[发明专利]一种基于异构信息网络的安卓恶意程序检测的方法和系统

权利要求书

1.一种基于异构信息网络的安卓恶意程序检测的方法，其特征在于，包括以下步骤：

S1：在预处理模块中将所有APK文件反编译获得smali文件，从所有smali文件中统计出各种API调用被调用的次数，选出被调用次数最多的前N个API；

S2：关系矩阵构建模块从所有smali文件中提取API调用，根据不同的API关系构建出四种关系矩阵；

S3：关系矩阵中的实体及不同关系构成异构信息网络，元路径构建模块在异构信息网络中根据不同元路径生成不同特征矩阵；

S4：将不同特征矩阵组合用于多核学习模型建模；

S5：使用测试数据集对使用不同特征矩阵组合建模出的多核学习模型进行测试，选取准确率达到阈值的一个模型作为最终的安卓恶意程序检测分类器；

步骤S2所述四种关系矩阵包括：

A：关系矩阵A用于表示APP和API之间的关系，A_ij＝a_ij∈{0,1}表示APP_i是否含有API_j，如果a_ij＝1则APP_i中含有API_j，反之则无，这种关系用R0表示；

B：关系矩阵B用于表示API和API之间的关系，B_ij＝b_ij∈{0,1}表示API_i和API_j是否在同一个Block内，如果b_ij＝1则API_i和API_j在同一个Block内，反之则否，这种关系用R1表示；

P：关系矩阵P用于表示API和API之间的关系，P_ij＝p_ij∈{0,1}表示API_i和API_j是否属于同一个Package，如果p_ij＝1则API_i和API_j属于同一个Package，反之则否，这种关系用R2表示；

I：关系矩阵I用于表示API和API之间的关系，I_ij＝i_ij∈{0,1}表示API_i和API_j是否使用了同一种Invoke-method，如果i_ij＝1则API_i和API_j使用了同一种Invoke方法，反之则否，这种关系用R3表示；

其中，APP_i表示第i个安卓样本软件，API_i表示选取的第i个敏感API；

步骤S3所述的在异构信息网络中根据不同元路径生成不同特征矩阵的方法为：

元路径表示一个APP中的某个API和另一个APP中的某个API在同一个Block内出现过，用M_B表示由该元路径生成的特征矩阵；

其中训练集的M_B为M_B(N*n+j,N*m+i)＝(A0_mi＝＝1)(A1_nj＝＝1)(B_ij＝＝1)，测试集的M_B为M_B(N*n+j,N*m+i)＝(A0_mi＝＝1)(A2_nj＝＝1)(B_ij＝＝1)，分别表示训练样本或测试样本中的第n个APP中的第j个API和对照样本中的第m个APP中的第i个API是否在同一个Block内出现过，若为1，则表示在同一个Block内出现过，反之则否；

元路径表示一个APP中的某个API和另一个APP中的某个API属于同一个Package，用M_P表示由该元路径生成的特征矩阵；

其中训练集的M_P为M_P(N*n+j,N*m+i)＝(A0_mi＝＝1)(A1_nj＝＝1)(P_ij＝＝1)，测试集的M_P为M_P(N*n+j,N*m+i)＝(A0_mi＝＝1)(A2_nj＝＝1)(P_ij＝＝1)，分别表示训练样本或测试样本中的第n个APP中的第j个API和对照样本中的第m个APP中的第i个API是属于同一个Package，若为1，则表示属于同一个Package，反之则否；

元路径表示一个APP中的某个API和另一个APP中的某个API使用同一种Invoke-method，用M_I表示由该元路径生成的特征矩阵；

其中训练集的M_I为M_I(N*n+j,N*m+i)＝(A0_mi＝＝1)(A1_nj＝＝1)(I_ij＝＝1)，测试集的M_I为M_I(N*n+j,N*m+i)＝(A0_mi＝＝1)(A2_nj＝＝1)(I_ij＝＝1)，分别表示训练样本或测试样本中的第n个APP中的第j个API和对照样本中的第m个APP中的第i个API是否使用同一种Invoke-method，若为1，则表示使用了同一种Invoke-method，反之则否；

上述M_B，M_P和M_I表达式中的N表示敏感API的数量，关系矩阵A0,A1,A2,B,P和I中的两个下标分别表示该关系矩阵对应的行和列。