[发明专利]批量安卓恶意软件检测方法及装置

权利要求书

1.一种批量安卓恶意软件检测方法，包括如下步骤：

A、分别提取并计算应用程序的系统权限特征的第一频率向量、程序控制流程图特征的第二频率向量和系统调用特征的第三频率向量，由所述第一频率向量、所述第二频率向量和所述第三频率向量计算得到综合特征向量；

B、使用数据挖掘中的分类算法对所述综合特征向量进行分类，得到分类结果数值；

C、计算电量记录对恶意软件检测的第一贡献值和intent记录对恶意软件检测的第二贡献值；

D、对所述分类结果数值、所述第一贡献值和所述第二贡献值进行加权计算，若所述加权计算结果超过设定阈值，则将所述应用程序判定为恶意软件，否则将所述应用程序判定为正常软件。

2.如权利要求1所述的批量安卓恶意软件检测方法，其特征是：提取并计算所述应用程序的系统权限特征的第一频率向量的方法是：

提取所述应用程序的系统权限；

从所述应用程序对应的安卓系统的官方网站上获取所述安卓系统中的标准系统权限集；

计算所述标准系统权限集中的每个系统权限在所述应用程序中出现的频率，将所述计算得到的频率确定为所述第一频率向量。

3.如权利要求1所述的批量安卓恶意软件检测方法，其特征是：提取并计算所述应用程序的程序控制流程图特征的第二频率向量的方法是：

提取所述应用程序的程序控制流程图，使用字符串哈希算法将所述程序控制流程图的字符串形式转换为数字形式；

使用特征选择方法提取出对检测恶意软件具有显著影响的程序控制流程图；

集合足够数量的所述应用程序中的所有具有显著影响的程序控制流程图，作为程序控制流程图的标准集，计算标准集中的程序控制流程图在所述应用程序中出现的频率，将所述计算得到的频率确定为所述第二频率向量。

4.如权利要求1所述的批量安卓恶意软件检测方法，其特征是：提取并计算所述应用程序的系统调用特征的第三频率向量的方法是：对所述应用程序触发含有不同类型的多个随机事件，记录所述应用程序对这多个随机事件的所有系统调用，下载安卓系统的标准系统调用集，计算标准系统调用集中的每个系统调用在该应用程序中的出现频率，将所述计算得到的频率确定为所述第三频率向量。

5.如权利要求1所述的批量安卓恶意软件检测方法，其特征是：计算所述intent记录对恶意软件检测的第二贡献值的计算方法是：当所述intent记录中包含进行通讯会话的API时，将所述intent记录对恶意软件检测的第二贡献值确定为10或者大于10的值，确保所述应用程序一定会被检测为恶意软件；当所述intent记录中不包含进行通讯会话的API时，则当所述intent记录中包含敏感API时，所述intent记录对恶意软件检测的第二贡献值是1；当所述intent记录中不包含敏感API时，所述intent记录对恶意软件检测的第二贡献值为0。

6.如权利要求1所述的批量安卓恶意软件检测方法，其特征是：计算所述电量记录对恶意软件检测的第一贡献值的方法是:当所述应用程序的电量记录显示对电量的使用情况超过一定阈值，则电量记录对恶意软件检测的第一贡献值为1，否则为0。

7.如权利要求1所述的批量安卓恶意软件检测方法，其特征是：所述步骤B中使用数据挖掘中的分类算法对所述综合特征向量进行分类包括如下步骤：对所述综合特征向量使用对二类别分类较准确的基于信任权的在线分类AROW算法进行分类。

8.如权利要求1所述的批量安卓恶意软件检测方法，其特征是：所述步骤D中对所述分类结果数值、所述第一贡献值和所述第二贡献值进行加权计算的方法是：

R＝p1*C+p2*I+p3*B；

其中，所述C表示所述分类结果数值，若分类结果为所述应用程序为恶意软件，则C为1，否则C为0；p1表示对所述分类结果数值所赋予的权重；所述I表示电量记录对恶意软件检测的第一贡献值；p2表示对所述第一贡献值所赋予的权重；所述B表示intent记录对恶意软件检测的第二贡献值，p3表示给所述第二贡献值所赋予的权重；所述R表示计算结果。

9.一种批量安卓恶意软件检测装置，其特征是：采用如权利要求1至8中任一权利要求中所述的方法进行批量安卓恶意软件检测。