張海艦

摘 要設計了一個基于深度學習技術的惡意應用程序檢測系統(tǒng)。該系統(tǒng)的實現(xiàn)主要由三大部分組成：安全與惡意APK代碼特征的提取模塊、深度學習模型的“訓練”模塊、深度學習模型檢測未知APK樣本模塊。系統(tǒng)協(xié)助設備用戶有效應對大數(shù)據人工智能時代的惡意入侵威脅和個人隱私信息泄露威脅。

【關鍵詞】Andriod系統(tǒng) APK 深度學習 大數(shù)據人工智能

深度學習（Deep Learning），作為一種實現(xiàn)人工智能（AI）的強大技術，經過近期的飛速發(fā)展，已經在手寫識別、維數(shù)約簡、語音識別、圖像理解、機器翻譯、蛋白結構預測和情感識別等各個方面獲得了廣泛的應用，因屢屢打破記錄的測評結果而受到社會和科技前沿的高度關注。然而隨著移動互聯(lián)網（Mobile Internet）和物聯(lián)網（Internet of Things）等信息產業(yè)技術的蓬勃發(fā)展，基于Andriod平臺的移動智能設備數(shù)量和用戶數(shù)據流量呈指數(shù)爆炸式增長。因而大數(shù)據人工智能時代的信息安全問題將會是我們人類面臨的重大挑戰(zhàn)。為應對艱難挑戰(zhàn)，本文將人工智能時代的大數(shù)據背景與擅長大數(shù)據處理的前沿科技——深度學習，創(chuàng)新性的結合在一起，突破傳統(tǒng)算法效率低的技術屏障，且從理論上取得了可行性證明，實際驗證也獲得了較好的檢測效果。

1 系統(tǒng)實現(xiàn)原理

深度學習檢測系統(tǒng)在原理上由三大模塊構成：安全與惡意APK代碼特征的提取模塊、深度學習模型的“訓練”模塊、深度學習模型檢測未知APK樣本模塊。如圖1所示。

2 APK特征數(shù)據提取模塊

本文使用靜態(tài)代碼特征分析來提取特征集。原理圖如圖2所示。

2.1 APK代碼反編譯與指令特征分析

在特征描述階段，靜態(tài)代碼分析獲取各個應用程序Dalivk指令的N-Gram序列的統(tǒng)計數(shù)據。

2.2 統(tǒng)計處理模塊

使用 Python語言編寫代碼對靜態(tài)分析獲得的特征集合進行統(tǒng)一處理為CSV格式。然后將特征數(shù)據轉為成卷積神經網絡擅長識別處理的樣本特征矩陣。

3 深度學習模型“訓練”模塊

卷積神經網絡的感知原理類似于視覺系統(tǒng)的作用原理，針對二維形狀的識別而設計的一種多層感知器，局部連接，權值共享。在Matlab環(huán)境下開發(fā)編寫了cnn.m、fcnn.m、deep_Learning.m等多個卷積神經網絡算法文件來對樣本特征矩陣進行訓練。

原理框圖如圖3所示。

4 深度學習模型檢測未知APK樣本模塊

從Google play上批量下載未參與訓練深度神經網絡的Andriod應用程序，然后對其APK執(zhí)行系統(tǒng)步驟，得到未知樣本APK的相關預測報告。得到了較好預測效果。

5 結束語

本文采用靜態(tài)代碼分析技術提取Android應用的多類行為特征數(shù)據，然后將特征數(shù)據創(chuàng)新性地轉化為樣本特征矩陣（Sample Matrix），并創(chuàng)作OPNG技術以提高細粒度，彌補了一般靜態(tài)代碼分析的缺點。另一方面本文突破了傳統(tǒng)分類算法在面對大數(shù)據時的局限性和低效率性、同類型特征在Android惡意行為檢測中所起的不同作用等諸多復雜的難題，極大地提高了算法分類判性的可靠性。本文中采用了11126個惡意APK樣本和22002個非惡意APK樣本進行訓練，2000個未參與“訓練”的APK樣本進行準確率測試。實驗結果表明，本作品在準確率和執(zhí)行效率上表現(xiàn)良好。下一步工作主要分為兩大部分：

（1）將研究基于更多類型行為特征的深度學習算法，并對深度學習算法結合云計算實現(xiàn)更快速的處理，進一步完善系統(tǒng)。

（2）將整體檢測模型使用java開發(fā)語言重新搭建，將目前的檢測系統(tǒng)植入便于操作的pc端應用程序之中。

參考文獻

[1]彭國軍，李晶雯等.Android惡意軟件檢測研究與進展[D].武漢大學計算機學院，2015（01）：003.

[2]張福勇.基于n-gram詞頻的惡意代碼特征提取方法[D].江蘇生物工程學院，2012

作者單位

空軍預警學院 湖北省武漢市 430019