一种恶意应用程序检测方法、系统及电子设备
摘要文本
本发明公开一种恶意应用程序检测方法、系统及电子设备,涉及应用程序检测技术领域,方法包括:基于应用程序数据集构建网络流量数据集和系统调用数据集;对网络流量数据集中各样本数据进行特征提取得到混合特征;采用混合特征对机器学习模型进行训练得到恶意软件检测模型;对系统调用数据集中各系统调用样本文件进行系统调用函数去冗余操作并划分为多个子序列;采用马尔科夫链提取各系统调用样本文件的系统调用序列特征;采用系统调用序列特征训练循环神经网络,得到网络流量与系统调用关联模型;采用恶意软件检测模型和网络流量与系统调用关联模型,对待检测应用程序进行恶意应用检测并确定恶意应用的系统调用序列。本发明提高了检测效率。
申请人信息
- 申请人:北京航空航天大学
- 申请人地址:100191 北京市海淀区学院路37号
- 发明人: 北京航空航天大学
专利详细信息
| 项目 | 内容 |
|---|---|
| 专利名称 | 一种恶意应用程序检测方法、系统及电子设备 |
| 专利类型 | 发明申请 |
| 申请号 | CN202311776722.1 |
| 申请日 | 2023/12/21 |
| 公告号 | CN117763547A |
| 公开日 | 2024/3/26 |
| IPC主分类号 | G06F21/56 |
| 权利人 | 北京航空航天大学 |
| 发明人 | 王天博; 樊云鹏; 杨立群; 夏春和 |
| 地址 | 北京市海淀区学院路37号 |
专利主权项内容
1.一种恶意应用程序检测方法,其特征在于,包括:采集应用程序数据集,所述应用程序数据集中各应用程序为恶意应用或者正常应用;基于所述应用程序数据集,构建网络流量数据集和系统调用数据集,所述网络流量数据集中各网络流量样本数据为所述应用程序数据集中各应用程序运行过程中产生的网络流量数据,所述系统调用数据集中各系统调用样本文件为所述应用程序数据集中各应用程序运行过程中产生的系统调用数据;对所述网络流量数据集中各网络流量样本数据进行特征提取,得到混合特征;所述混合特征为统计属性特征和语义属性特征融合后的特征;以混合特征为输入,应用程序检测结果为输出,对机器学习模型进行训练,将训练好的机器学习模型作为恶意软件检测模型,所述应用程序检测结果为恶意应用或者正常应用;对所述系统调用数据集中各系统调用样本文件进行系统调用函数去冗余操作,并将各系统调用样本文件冗余操作后的序列划分为多个子序列;基于各系统调用样本文件对应的子序列,采用马尔科夫链提取各系统调用样本文件的系统调用序列特征;以混合特征为输入,混合特征对应的系统调用序列特征为输出训练循环神经网络,将训练好的循环神经网络作为网络流量与系统调用关联模型;采用所述恶意软件检测模型和所述网络流量与系统调用关联模型,对待检测应用程序进行恶意应用检测并确定恶意应用的系统调用序列。