基于特征融合的恶意软件检测与多分类方法研究与实现.pdfVIP

摘要

随着手机、平板等智能终端的日益普及，移动应用（APP）也逐渐渗透到了人

们的社交、娱乐、学习、通信、交通等各种生活及工作等场景中。与此同时，移动

应用琳琅满目，种类繁多，功能复杂，使其逐渐成为各种网络攻击者和不法分子的

目标，移动应用安全跃升为网络安全的重灾区，其中恶意软件是移动应用的主要安

全威胁之一。近年来，针对移动应用的恶意软件分析与检测成为了网络安全领域的

热点之一。随着深度学习理论与技术的快速演进，高效算法和模型不断推陈出新，

研究者们开始尝试将深度学习模型用于恶意软件检测，使用软件的清单等数据作

为特征让深度学习模型学习其与恶意行为的潜在联系，取得了不错的效果。然而这

类数据易被恶意软件开发者篡改，且由于包含的特征信息过少导致准确率还有待

提高，同时对不同种类的恶意软件缺乏分类能力。针对上述情况，本文提出一种新

的特征预处理方式，并结合改进的BERT模型对恶意软件检测流程进行优化，在提

高检测效率的同时验证了语义特征对软件行为特征的表现能力。为了能够更好的

对恶意软件进行针对性分析，本文将恶意软件按照行为特征进行家族多分类，提出

一种新的特征融合方法和优化改进的GAT多分类模型，并以此为基础提出一个恶

意软件多分类方法，最终给出了一个综合型恶意软件检测系统。本文主要研究内容

及取得成果如下：

（1）提出了一种新的特征预处理方法，通过排除良性的库函数，简化特征数

据大小，结合优化改进预训练任务的恶意软件检测模型AmdBERT，得到了一套从

应用可执行文件逐步进行特征提取最终实现恶意软件检测的方法，并通过对比实

验证明了方法相较于现有恶意软件检测方法存在一定程度上的优势。

（2）提出一种新的特征融合方法，使用语义提取模型提取节点特征信息后与

函数调用图结构特征进行特征融合，更大程度上保留了函数调用图的完整信息。

（3）在特征融合后，结合优化改进分层提取高低维度图结构特征策略的恶意

软件多分类模型Amd-GAT，提出了一个新的根据恶意软件行为特征进行多分类的

方法。

（4）在本文提出的恶意软件检测与多分类方法的基础上，设计实现了一个使

用Android应用APK文件对恶意软件进行检测与分类的系统来对上述流程可视化，

更好地展示本文的研究成果。

关键词：特征融合，BERT，图注意力网络，恶意软件多分类

ABSTRACT

Withtheincreasingpopularityofsmartterminalssuchasmobilephonesandtablets,

mobileapplications(APPs)havegraduallypenetratedintopeoplessocial,entertainment,

learning,communication,transportationandotherlifeandworkscenarios.Atthesame

time,mobileapplicationsarediverse,diverse,andhavecomplexfunctions,makingthem

graduallythetargetofvariousnetworkattackersandcriminals.Mobileapplication

securityhasrisentoacriticalareaofnetworksecurity,withmalicioussoftwarebeingone

ofthemainsecuritythreatstomobileapplications.Inrecentyears,malicioussoftware

analysisanddetectionformobileapplicationshavebecomeoneofthehotspotsinthe

fieldofnetworksecurity.Withtherapidevolutionofdeeplearningtheoryandtechnology,

efficientalgorithmsandmodelscontinueto