(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210144962.9 (22)申请日 2022.02.17 (71)申请人 南京航空航天大 学 地址 210016 江苏省南京市秦淮区御道街 29号 (72)发明人 方黎明　恽昕宇　朱泽升　 (74)专利代理 机构 南京瑞弘专利商标事务所 (普通合伙) 32249 专利代理师 唐少群 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/56(2013.01) G06K 9/62(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01)G06V 10/762(2022.01) G06V 10/82(2022.01) (54)发明名称 一种基于流量指纹和图数据特征的安卓恶 意软件检测方法及检测系统 (57)摘要 本发明公开了一种基于流量指纹和图数据 特征的安卓恶意软件检测方法及检测系统， 包 括： 进行流量指纹的生成： 首先获取应用程序运 行时产生的网络流量， 并对其进行数据清洗， 然 后再对其进行特征提取， 提取目的地特征和时间 特征， 接着根据该时间特征对所述目的地特征进 行聚类处理， 获得多个集群， 再通过分析集群与 集群之间的时间相关性， 将集群进行关联， 生成 完全图， 最后根据该完全图生成流量指纹； 进行 图分解； 构建图卷积神经网络模型， 并且采用图 池化方法SAGPool对该图卷积神经网络模型进行 训练得到安卓恶意软件检测模型； 进行分类； 进 行警告。 权利要求书2页 说明书5页 附图1页 CN 114640502 A 2022.06.17 CN 114640502 A 1.一种基于流量指纹和图数据特征的安卓恶意软件检测方法， 其特征在于， 所述检测 方法包括如下步骤： 步骤S1、 进行流量指纹的生成， 包括： 首先获取应用程序运行时产生的网络流量， 并对 其进行数据 清洗， 然后再对其进 行特征提取， 提取目的地特征和时间特征， 接着根据该时间 特征对所述 目的地特征进行聚类处理， 获得多个集群， 再通过分析集群与集群之间的时间 相关性， 将集群进行关联， 生成完全图， 最后根据该完全图生成流 量指纹； 步骤S2、 进行图分解， 包括： 将步骤S1中获取的流量指纹， 分解为二维邻接矩阵， 节点特 征向量， 边特 征向量， 图标签向量和图标记向量； 步骤S3、 构 建图卷积神经网络模型， 并且采用图池化方法SAGPool对该图卷积神经网络 模型进行训练得到安卓 恶意软件检测模型； 步骤S4、 进行分类， 包括： 将步骤S2经图分解获得的五个数据输入至步骤S3中得到的安 卓恶意软件检测模型中进行检测， 得到标签， 该 标签为恶意 域名或者良性 域名； 步骤S5、 进行警告， 包括： 若获得的是恶意 域名， 则对用户进行警告。 2.根据权利要求1所述的一种基于流量指纹和图数据特征的安卓恶意软件检测方法， 其特征在于， 在所述步骤S1 中， 通过将 丢失了报文和确认号的网络流量进 行剔除的方式， 进 行数据清洗 。 3.根据权利要求2所述的一种基于流量指纹和图数据特征的安卓恶意软件检测方法， 其特征在于， 在所述 步骤S1中， 针对TCP和UD P流进行目的地特 征和时间特 征的提取。 4.根据权利要求3所述的一种基于流量指纹和图数据特征的安卓恶意软件检测方法， 其特征在于， 在所述步骤S1中， 所述目的地特征包括目的地IP和端口号， 所述时间特征为根 据预设的时间间隔， 来将网络流量进 行分段处理得到特征， 其中， 通过该时间特征来表示目 的地之间的时间相关性。 5.根据权利要求4所述的一种基于流量指纹和图数据特征的安卓恶意软件检测方法， 其特征在于， 在所述步骤S1中在对所述 目的地特征进行聚类处理的同时， 获得每个集群的 大小特征， 其中， 该 大小特征表示为当前目的地 IP和目的端口号会话 流的大小。 6.根据权利要求5所述的一种基于流量指纹和图数据特征的安卓恶意软件检测方法， 其特征在于， 在所述步骤S1 中， 所述通过分析集群与集群之 间的时间相关性， 将集群进 行关 联， 生成完全图， 其具体包括： 首先， 通过公式(1)来衡量所有集群与集群之间的时间相关性， 其表示 为： 在公式(1)中， cj和cj表示衡量时间相关性的两个不同的集群， 每个集群按照时间间隔T 进行切分， 其中， 时间T设置为30s； 在该时间间隔内， 若一集群Ci向目标集群发送或者接收 至少一条消息， 则认为 这两个集群之间存在活动， 记为Ci[t]＝1， 否则记为Ci[t]＝0； 然后， 设定时间相关性阈值， 将高于该阈值的集群对筛选出来， 并且对其进行归一化操 作， 归一化完成后的数值视为两个节点之间的一条无向边， 该边的取值范围为[0,1]， 以此 来获得一张无向相关图， 其中， 通过公式(2)来进行归一 化操作；权　利　要　求　书 1/2 页 2 CN 114640502 A 27.根据权利要求6所述的一种基于流量指纹和图数据特征的安卓恶意软件检测方法， 其特征在于， 在所述 步骤S1中， 所述 根据该完全图生成流 量指纹， 其具体包括： 针对所述无向相关图， 将相关性的阈值设置为0.1， 将其中相关性值小于0.1的边删除， 保留剩下 的边， 得到完全子图， 再提取该完全子图中集群的信息作为指纹， 其中， 将集群中 的目的地IP和端口号以及 TLS证书组合成一个集合， 以json文件的格式存储， 每一个json文 件就是应用程序生成的指纹。 8.一种基于流量指纹和图数据特征的安卓恶意软件检测系统， 其特征在于， 所述检测 系统包括： 指纹生成模块， 其包括： 首先获取应用程序运行时产生的网络流量， 并对其进行数据清 洗， 然后再对其进 行特征提取， 提取目的地特征和时间特征， 接着根据该时间特征对所述目 的地特征进 行聚类处理， 获得多个集群， 再通过分析集群与集群之间的时间相关性， 将集群 进行关联， 生成完全图， 最后根据该完全图生成流 量指纹； 图分解模块， 其包括： 将获取的流量指纹， 分解为二维邻 接矩阵， 节点特征向量， 边特征 向量， 图标签向量和图标记向量； 训练模块， 其包括： 构建图卷积神经网络模型， 并且采用图池化方法SAGPool对该图卷 积神经网络模型进行训练得到安卓 恶意软件检测模型； 分类模块， 其包括： 将经图分解获得的五个数据输入至安卓恶意软件检测模型中进行 检测， 得到标签， 该 标签为恶意 域名或者良性 域名； 警告模块， 其包括： 若获得的是恶意 域名， 则对用户进行警告。权　利　要　求　书 2/2 页 3 CN 114640502 A 3