family、Class、Package和Function；每个粒度的函数调用图包括节点信息和边信息；S2：基于所述正常APK样本为每个粒度的函数调用图训练对应的变分图自编码器，所述变分图自编码器包括编码器和解码器；S3：利用所述变分图自编码器为每个粒度构造对抗样本检测模型；所述对抗样本检测模型用于从各个粒度学习APP正常样本的数据分布；S4：将检测样本输入训练完成后对抗样本检测模型，根据所述编码器输出的隐变量以及所述解码器输出的重构结果判断检测结果；所述S1包括：S101：将所述正常APK样本对应的原始文件通过反编译工具生成smali文件；S102：从所述smali文件中提取函数调用关系形成每个粒度的函数调用图；所述S102包括：利用Family、Class、Package和Function四个维度从所述smali文件中提取函数调用关系并表征所述多粒度函数调用图，分别表示为Gfunction、Gclass、Gpackage和Gfamily；利用one-hot编码表示各个粒度的函数调用图中的每个节点；节点信息反映每个节点的语义信息；两个节点之间的边对应的边信息反映函数调用图的拓扑关系，对应APK中各函数之间的调用关系；所述S2包括：将所述正常APK样本对应的每个粒度的函数调用图输入所述变分图自编码器对应的编码器，以使所述编码器输出高斯分布对应的特征矩阵；所述编码器是基于图卷积神经网络GCN建立的；将所述特征矩阵输入解码器，从生成的高斯分布中采样得到隐变量，再利用内积操作进行解码进行样本重构；所述高斯分布的均值μ和方差σ为： X为输入一个粒度的语义特征图的特征矩阵，A为邻接矩阵，D为度矩阵，ReLU为激活函数，均值和方差的生成过程共用W0参数；所述利用内积操作进行解码进行样本重构得到的重构邻接矩阵，记为：ε～N0，1；所述对抗样本检测模型的损失函数定义为：L＝-EqZ|X，A[logpA|Z]+KL[qZ|X，A|pZ]；qZ|X,A为GCN计算出的分布，pZ为标准高斯分布，EqZ|X,A为解码器生成A的期望，KL[qZ|X,A|pZ]为解码器生成的分布和标准高斯分布的KL散度；所述S4包括：S401：将检测样本输入训练完成后对抗样本检测模型以使所述编码器输出隐变量，将所述隐变量的均值和方差与正态分布进行比较获取所述检测结果；S402：将检测样本输入训练完成后对抗样本检测模型，将所述对抗样本检测模型输出的重构结果与所述检测样本进行对比；当输入检测样本至所述对抗样本检测模型时，所述重构结果与所述样本差异大于预设值则表示样本重构失败，即该样本为对抗样本；所述重构结果与所述样本差异小于或等于所述预设值，表示样本重构成功，即该样本为正常样本；所述S401包括：针对各个粒度，将一个粒度对应的所述重构结果与所述检测样本进行对比得到第一测试结果，所述第一测试结果为： i＝{function，class，package，family}；利用编码器输出分布与标准正态分布的差异得到第二测试结果，所述第二测试结果为： i＝{function，class，package，family}；将所述第一测试结果与所述第二测试结果进行或运算得到该粒度对应的检测结果，i＝{function，class，package，family}；其中，sign为符号函数，Gi代表某种粒度的图数据，Gi′代表某种粒度的重构图数据，thr1和thr2代表预先设定的阈值；将各个粒度对应的检测结果rfunction、rclass、rpackage和rfamily进行或运算得到所述检测结果r。

全文数据：

权利要求：

百度查询： 华中科技大学 一种恶意软件对抗样本的检测方法、装置和电子设备

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD