[发明专利]一种基于Dalvik指令和权限组合的安卓恶意软件检测方法

说明书

技术领域

本发明涉及恶意软件检测及网络安全技术领域，尤其涉及一种基于Dalvik指令和权限组合的安卓恶意软件检测方法。

背景技术

移动恶意软件，是指在用户不知情或未授权的情况下，在用户手上安装、运行，已达到不正当的目的，或具有违反国家相关法律法规行为的手机软件。根据中国互联网协会和中国反病毒联盟联合编写的《移动互联网恶意代码描述规范》，安卓恶意软件主要分为八种恶意类型：恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓行为。不断增长的移动恶意软件不仅给用户带来了严重的经济损失，而且威胁到用户的个人信息安全。

目前主流的恶意软件检测方案主要分为静态检测和动态检测。动态分析主要是分析程序运行时的特征，包括系统调用序列和数据流等。这些方法需要修改安卓系统的内核，而且带来了大量的实时计算。静态检测方法通过分析应用程序的源代码，并不运行应用程序。安卓平台恶意软件常见的静态特征有：APK申请的权限、API、APK签名信息等。Zhou等人分析了恶意软件与正常软件权限之间的不同：恶意软件更倾向于申请短信相关的权限和自启动权限。童振飞抽取了classes.dex文件中类与API调用信息作为特征，运用机器学习算法，构建分类模型，检测安卓恶意软件。房鑫鑫发展了童振飞的工作，通过对比应用程序中的AndroidManifest.xml文件的签名信息，判断应用程序是否被恶意篡改。Peiravian等人分析了恶意软件与正常软件申请权限以及API的不同，综合了权限和API特征，构建不同的分类器。Aafer等人结合了高危的API及其参数特征，来构建分类模型。目前的静态检测方法主要依赖于分析安卓应用软件申请的权限和API特征，而权限特征已经被大量的应用软件所滥用，API特征难以对抗混淆加密技术。

Kang等人利用了Dalvik指令频率特征对安卓恶意软件的家族进行分类，Kang等人提取并反编译APK软件包中的classes.dex文件，得到安卓汇编语言smali文件，然后统计smali文件中每个Dalvik指令出现的绝对频率，构建特征向量来表示该安卓应用软件。特征向量的第一维表示恶意软件的家族，其余维表示Dalivk指令的绝对频率特征。最后运用随机森林算法构建分类器，对恶意软件的家族之间进行分类。

现有流行的安卓恶意软件检测技术高度依赖于权限特征和API特征，而权限被大量的应用软件所滥用，API及其参数是比较有效的检测手段，但这种方法计算量较大，而且API的参数也是千变万化。

因此，针对上述技术问题，有必要提供一种基于Dalvik指令和权限组合的安卓恶意软件检测方法。

发明内容

有鉴于此，本发明的目的在于提供一种基于Dalvik指令和权限组合的安卓恶意软件检测方法，以解决当前鉴别安卓恶意软件的主要问题，包括：(1)特征单一，依赖于权限和API特征；(2)计算量大。

为了达到上述目的，本发明实施例提供的技术方案如下：

一种基于Dalvik指令和权限组合的安卓恶意软件检测方法，所述方法包括：

S1、使用解压缩工具打开安卓应用软件包，得到classes.dex文件和AndroidManifest.xml文件；

S2、反编译classes.dex文件构建Dalvik指令的频率特征，然后采用检测模型对安卓应用软件包进行正常软件和恶意软件的检测；

S3、反编译AndroidManifest.xml文件提取权限特征，并构建权限特征向量，由分类算法建立分类器，进行正常软件和恶意软件的检测。

作为本发明的进一步改进，所述步骤S2中检测模型的构建方法为：

Dalvik指令的频率特征为：

absoluteFreq_i＝{C_i,freq_(i,1),freq_(i,2),…,freq_(i,j)|1≤j≤n}，

其中当且仅当C_i＝1时该软件为恶意软件，当且仅当C_i＝0时该软件为正常软件，n为Dalvik指令的个数，freq_(i,j)表示第i个应用软件中出现第j个指令的绝对频率；

将正常软件与恶意软件的样本集合集制成一个特征矩阵FM，得到检测模型。

作为本发明的进一步改进，所述步骤S2还包括：