[发明专利]一种轻量级安卓恶意软件快速判断方法

说明书

技术领域

本发明涉及软件检测、网络安全技术等多种领域，特别是一种安卓平台下的快速的恶意软件判断方法。

背景技术

智能手机是移动互联网的重要载体，随着移动互联网的迅速发展，智能手机市场规模也不断增长.Android系统由于其开源性，任何组织或个人编写的软件都可以上传到“应用商店”中，供用户下载并安装使用，因此已经占据全球智能手机出货量的75％。但是，智能手机市场的迅速发展也带来了与用户密切相关的恶意软件问题。

目前国际上对于智能手机恶意软件检测的研究所使用的方法主要可分为两类：基于规则的检测方法和基于异常的检测方法。其中，1)基于规则的检测方法将权限组合、行为足迹、作者信息等作为判定的规则，定义各种潜在的危险权限组合作为规则，通过检查特定的危险权限组合来中止潜在不安全应用的安装。2)基于异常的检测方法选取了权限、系统调用和功耗等作为学习的特征，并利用聚类和分类算法来区分正常和恶意的应用。两种方法中都应用了一些不同的机器学习算法，如Logistic回归分析(Logistic regression)和贝叶斯网络(Bayesian networks)来对应用程序分类。

发明内容

基于上述技术问题，本发明提出了一种轻量级安卓恶意软件快速判断方法，从而实现安卓操作系统下的恶意软件的有效检测。

本发明一种轻量级安卓恶意软件快速判断方法，该方法包括以下步骤：

步骤1、从不同来源收集软件样本，分别组成恶意程序库和良性程序库这两个样本库；

步骤2、对上述两个样本库中所有的Android程序的安装文件用逆向工程工具进行反编译，获取配置文件；

步骤3、对上述配置文件进行解码，扫描源码并提取其中的权限向量，得到每个程序对应的权限集；

步骤4、对样本库中所有的程序进行特征提取得到46个权限作为特征，分别计算出两个样本库当中上述46个权限的使用频度，筛选出频度差值高的前10位权限，作为本发明采用的10维特征，将10个权限中未使用的置0，使用到的置1，这样每个样本生成一个与之对应的10维的二进制特征向量；

步骤5、根据每个样本的来源，标定其良性或恶性的类别；

步骤6、对上述10个特征向量的集合训练出分类模型；

步骤7、获取待测程序的安装文件，如步骤2所述，生成待测程序对应的特征向量；

步骤8、根据步骤6生成的分类模型，以步骤7生成的特征向量为输入，对待测程序进行分类，得到待测软件是恶意程序还是良性程序的检测结果。

与现有技术相比，本发明具有快速、简单的特点，没有如动态检测技术中应用的繁杂的算法和较大的能耗，在维持一定的准确率的基础上提高了检测的速度。可以作为个人客户端查毒的基础判断方法，同时也可以作为各个安卓应用市场的初步审核工具。

附图说明

图1为本发明的恶意软件快速检测方法流程图。

具体实施方式

以下结合附图及具体实施方式，进一步详述本发明的技术方案。

本发明的整体思路是采用基于软件权限信息的静态检测方法，首先通过大量样本进行训练，得出较好的分类模型，然后对待检测的程序提取权限信息，输入分类模型后得出检测结果。

以一个具体实施例描述本发明流程，包括以下步骤：

第一阶段：

第一步，从Genome项目(一种本技术领域中有关打击基于Android的设备恶意软件为目的的“基因组计划”)中获取已经标定的恶意程序集A，从Google电子市场采集正常程序集B，从中各选取150个样本，组成本发明的样本库；

第二步，用AndroidKiller工具软件，配合Windows下的批处理程序，对样本库中所有APK安装软件进行反编译，获得每个样本对应的配置文件AndroidManifest.xml，并将其转存为txt格式，便于后期处理；

第三步，通过java程序，根据配置文件中声明权限的字段<uses-permission>，将每个样本的对应的权限集提取出来；

第四步，分别统计恶意集A和正常集B使用频率最高的前30个权限，共计60个为初步特征，随后将这两个集合中相同的权限排除，使得每个特征都对所属的类别有着更高的代表性，最终得到46个权限，这些选取的权限如表1所示。

第五步，在上述46个权限中筛选出频度差别较高的10个权限，10个权限的标签如下：

WRITE_EXTERNAL_STORAGE