[发明专利]利用随机森林分类器实时检测安卓恶意软件的方法

说明书

一种利用随机森林分类器实时检测安卓恶意软件的方法，包括(1)收集网络数据；(2)应用程序接口调用数据流分组；(3)提取数据流最小单元；(4)提取调用序列特征；(5)训练隐马尔科夫模型；(6)训练随机森林模型；(7)提取待检测样本的应用程序接口数据流特征；(8)将待检测样本的特征向量输入随机森林检测模型，判断字段网络特征检测模型的输出是否为恶意软件类别；(9)输出待检测样本对应的恶意软件类别。本发明能够实时检测恶意软件以及对网络中传输的软件进行检测具有良好的检测准确率。

技术领域

本发明属于通信技术领域，更进一步涉及网络安全技术领域中的一种利用随机森林分类器实时检测安卓恶意软件的方法。本发明可用于实时检测安卓软件中是否存在恶意软件，以便其他网络安全技术对安卓软件中所存在的恶意软件进行处理，从而保障安卓软件的信息安全。

背景技术

安卓恶意软件检测技术用于发现移动设备上存在的恶意软件，以便于其他网络安全技术阻止恶意软件对移动设备的危害活动。利用随机森林分类器的安卓恶意软件检测技术在近些年受到了学者的关注，这种方法通常是对应用程序产生的特征数据进行分析，从中提取出能够区分正常软件和恶意软件的特征，作为恶意软件的检测依据。目前基于分类器分析的安卓恶意软件检测技术有：

董航在其发表的博士论文“移动应用程序检测与防护技术研究”(北京邮电大学，中国知网)中提出一种基于HMMs-SVM模型的移动恶意行为动态分析方法。该方法分两个阶段，首先，通过将所有应用程序按照功能分类，分别运行各个分类中的所有学习样本，对其运行时行为进行捕获，对捕获的运行时行为数据进行预处理和特征提取，作为隐马尔可夫模型的观测值输入，使用Baum-Welch算法进行训练建模，得到每一类应用的隐马尔可夫模型，并将HMM的输出结果组成最大似然向量；然后，将最大似然向量作为最终决策分类的依据，输入SVM，学习得到训练好的SVM，建立HMMS-SVM分类器检测模型的训练过程；最后，使用建立的分类器模型进行恶意软件的检测。该方法存在的不足之处是：该方法以支持向量机作为最后检测依据，这种处理方式使得非常多的参数需要调整，导致调整周期长，如选择最合适的核函数，正则惩罚等。

电子科技大学在其拥有的专利技术“基于随机森林分类方法的Android平台恶意应用检测方法”(申请号CN 201510969901.6公开号CN 105550583A)中提出了一种利用随机森林分类方法来检测Android平台恶意软件行为的方法。该方法针对Android应用样本的多类特征，设计相应的随机森林决分类器，包括以下几种：Android应用样本的静态特征、权限集和API集构建样本库。该检测方法存在的不足之处是：该方法设计的随机森林分类器所有提取的特征均来自样本的静态特征，并不能检测Android应用样本在运行时数据。该方法对于所有Android应用程序进行特征提取，降低了安卓恶意检测成功率，不能充分利用随机森林分类器对特征进行分类。现阶段的一些基于分类器的安卓恶意软件检测方法存在以下不足之处：第一，现有的基于分类器的安卓恶意软件检测方法通常是对不同Android样本分类之后进行分析，或者是对样本逐个进行静态分析的处理方式使得恶意软件检测的实时性不能得到保障；第二，现有的基于应用程序接口数据流分析的安卓恶意软件检测方法使用的调用序列特征比较单一，没有充分利用应用程序接口数据流的各种类型的特征，使得恶意软件检测的检测准确率不能得到保障；第三，现有的基于应用程序接口数据流分析的安卓恶意软件检测方法中使用的应用程序接口数据流调用序列特征，通常现有的基于聚类算法的安卓恶意软件检测方法是对具有相同家族安卓样本进行分析，或者是对样本逐个进行静态分析的处理方式使得恶意软件检测的样本之间的内在关联性不能得到保障；第四，现有的基于随机森林分类器分析的安卓恶意软件检测方法中使用的静态特征，通常是Android应用标识符、申请权限、所调用的API等特征，在面对使用安卓应用样本进行运行时数据分析之时便不能有效进行检测；第五，现有的基于分类器的安卓恶意软件检测方法使用的运行时数据特征比较单一，没有充分利用Android应用样本运行时的各种类型的特征，降低了恶意软件检测的准确率。

发明内容