申请/专利权人：四川大学

申请日：2022-05-31

公开（公告）日：2024-04-05

公开（公告）号：CN115062303B

主分类号：G06F21/56

分类号：G06F21/56;G06F18/241;G06N3/0464;G06N3/048;G06N3/084;G06F40/126;G06F40/216;H04W12/128

优先权：

专利状态码：有效-授权

法律状态：2024.04.05#授权;2022.10.04#实质审查的生效;2022.09.16#公开

摘要：本发明公开了一种基于原始有效载荷和深度学习的Android恶意软件分类方法，涉及移动软件安全领域。本发明从恶意软件的PCAP文件提取每个完整的flow；将提取出的所有flows存储在一个单向循环列表中；采用基于滑动窗口的选择算法从该单向循环列表中采样N个flows作为一组以描述恶意软件的网络活动；利用文本表征方法对N个flows进行编码，以生成流量矩阵；以该流量矩阵作为卷积神经网络模型的输入，完成恶意软件分类模型的训练过程；使用建立的恶意软件分类模型，对待检测软件样本进行实时检测，输出分类结果。与其他基于特征工程的分类方法相比，本发明的分类方法具有更高的分类准确率。

主权项：1.一种基于原始有效载荷和深度学习的Android恶意软件分类方法，其特征在于，具体包括以下步骤：S1、从恶意软件的PCAP文件中提取出每个完整的flow；每个flow是由具有相同五元组的数据包的原始有效载荷字节连结而成的一个有序序列，形式化地表示为：F＝FI,FR＝{Pi＝Ii,Ri|1≤i≤u}，其中FI＝I1＝I2＝…＝Iu，Pi是第i个数据报，Ii为Pi的五元组，Ri为Pi的原始有效载荷，u为数据报的数目；S2、将S1步骤提取出的所有的flow存储在一个单向循环列表中，采用基于滑动窗口的选择算法，从该单向循环列表中采样多组N-flows；其中，N-flows表示该滑动窗口选定的N个flow作为一组以描述恶意软件的网络活动；S3、利用文本表征方法对多组N-flows分别进行编码，以生成多组流量矩阵；将每个flow看作一个文档，每个字节当作一个词汇；基于词袋模型，将每个flow表示为其字节集合；鉴于一个字节仅有256中可能取值，表示为Bj∈{0,1,…,255}；流Fi可以编码为一个256维的向量Xi；使用词频-逆文档频率技术衡量每个字节Bj在Fi中的权重，Fi最终编码如下：Xi＝{xi,1,xi,2,…,xi,j,…,xi,256}，其中，xi,j是Fi中Bj的权重，计算公式如下： 其中，bi,j是Fi中Bj出现的总次数，是Fi中所有字节出现次数的总和，dj是包含Bj的流数目；在对N个flows编码后，形成恶意软件的流量矩阵，表示如下： 其中，T代表转置，就是第N个向量的转置；S4、以流量矩阵作为卷积神经网络模型的输入，完成恶意软件分类模型的训练，得到恶意软件分类模型；S5、基于S4步骤得到的恶意软件分类模型，采用集成策略预测恶意软件的家族；具体的，将待测恶意软件生成对应的流量矩阵集{Mz|1≤z≤m}，其中，Mz表示第z个流量矩阵，m表示该待测恶意软件生成的流量矩阵数量；利用S4步骤得到的恶意软件分类模型得到第z个流量矩阵的预测结果pz＝pz1,…,pzv,…,ppw；按照家族类别下标v对流量矩阵集的m个预测结果求平均值，均值最大的类别作为该待测样本的最终分类结果，计算公式如下： 其中，C是家族类别集合，v∈{1,2,…,w}，w是家族类别数。

全文数据：

权利要求：

百度查询： 四川大学 基于原始有效载荷和深度学习的Android恶意软件分类方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD