[发明专利]用于识别恶意APK文件的方法和装置

权利要求书

1.一种用于识别恶意APK文件的方法，包括以下步骤：

选取预定数量APK文件样本；

解析所述APK文件样本中的可执行文件并提取出解析文本中的特征字符串；

利用所述特征字符串构建恶意程序特征码列表和非恶意程序特征码列表；

将所述APK文件样本对应的特征字符串与所述恶意程序特征码列表和非恶意程序特征码列表分别进行比对，得到该APK文件样本的字符串特征向量，并根据所述字符串特征向量和该APK文件样本向系统申请的权限生成该APK文件样本的识别特征向量；

对多个所述APK文件样本的识别特征向量进行训练，生成用于识别恶意APK文件的分类模型；

利用该分类模型对未知类型的APK文件进行识别。

2.根据权利要求1所述的方法，其中，解析所述APK文件样本中的可执行文件并提取出解析文本中的特征字符串包括：

解析所述APK文件样本中的可执行文件，提取解析文本中的字符串；

对所述字符串进行大小写统一处理，并对同一解析文本中的字符串进行去重处理，得到该样本的所述特征字符串。

3.根据权利要求1所述的方法，其中，利用所述特征字符串构建程序特征码列表和非恶意程序特征码列表包括：

计算每一所述特征字符串在所述APK文件样本中的恶意APK文件样本中出现的比率，记为第一比率；

计算每一所述特征字符串在所述APK文件样本中的非恶意APK文件样本中出现的比率，记为第二比率；

按照所述第一比率和所述第二比率选取恶意程序特征码和非恶意程序特征码，并由所述恶意程序特征码构建所述恶意程序特征码列表，以及由所述非恶意程序特征码构建所述非恶意程序特征码列表。

4.根据权利要求3所述的方法，其中，按照所述第一比率和所述第二比率选取恶意程序特征码和非恶意程序特征码包括：

计算同一特征字符串的第一比率和第二比率的差值，并按照所述差值对特征字符串进行排序；

按照所述排序的结果选取所述恶意程序特征码和所述非恶意程序特征码。

5.根据权利要求1所述的方法，其中，对多个所述APK文件样本的识别特征向量进行训练包括：使用支持向量机算法或者逻辑回归法对所述APK文件样本的识别特征向量进行训练。

6.根据权利要求1至5中任一项所述的方法，其中，在生成用于识别恶意APK文件的分类模型之后还包括：

选取验证APK样本，

使用所述分类模型对所述验证APK样本进行恶意程序识别；

根据识别结果对所述分类模型进行优化。

7.根据权利要求6所述的方法，其中，根据识别结果对所述分类模型进行优化包括：

将所述识别结果与所述验证APK样本的类型进行比较，以判断是否出现漏报；

在出现漏报的情况下，解析出现漏报的验证APK样本中的可执行文件，并根据解析出的所述漏报的验证APK样本的特征字符串对所述恶意程序特征码和所述非恶意程序特征码进行修改，并利用修改后的恶意程序特征码和非恶意程序特征码重新生成分类模型。

8.根据权利要求6所述的方法，其中，根据识别结果对所述分类模型进行优化包括：

将所述识别结果与所述验证APK样本的类型进行比较，以判断是否出现误报；

在出现误报的情况下，解析出现误报的验证APK样本中的可执行文件，并根据解析出的所述误报的验证APK样本的特征字符串对所述恶意程序特征码进行修改，并利用修改后的恶意程序特征码重新生成分类模型。

9.根据权利要求1至8中任一项所述的方法，其中，解析所述APK文件样本中的可执行文件并提取出解析文本中的特征字符串包括：对所述APK文件样本中的dex文件进行解析，得到的字符串包括以下任一项或多项：头部信息特征码、常量特征码、操作数特征码、指令特征码、指令特征码序列、类名函数名特征码。

10.根据权利要求9所述的方法，其中，在根据所述字符串特征向量和该APK文件样本向系统申请的权限生成该APK文件样本的识别特征向量之前还包括：

对所述APK文件样本中的AndroidManifest.xml进行解析，以得到该APK文件申请的功能权限；

将所述功能权限与安卓系统的功能权限列表进行比对，得到所述APK文件样本的权限特征向量。