基于機(jī)器學(xué)習(xí)的安卓平臺惡意軟件檢測方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及信息安全技術(shù)����、逆向工程技術(shù)等多種領(lǐng)域�,特別是涉及一種基于安卓 操作系統(tǒng)平臺的惡意軟件檢測方法���。
【背景技術(shù)】
[0002] 隨著基于移動終端的Android操作系統(tǒng)的飛速發(fā)展����,在市場占有率躍居第一的同 時(shí)�,針對Android操作系統(tǒng)的惡意軟件也隨之而來。最早的惡意軟件出現(xiàn)于傳統(tǒng)的PC平臺 的windows操作系統(tǒng),惡意軟件是一類具有惡意傾向的特殊軟件����,它能夠損害操作系統(tǒng)安 全,打亂正常軟件運(yùn)行��?��;ヂ?lián)網(wǎng)協(xié)會總結(jié)了惡意軟件的特征并給出定義��,"惡意軟件是指在 未明確提示用戶或未經(jīng)用戶許可的情況下����,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行���,侵害用 戶合法權(quán)益的軟件"�����。
[0003] 目前��,針對Android操作系統(tǒng)的惡意軟件的檢測���,按照檢測時(shí)機(jī)劃分����,可以分為動 態(tài)檢測��、靜態(tài)檢測以及基于云計(jì)算的檢測���。1)動態(tài)檢測��,就是在系統(tǒng)運(yùn)行的情況下去收集 相關(guān)信息���,利用監(jiān)控工具監(jiān)控其在運(yùn)行狀態(tài)下,是否有聯(lián)網(wǎng)�、獲取隱私等行為,進(jìn)而判別軟 件是否有惡意性��;2)靜態(tài)檢測則不需要在實(shí)際運(yùn)行過程去分析程序�,而是直接分析軟件本 身,根據(jù)特定標(biāo)準(zhǔn)來判斷程序中是否有惡意傾向���;3)基于云計(jì)算的檢測是針對移動設(shè)備在 電量和計(jì)算能力方面的局限性,把檢測方案部署到具備海量存儲和大量計(jì)算能力的云端服 務(wù)器上��,在被檢測設(shè)備上只保留代理軟件來采集基本信息�,檢測結(jié)果通過網(wǎng)絡(luò)發(fā)回���,從而提 高檢測表現(xiàn),節(jié)省手機(jī)能源��。
【發(fā)明內(nèi)容】
[0004] 基于上述技術(shù)問題����,本發(fā)明提出了一種基于機(jī)器學(xué)習(xí)的安卓平臺惡意軟件檢測方 案,從而實(shí)現(xiàn)安卓操作系統(tǒng)下的惡意軟件的有效檢測�。
[0005] 本發(fā)明一種基于機(jī)器學(xué)習(xí)的安卓平臺惡意軟件檢測方法,該方法包括以下步驟�;
[0006] 步驟一、分別收集等量的標(biāo)定的惡意程序集M和采集的正常程序集B���,分別組成樣 本庫�;
[0007] 步驟二��、對樣本庫中所有的Android程序的安裝文件用逆向工程工具進(jìn)行反編 譯����,獲取其配置文件;
[0008] 步驟三��、對上述的配置文件進(jìn)行解碼��,并提取其中的權(quán)限信息,分別得到惡意程序 集M的權(quán)限集和采集的正常程序集B的權(quán)限集�����;
[0009] 步驟四��、對上述的每個(gè)權(quán)限集進(jìn)行統(tǒng)計(jì)����,選取使用頻次多的權(quán)限并進(jìn)行篩選,最終 分別獲取46個(gè)權(quán)限為特征權(quán)限�,作為樣本的特征庫;
[0010] 步驟五��、對樣本庫中所有的程序進(jìn)行特征提取�����,46個(gè)特征中使用到的置1����,未使用 的置0,每個(gè)樣本生成一個(gè)對應(yīng)的46維的二進(jìn)制特征向量,同時(shí)標(biāo)定類別信息���;
