[发明专利]具有隐私保护的多恶意软件混合检测方法、系统、装置

权利要求书

1.一种具有隐私保护的多恶意软件混合检测方法，其特征在于，所述具有隐私保护的多恶意软件混合检测方法包括以下步骤：

第一步，第三方根据同态加密密钥生成算法生成公私钥对，并将公钥公布给所有客户端与服务端；

第二步，客户端收集用户群使用不同软件的行为数据，进行简单地初步计算，使用来自第三方的公钥对数据加密并与生成的随机数相加后将结果上传给服务端；

第三步，服务端利用信誉评估算法根据上传的用户群的加密数据，利用同态加法性质并通过与第三方交互解密，在不得到客户端隐私数据的情况下，完成对不同软件信誉值的计算，并根据软件信誉值的大小对其进行排序，确定软件的检测顺序；

第四步，在检测时，服务端按照顺序依次与客户端进行交互调取软件对应的使用反编译软件APK获取的API使用次数数据，根据静态学习模型对软件依次进行静态检测，对于静态检测结果为非恶意的软件，再根据客户端收集到的系统调用相关加密数据以及客户端发布的根据同态加密密钥生成算法生成的公钥，利用同态加法性质以及动态学习模型进行实时检测；

所述多恶意软件混合检测方法的实时检测利用软件运行时的系统调用序列数据进行实时检测，一旦发现恶意行为，立即向客户端反映；与此同时，收集的系统调用信息中隐含着用户使用软件的行为隐私；具体包括：

第一步，分为客户端的密钥生成和服务端的线下模型训练两个阶段；

线下训练：服务端对已有的正常和恶意软件的样本集进行模拟运行，分别获取它们的系统调用序列，并使用特征选择算法选取序列的特征集合，将每个样本基于该特征集合转化成特征向量形式表示；使用SVM算法对模型进行训练并得到决策函数中的ω和b值用于实时检测；决策函数公式为：

密钥生成：客户端根据同态加密密钥生成算法KeyGen生成公私钥对(PK_p，SK_p)，并将公钥发布给服务端；

第二步，客户端在给定的时间窗口，获取软件使用过程中的系统调用序列，根据特征集合统计对应特征出现的频率({x_i}，i＝1，...，n)，并使用公钥PK_p对每一个特征值x_i进行加密得到加密后的特征向量[HE(x₁)，HE(x₂)，...，HE(x_n)]，然后将其发送至服务端；

第三步，服务端接收到来自客户端的加密数据后，使用公钥PK_p对第一步的线下训练中获取的b值进行加密得到HE(b)；根据同态性质，由以下公式计算得到HE(ωx+b)；

之后，将HE(ωx+b)发送给客户端；

第四步，客户端利用私钥SK_p对数据进行解密，得到ωx+b，根据决策函数公式得知该软件是否为恶意。

2.如权利要求1所述的具有隐私保护的多恶意软件混合检测方法，其特征在于，所述多恶意软件混合检测方法的信誉评估根据用户对软件的使用情况来量化软件的受欢迎程度，用信誉值表示；引入了半可信第三方，借助同态加密技术来完成隐私保护。