现有基于API特征的Android恶意软件分析技术普遍采用API频繁调用序列或者API调用子图作为特征对恶意家族进行聚类,固化了恶意软件的特征,难以准确地进行恶意软件家族分类。API调用图为有向图,本文利用有向图节点依赖性的特点,采用拓扑排序对API调用图进行排序。随机提取局部特征后节点对前节点具有依赖性,这使得特征拥有随机性、有效性。结合卷积神经网络提出一种新的Android恶意软件家族分类技术。通过静态分析提取Android应用的API调用图,同时建立一个API数据库对API进行标记;将API调用图进行排序并转换为RGB图像,使用本文提出的卷积神经网络模型CallN提取图像特征进行分类。本文选择Drebin数据集中恶意软件家族规模前20的恶意家族的恶意软件进行家族分类,家族分类准确率达到99.93%。实验结果表明,本文提出的方法能有效地对恶意软件家族进行分类。

• 单位
  四川大学