[0011] 步驟六����、基于上述樣本的特征庫�,使用分類工具和分類算法進(jìn)行分類訓(xùn)練,生成相 應(yīng)的分類模型�����;
[0012] 步驟七��、獲取待測程序的安裝文件�����;根據(jù)上述步驟二~步驟五��,生成對應(yīng)的特征向 量�;
[0013] 步驟八、根據(jù)步驟六生成的分類模型��、且以步驟七生成的特征向量為輸入�,對待測 程序進(jìn)行分類,得到待測程序是惡意程序或正常程序這一判別結(jié)果�����。
[0014] 與現(xiàn)有技術(shù)相比,本發(fā)明提尚了惡意軟件檢測的效率和準(zhǔn)確率����;具有簡單、尚效的 特點(diǎn)����,避免了動態(tài)檢測技術(shù)中繁雜的操作和較大的能耗,在保證準(zhǔn)確率的基礎(chǔ)上大幅提高 了檢測的速度�;可以為個(gè)人用戶提供基本的保護(hù),同時(shí)也可以作為Android第三方電子市 場的審核工具�����。
【附圖說明】
[0015] 圖1為本發(fā)明的惡意軟件檢測方案流程圖����。
【具體實(shí)施方式】
[0016] 以下結(jié)合附圖及【具體實(shí)施方式】,進(jìn)一步詳述本發(fā)明的技術(shù)方案��。
[0017] 本發(fā)明的整體思路是采用基于軟件權(quán)限信息的靜態(tài)檢測方法��,首先通過大量樣本 進(jìn)行訓(xùn)練��,得出較好的分類模型,然后提取待檢測程序的權(quán)限信息���,輸入分類模型后得出檢 測結(jié)果。
[0018] 如圖1所示�����,本發(fā)明的惡意軟件檢測方案流程包括以下步驟:
[0019] 步驟101�、從Genome項(xiàng)目中獲取已經(jīng)標(biāo)定的惡意程序集M,從國內(nèi)正規(guī)的安卓市場 采集的正常程序集B��,從中各選取200個(gè)樣本�,組成本發(fā)明的樣本庫即待測APK文件;
[0020] 步驟102�、用apktool工具軟件,配合windows下的批處理程序��,對樣本庫中所有 apk安裝軟件進(jìn)行反編譯��,獲得每個(gè)樣本對應(yīng)的配置文件AndroidManifest.xml��,并將其轉(zhuǎn) 存為txt格式�,便于后期處理;
[0021] 步驟103�����、通過C++程序,根據(jù)配置文件AndroidManifest.xml中聲明權(quán)限的字段 〈uses-permission>����,提取每個(gè)樣本文件的對應(yīng)的權(quán)限信息;
[0022] 步驟104��、用特征權(quán)限集的元素順序進(jìn)行匹配�,S卩:分別對標(biāo)定的惡意程序集M和 采集的正常程序集B的權(quán)限集,用46個(gè)特征權(quán)限進(jìn)行匹配�,如果該特征存在則標(biāo)1,否則標(biāo) 0;生成每個(gè)樣本的對應(yīng)的46維的二進(jìn)制特征向量��,同時(shí)標(biāo)定每個(gè)特征向量的類別信息�����,表 明其屬于惡意軟件或是正常軟件�����;
[0023] 步驟105�、讀取權(quán)限集的一個(gè)元素;
[0024] 步驟106�����、判斷該權(quán)限是否匹配成功;
[0025] 步驟107��、如果匹配成功��,則將對應(yīng)的特征標(biāo)示為1 ;否則���,如果匹配不成功,則將 對應(yīng)的特征標(biāo)示為0,步驟112;
[0026] 步驟108��、判斷特征權(quán)限集是否讀取完畢��;
[0027] 步驟109���、如果是����,則表明對特征權(quán)限集中所有的元素完成匹配及標(biāo)示����,則獲得待 測軟件的所有特征向量;否則��,返回步驟105,繼續(xù)處理;
