基于深度学习的Android恶意软件检测模型研究与应用.pdf

摘要

近年来，Android操作系统发展迅速，成为移动设备上最流行的操作系统。但正

因其普及性和开放性，Android平台已成为恶意攻击者的主要目标，越来越多的恶意

软件应用程序对用户隐私和安全构成了巨大威胁。因此，Android恶意软件检测的研

究是一个十分重要的课题。然而，传统检测方法难以有效识别应用变形和多态技术

的现代恶意软件，存在特征提取能力差、检测精度低、图像来源单一等问题。为了

解决这些问题，本文构建了基于深度学习的Android恶意软件检测模型，以改善恶意

软件检测效果。本文主要工作如下：

针对传统的恶意软件检测模型特征提取不充分、分类准确率较低的问题，提出

了一种基于卷积神经网络和门控循环单元的CBAM-CGRU-SVM模型。该模型中，

首先通过在卷积神经网络中添加卷积块注意力模块，来学习更多恶意软件的关键特

征，然后采用GRU单元进一步提取特征。为了解决图像分类中模型泛化能力不足的

问题，模型最后使用支持向量机代替softmax激活函数作为模型的分类函数。实验使

用了Malimg公开数据集，该数据集将恶意软件数据图像化作为模型输入。实验结果

表明，相较于对比模型，CBAM-CGRU-SVM模型分类准确率及时间效率均更高，能

够更有效地对恶意软件家族进行分类。

现有的字节码图像检测方法主要依赖于单一的DEX文件特征作为图像来源，然

而这种方法通常会导致图像中混入噪声信息，这些信息会影响模型的检测效果。因

此，本文将XML文件的视觉特征与DEX文件的数据部分结合起来，创建具有四种

不同纹理特征组合的灰度图像数据集，用于深度学习模型的训练。实验结果表明，

该方法能够有效提升模型的Android恶意软件检测准确性。此外，部分恶意软件样本

相似度较高，转化为图像后会呈现相似的纹理特征。前文工作中使用的GRU虽可用

于图像分类任务，但其处理图像特征的能力有限，对于相似图像的局部特征捕捉能

力有所不足。针对这一问题，本文提出改进的ResNeXt模型。相比于传统序列模型

GRU，ResNeXt更加适用于恶意软件图像分类任务，能够学习到图像中更加多样化

的特征表示。该模型采用了SD-Reg正则化技术，以便有选择性地使用对分类任务有

用的数据，同时，对原始ResNeXt模型结构进行针对性修改，调整内核和滤波器的

大小，使其更适用于Android恶意软件检测任务。实验使用了CICMalDroid2020数

据集，并设置6组消融实验对该数据集分别进行二分类检测和多分类识别。实验结

I

果表明，改进的ResNeXt总体检测性能优于对比模型。

根据上述研究，本文设计并实现了Android恶意软件检测系统，为安卓研究人员

和用户提供更加便捷的检测工具。该系统实现了用户注册与登录、数据集上传、APK

文件上传、数据集与算法选择、APP版本与文件大小显示、恶意软件类别检测等功

能，并提供了多种深度学习模型和Android恶意软件数据集。

关键词：Android恶意软件检测；卷积块注意力模块；深度学习；字节码图像；正则

化

II

ABSTRACT

Inrecentyears,theAndroidoperatingsystemhasdevelopedrapidlyandbecomethe

mostpopularoperatingsystemonmobiledevices.However,duetoitspopularityand

openness,theAndroidplatformhasbecomeamajortargetformaliciousattackers,andan

increasingnumberofmalicioussoftwareapplicationsposeagreatthreattouserprivacy

andsecurity.Therefore,theresearchofAndroid