一种基于大数据的安卓恶意软件检测方法

本发明涉及大数据处理技术和卷积神经网络，特别涉及一种基于大数据的安卓恶意软件检测方法。

背景技术：

1、随着移动互联网的迅猛发展，安卓系统作为应用最为广泛的移动操作系统之一，其安全性问题日益受到关注。恶意软件、网络攻击等安全威胁层出不穷，对用户的隐私和财产安全构成严重威胁。因此，一种基于大数据的安卓恶意软件检测方法应运而生，为安卓系统的安全防护提供了有力支持。

2、该方法的核心思想是利用大数据技术，对海量的安卓应用数据进行分析和挖掘，以发现潜在的恶意软件。通过收集安卓应用的各种信息，如应用行为、权限请求、网络交互等，构建出庞大的数据集。然后，运用算法对这些数据进行处理和分析，识别出恶意软件的特征和行为模式。

3、在数据分析过程中，本发明特别关注应用的代码结构，应用行为进而推断出是否存在恶意软件的活动。例如，某些恶意软件可能会在后台偷偷收集用户信息、发送恶意请求或进行其他不当操作，这些行为都可以通过数据的分析得以揭示。

4、与传统的身份验证方法相比，基于大数据的安卓恶意软件检测方法具有更高的准确性和效率。传统的身份验证方法往往依赖于固定的验证规则和模式，难以应对不断演变的威胁。而本发明通过深度学习和大数据分析，能够自适应地学习和识别新的恶意软件特征，提高系统的安全性。

5、同时，该方法还能够优化用户体验。传统的用户主动认证方法虽然提高了安全性，但增加了用户的验证步骤和复杂性。而基于大数据的安卓恶意软件检测方法能够在后台自动进行安全检测，无需用户进行额外的操作，从而提高了登录过程的便捷性和流畅性。

技术实现思路

1、为解决现有技术中存在的问题，本发明提供了一种基于大数据的安卓恶意软件检测方法，包括以下步骤：

2、将待检测的安卓软件的样本数据输入预训练的超信息神经网络中，得到样本数据的第一特征数据；

3、将第一特征数据输入预训练的全连接网络中，得到样本数据的第二特征数据；

4、对第二特征数据进行位置编码，获取每个节点的唯一向量表示；

5、将节点的唯一向量表示输入由信息决策卷积神经网络模型、提升深度卷积神经网络和全局最大池化层构成的预测网络得到检测结果。

6、进一步地，超信息神经网络由级联的多层结构组成，第l+1层对数据的处理包括：

7、

8、其中，h(l+1)为超信息神经网络第l+1层的输出，为超信息神经网络第l层的自适应权重向量；⊙表示矩阵元素乘法；b(l)为超信息神经网络第l层的可学习偏置。

9、进一步地，超信息神经网络第l层的自适应权重向量中元素根据反向传播进行更新，进行初始化时，自适应权重向量中第i个元素的值为第i个节点与其所有邻居节点之间自适应权重的累计，第i个节点与其第j个邻居节点之间的自适应权重表示为：

10、

11、其中，sim(xi,xj)表示第i个节点与第j个节点之间的相似度度量，n(i)表示第i个节点的邻居节点集合。

12、进一步地，全连接网络由级联的多个残差块组成，每个残差块包括两个级联的线性全连接层，将第二个线性线性全连接层的输出与该残差的输入相加后作为参数块的输出。

13、进一步地，一个残差块对输入的数据的处理过程包括：

14、z1＝w1·x+b1

15、f1(x)＝σ(z1)

16、z2＝w2·f1(x)+b2

17、f2(x)＝σ(z2)

18、y＝f2(x)+x

19、其中，x为残差层的输入；w1为第一个全连接层的权重，b1为第一个全连接层的偏置，z1为第一个全连接层的输出，f1(x)为第一个全连接的线性变换输出，σ为非线性激活函数；w2为第二个全连接层的权重，b2为第二个全连接层的偏置，z2为第二个全连接层的输出，f2(x)为第二个全连接的线性变换输出；y为残差块的输出。

20、进一步地，利用compare loss损失函数对超信息神经网络进行方向传播，完成对超信息神经网络的训练，compare loss损失函数表示为：

21、

22、其中，f(x)为compare loss损失函数；α为相似对特征的相对重要性权重因子，β为不相似对特征的相对重要性权重因子；y为是否相似度的标识，当样本特征xi与样本特征yi对应的样本均为正样本或负样本，则样本相似，此时y＝1，否则y＝0；d表示样本集合；b为设定阈值。

23、进一步地，在预测网络中包括两个分支，第一个分支由级联的信息决策卷积神经网络模型和提升深度卷积神经网络构成，第二个分支由级联的提升深度卷积神经网络和信息决策卷积神经网络模型构成，将两个分支的输出拼接在一起后输入全局最大池化层得到最终的预测结果。

24、进一步地，信息决策卷积神经网络模型对数据进行处理的过程包括以下步骤：

25、计算第i个节点的特征与第j个节点的特征之间的注意力系数，即：

26、eij＝leakyrelu(at[w1hi||w2hj])

27、其中，at表示注意力机制的权重向量a的转置；hi、hj分别为i、j的特征表示；leakyrelu(·)为leakyrelu激活函数；w1、w2分别为信息决策卷积神经网络模型中第一、第二可学习的权重矩阵；||表示拼接操作；

28、利用softmax函数对注意力系数进行归一化，即：

29、

30、其中，ni表示节点i的邻居集合；

31、利用当前节点归一化后的注意力系数以及当前节点的邻居节点对当前节点进行更新，即：

32、

33、其中，hi′为经过信息决策卷积神经网络模型处理后的节点i；w3为信息决策卷积神经网络模型中第三可学习的权重矩阵。

34、进一步地，提升深度卷积神经网络对数据进行处理的过程包括以下步骤：

35、f(v)＝σ(w1·xv+w2·agg(v,n(v))+w3·hist(v)+w4·hemb(v))

36、

37、其中，f(v)表示经过提升深度卷积神经网络处理后得到的节点v；σ(·)为relu激活函数；w1、w2、w3、w4分别为提升深度卷积神经网络中第一、第二、第三、第四可学习的权重矩阵；xv为输入深度卷积神经网络的节点v的特征向量；agg(v,n(v))表示节点v的邻居节点集合n(v)中所有节点的聚合；hist(v)表示输入深度卷积神经网络的节点v的历史特征向量；hemb(v)为节点v的嵌入表示。

38、与现有技术相比，本发明具有以下有益效果：

39、1、提高了安卓系统的安全防护能力:通过收集和分析海量的安卓应用数据，本方法能够精准识别恶意软件的特征和行为模式，从而有效防止恶意软件对用户隐私和财产安全的侵害。相较于传统的安全检测方法，本方法具有更高的检测精度和更低的误报率。

40、2、优化了用户体验:传统的安全检测方法往往要求用户进行繁琐的操作，如安装额外的安全软件、进行复杂的设置等，给用户带来了不便。而本方法通过后台自动分析用户行为数据，实现了对恶意软件的智能检测，无需用户进行额外操作，大大提升了用户体验。

41、3、具有自适应性和可扩展性：随着恶意软件的不断演变和新型攻击手段的出现，传统的安全检测方法可能无法及时应对。而本方法基于机器学习和大数据分析，能够不断学习和适应新的恶意软件特征，保持对最新安全威胁的有效检测。同时，本方法还可以根据实际需求进行扩展和优化，以适应不同场景下的安全检测需求。