[发明专利]结合动态行为特征的Android未知恶意软件检测方法

说明书

技术领域

本发明涉及一种结合动态行为特征的Android未知恶意软件检测方法，属于计算机与信息科学技术领域。

背景技术

自1999年3月Symbian5.0系统诞生以来，十几年间，智能手机操作系统得到了蓬勃的发展。近年来，诸如Android、Windows Phone、iOS等新一代操作系统逐渐占据了智能手机操作系统的大部分市场。其中，Android系统作为一款开源操作系统，发展最为迅速。

Android系统的快速发展不仅为广大智能手机用户带来了便利，其巨大的市场及商业价值更是吸引了全球黑客的目光。据腾讯移动安全实验室《2016年上半年手机安全报告》显示2016年上半年新增Android病毒包918.25万个，同比增长53.90％，是2014年全年新增病毒包(100.33万个)的9.15倍。其中新增支付病毒包32.33万个，同比增长986.14％，支付病毒形式严峻。2016年上半年手机病毒感染用户数超2亿，是英国总人口数的3.12倍，同比增长42.35％。其中支付病毒感染用户数1670.33万，同比增长45.82％。

综观现有恶意软件检测方法，通常使用的方法有：

1.特征库匹配方法

该方法通常先对恶意软件进行特征提取，然后与已经建立好的恶意软件特征数据库进行匹配，从而检测出软件是否为恶意软件。这种方法需要与已知的恶意软件特征库进行比较，从而无法检测出未知的恶意软件。

2.机器学习方法

由于机器学习的方法在PC平台未知恶意软件检测中取得了良好的效果，越来越多的研究将这类方法应用到Android系统。传统的特征库匹配方法无法检测未知恶意软件，现有的基于机器学习的Android恶意软件检测方法，较特征库匹配法有所改进，能检测未知恶意软件，但仅采用单一的静态特征或动态特征较难全面表达恶意软件的关键属性，容易造成误识或漏识，导致检测效果下降，如果提取的特征维数过高同样会对检测效率造成影响。同时，在测试数据方面，如果具有更多种类和数量的负样本，正负样本尽量保持数量上的平衡，可进一步提升检测准确率。

综上所述，现有的检测方法无法高效、准确、全面地检测恶意软件，所以本发明提出一种结合动态行为特征的Android未知恶意软件检测方法。

发明内容

本发明的目的是为提高检测Android未知恶意软件的准确率并降低特征提取维度，提出一种结合动态行为特征的Android未知恶意软件检测方法。

本发明的设计原理为：本发明可以对待检测的Android软件进行动态行为特征提取与静态文件特征提取，并用分类算法进行分类，判断出该软件是否为恶意软件。首先，将被检测软件输入到系统中。然后，系统会对软件包进行解压缩与反编译，并提取结果文件中的静态特征；同时，系统会在Android模拟器中运行该软件包，使用基于LKM(Linux可加载内核模块)的应用软件行为监控方法监控软件的动态行为，并记录日志，在日志中提取软件的动态行为特征。最后，将提取出的动静态特征进行归一化处理，输入到训练好分类算法分类检测模块中，该模块可根据输入的动静态特征数据自动判断出被检测软件是否为恶意软件。

本发明的技术方案是通过如下步骤实现的：

步骤1，将Android软件的apk包作为输入，提取其静态文件特征。

步骤2，使用基于LKM(Linux可加载内核模块)的应用软件行为监控方法监控软件的动态行为，提取软件的动态行为特征，其具体实现方法为：

步骤2.1，当被监控软件试图产生恶意行为时，系统首先会劫持并替换被监控软件产生的行为对应的Linux系统调用。

步骤2.2，在替换后的系统调用处理例程里，对系统调用的参数进行解析，判断出监控到的是何种行为。

步骤2.3，记录被监控软件的恶意行为日志，分析日志，提取软件的动态行为特征。

步骤3，将步骤1和步骤2二者结果的并集作为初始特征集。

步骤4，采用特征选择算法从初始特征集里选择出对分类最有价值的特征，降低特征的维度，筛选出关键特征集。

步骤5，将选择出关键特征集作为输入，采用分类算法进行分类器训练，最终生成恶意软件检测模型，并对待检测样本进行检测。

有益效果

相比于传统的特征库匹配方法，本发明可以检测未知恶意软件。