[发明专利]一种android恶意软件的静态检测方法、系统及介质

说明书

本发明请求保护一种Android恶意软件检测的方法、系统及介质，本发明引入智能代理模型的概念来动态认定应用程序。该方法首先提取Android系统清单文件存在的风险属性，通过词频计算转化为数值，再由等距分箱处理将数值划分为三类集合X_LR、X_HR和X_MR，进而确定样本集类型并加入到模型中，其次对提取的权限属性，API属性等根据不同类别采用并行化的特征选择和特征融合方式，使得最大程度地去除相关性和冗余性属性，最后对处理后的特征集进行归一化处理，构建支持向量机分类器。本发明的优点在于，根据分类结果对智能代理模型进行动态调整，进而提高了检测过程中的可识别性，并通过对特征的分类处理，更加有效的利用了特征数据，提高了分类模型的准确性。

技术领域

本发明属于通信领域软件检测方法，尤其涉及一种针对安卓恶意软件的检测方法。

背景技术

以谷歌公司为首的OHA(Open Handset Alliance)在2008年推出了基于Linux平台的开源的Android操作系统，带动了整个手机行业。由于功能的丰富多样、交互便捷等众多优势，智能手机的发展越来越迅速，已经成为我们日常生活中不可或缺的一部分，随之Android应用程序数量也相继在各大平台上迅速增长，由此Android平台上的安全问题就成了我们关注的焦点。智能手机中收集、存储的一些个人数据就属于高度隐私和敏感的，Android使用信息系统来控制应用程序访问敏感数据和数据存储等，为了确保安全性和隐私性，Android系统使用多重的安全模型来对敏感数据进行访问。Android系统一直以来是一个纵向的结构，在整个系统中，聚焦于程序的设计、安装以及运行。进而展望整个Android系统的安全发展，总体在恶意程序的检测上，取得了相当多的成绩，但很多新的恶意应用程序还不能很好的应对。所以从用户角度上来看，Android系统并没有变得更加安全，恶意应用程序的检测是还处于发展阶段。

静态检测方法的检测技术是程序在不运行的情况下，分析程序指令与结构来确定功能的过程，通过对程序进行反编译以及各种逆向工具，对其中的权限、敏感函数调用等进行详细分析，了解该应用程序的意图。

通过对Android应用程序进行反编译等处理，能够知道里面存在大量的属性，属性的个数越多，分析属性和分类模型所需要的时间就越长，而其中维度过高容易引起模型复杂，导致分类效果下降，对于分类模型来说，可能会因为样本中的特征属性微小的变化，产生巨大的波动，能剔除冗余的、不相关的、一部分弱相关的属性，就能减少训练时间，提高模型精确度，所以从中找到有效的特征就尤为重要，通过对特征的改进，就能识别问题区域，改进数据而不是直接删除数据，使得经过特征选择后的属性能更好的反应出潜在的问题，而现有的静态检测技术对属性的筛选存在很大的偏差，忽略了Android应用程序本身存在的风险属性和恶意的性质是代码导致的。若缺乏对Android应用程序本身存在的属性分析，则会影响检测模型对Android应用软件的鉴别效率和精确度。

发明内容

本发明旨在解决以上现有技术的问题。提出了一种更加有效的利用了特征数据，提高了支持向量机检测模型的准确性的android恶意软件的静态检测方法。

本发明的技术方案如下：

一种android恶意软件的静态检测方法，其包括以下步骤：

步骤1、对获取的Android应用程序进行逆向得到数据集，再对数据集进行样本分析，提取数据集中明显存在风险的数据；

步骤2、提取AndroidManifest文件中的exported属性值、debuggable属性值和allowBackup属性值，采用基于词频算法对属性值进行计算；

步骤3、提取AndroidManifest文件中的权限属性和smali文件中的API属性，采用相关性计算方法，首先去除与类别不相关的属性，然后对采用余弦相似度和杰卡德系数对各类别属性进行分别处理并去取出共同属性，最后融合各类别特征，得到融合后的特征集；