[0028] 步驟110�、輸入分類模型;該步驟的處理具體為:將待測軟件的特征向量作為生成 的分類模型的輸入�;
[0029] 步驟111、得到判別結(jié)果��,即對該軟件是否為惡意軟件作出判斷�。
[0030] 分別統(tǒng)計(jì)標(biāo)定的惡意程序集M和采集的正常程序集B使用頻率最高的前30個(gè)權(quán) 限,共計(jì)60個(gè)作為初步特征�;隨后將這兩個(gè)集合中相同的權(quán)限排除,使得每個(gè)特征都對所 屬的類別有著更高的代表性�,最終得到46個(gè)權(quán)限(舉例如表1所示),作為樣本特征���;這些 選取的特征如下:
[0031] 表1�����、本發(fā)明實(shí)施例的特征權(quán)限列表
【主權(quán)項(xiàng)】
1. 一種基于機(jī)器學(xué)習(xí)的安卓平臺惡意軟件檢測方法�,其特征在于����,該方法包括以下步 驟; 步驟一��、分別收集等量的標(biāo)定的惡意程序集M和采集的正常程序集B,分別組成樣本 庫����; 步驟二、對樣本庫中所有的Android程序的安裝文件用逆向工程工具進(jìn)行反編譯��,獲 取其配置文件�; 步驟三、對上述的配置文件進(jìn)行解碼�����,并提取其中的權(quán)限信息�����,分別得到惡意程序集M的權(quán)限集和采集的正常程序集B的權(quán)限集��; 步驟四�����、對上述的每個(gè)權(quán)限集進(jìn)行統(tǒng)計(jì)�,選取使用頻次多的權(quán)限并進(jìn)行篩選�����,最終分別 獲取46個(gè)權(quán)限為特征權(quán)限,作為樣本的特征庫���; 步驟五�、對樣本庫中所有的程序進(jìn)行特征提取����,46個(gè)特征中使用到的置1,未使用的置 〇,每個(gè)樣本生成一個(gè)對應(yīng)的46維的二進(jìn)制特征向量���,同時(shí)標(biāo)定類別信息�����; 步驟六��、基于上述樣本的特征庫��,使用分類工具和分類算法進(jìn)行分類訓(xùn)練�����,生成相應(yīng)的 分類模型����; 步驟七、獲取待測程序的安裝文件��;根據(jù)上述步驟二~步驟五��,生成對應(yīng)的特征向量�; 步驟八、根據(jù)步驟六生成的分類模型����、且以步驟七生成的特征向量為輸入,對待測程序 進(jìn)行分類�,得到待測程序是惡意程序或正常程序這一判別結(jié)果。
【專利摘要】本發(fā)明公開了一種基于機(jī)器學(xué)習(xí)的安卓平臺惡意軟件檢測方法�,分別收集等量的標(biāo)定的惡意程序集M和采集的正常程序集B�,分別組成樣本庫;通過大量樣本進(jìn)行訓(xùn)練�,比較后得出最佳的分類模型,然后對待檢測的程序提取權(quán)限信息�,生成特征向量,輸入分類模型后得出檢測結(jié)果�;對待測程序進(jìn)行分類,得到待測程序是惡意程序或正常程序這一判別結(jié)果�。與現(xiàn)有技術(shù)相比��,本發(fā)明提高了惡意軟件檢測的效率和準(zhǔn)確率��;具有簡單����、高效的特點(diǎn)��,避免了動態(tài)檢測技術(shù)中繁雜的操作和較大的能耗���,在保證準(zhǔn)確率的基礎(chǔ)上大幅提高了檢測的速度����;可以為個(gè)人用戶提供基本的保護(hù)�����,同時(shí)也可以作為Android第三方電子市場的審核工具�。
【IPC分類】G06F21-56
【公開號】CN104794398
【申請?zhí)枴緾N201510184628
【發(fā)明人】劉昱, 李海賓, 張亦弛, 李圣龍, 王嘯晨, 馮小偉
【申請人】天津大學(xué)
【公開日】2015年7月22日
【申請日】2015年4月17日