(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211308160.3 (22)申请日 2022.10.25 (71)申请人 西安理工大 学 地址 710048 陕西省西安市碑林区金花 南 路5号 (72)发明人 孙钦东　王艳　王伟　杨志海　 许航　 (74)专利代理 机构 西安弘理专利事务所 61214 专利代理师 王奇 (51)Int.Cl. G06F 21/56(2013.01) G06K 9/62(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 一种基于深度学习的Android恶意程序检测 方法 (57)摘要 本发明公开了一种基于深度学习的Andr oid 恶意程序检测方法， 步骤包 括： 收集Android恶 意 AKP样本和正 常AKP样本， 通过反编工 具输出反编 译文件， 提取反编译文件权限特征、 API特征和3 ‑ Gram特征， 并转化为特征向量作为训练接样本， 对建立的CNN ‑BiLSTM‑Attention模型， 该模型过 CNN获取样本的局部 特征， BiLS TM获取全局特征， 在BiLSTM中采用注意力机制来降低噪声干扰、 突 出重要特征； 最后将两类特征进行融合训练， 之 后采用训练好的CNN ‑BiLSTM‑Attention模型进 行恶意程序检测。 本发明解决了使用单特征导致 的覆盖面不够广泛的问题， 提高模 型的预测准确 率。 权利要求书2页 说明书7页 附图3页 CN 115510445 A 2022.12.23 CN 115510445 A 1.一种基于深度学习的Andro id恶意程序检测方法， 其特 征在于， 具体步骤为： 步骤1， 收集Andro id恶意AKP样本和正常AKP样本， 通过反编工具输出反编译 文件； 步骤2， 提取反编译 文件中的权限特 征、 API特 征和3‑Gram特征， 并转化为特征向量； 步骤3， 建立CNN ‑BiLSTM‑Attention模型， 采用步骤2得到的特征向量作为样本集对 CNN‑BiLSTM‑Attention模型进行训练； 所述CNN‑BiLSTM‑Attention模型包括输入层、 词嵌入层、 融合注意力机制的双向长短 期记忆(BiLSTM)模块、 卷积层、 全 连接层、 Softmax层； 在训练模 型时首先需要在词嵌入层使 用Word2vec进行特征 向量化处理， CNN会对特征 向量矩阵进行卷积操作， 使用max ‑pooling 提取最大值并重新组成特征向量得到局部特征； 然后使用BiLSTM捕获双向依赖， 对特征向 量矩阵提取全局上下文信息， 并使用注 意力机制Attention突出重要 特征； 计算最终输出首 先要计算出上下文隐状态， 再使用 它和上一时刻的隐状态得出注意力概率， 通过概率对上 下文隐状态加权求和并经过变换后得到最终输出； 将两个模型中的特征融合， 为了使该网 络也能表达非线性映射， 需要引入激活函数， 并使用Softmax实现对应用样本的分类； 步骤4， 对于待检测的程序， 采用步骤2方法得到特征向量并输入至训练好的CNN ‑ BiLSTM‑Attention模型中进行检测， 得到检测结果。 2.如权利要求1所述的一种基于深度学习的Android恶意程序检测方法， 其特征在于， 所述步骤1具体为反编译命令apktool.bat  d–f[apk文件路径][输出文件夹路径]生成包括 AndroidManifest.xml文件、 s mali文件的反编译 文件。 3.如权利要求2所述的一种基于深度学习的Android恶意程序检测方法， 其特征在于， 所述权限特征的提取方法为： AndroidManifest.xml文件的<uses ‑permission>标签中提取 包含.permis sion.的语句即为权限特 征； 所述API特 征的提取 方法为： 所述s mali文件中遍历以 “invoke‑”开头的行进行提取； 所述3‑Gram特征的提取方法为： 所述smali文件中使用Dalvik指令分类规则， 去除对分 类结果无影响的指 令， 简化为可以表达出语义的指 令， 根据指 令的功能进 行分类， 将功能相 同或相近的指令分为一类， 并用七种字母标签代表精简后的一类指令； 使用3 ‑Gram模型中 长度为3的滑动窗口来获取 数据， 将一条语句变为多个长度为 N的片段， 即为3 ‑Gram特征。 4.如权利要求1所述的一种基于深度学习的Android恶意程序检测方法， 其特征在于， 所述CNN‑BiLSTM‑Attention模型的训练过程 为： 首先， 将样本集作 为输入， 然后使用Word2vec在嵌入层将样本特征转化为特征向量； 其 次， 所述卷积神经网络选用3、 4、 5三种大小的卷积核各128个， 在卷积层中对特征向量矩阵 进行卷积处理， 使用最大池化法提取最大值并重新组成特征向量得到局部特征Cccn； 采用对 特征向量输入引入注意力机制的BiLSTM网络得到全局上下文信息特征Cblistm， 最后再全连 接层将两个特征进行融合引入激活函数， 采用梯度下降算法Adam进行训练， 使用Softmax实 现对应用样本的分类。 5.如权利要求4所述的一种基于深度学习的Android恶意程序检测方法， 其特征在于， 在所述卷积神经网络训练的过程中， 假设卷积核大小为h ×v， h为卷积核高度， v为词向量 维 度， w为权重矩阵， Xn+h‑1为向量矩阵， b为偏置项， f为激活函数， 卷积计算公式为： Ci＝f(w*Xi:i+h‑1+b) 经CNN卷积处理最大池化法选取 特征向量的最大值， 最大池化计算公式为：权　利　要　求　书 1/2 页 2 CN 115510445 A 2Ccnn＝max{Ci}。 6.如权利要求4所述的一种基于深度学习的Android恶意程序检测方法， 其特征在于， 使用双向长 短期记忆网络模型来提取全局上下文信息， 使得训练出来的模 型不再只和单词 自身相关， 而和语境的关系更加密切； 若 为正序LSTM， 为逆序LSTM， 则Bi LSTM的输出状态 为正逆序的组合， Bi LSTM计算公式为： 不同特征对分类的影响程度不同， 为了突出重要特征、 减弱无关特征的影响程度， 同时 引入了Attention注意力机制， 为不同的特征信息分配不同程度的注意力； 设T为输入向量 的长度， hj表示输入向量 经过解码后的隐藏层状态， 注意力概率αij表示输入词xj对当前词yi 的注意力概 率， 则分配注意力后的全局上 下文信息特 征 计算公式为： 其中 score由前一时刻状态Si‑1和hj计算得到 。权　利　要　求　书 2/2 页 3 CN 115510445 A 3