[发明专利]一种Android系统恶意软件检测中动静混合特征提取方法

说明书

本发明提供了一种Android系统恶意软件检测中动静混合特征提取方法，在静态数据集的基础上，基于CHI统计方法筛选并搭建高危权限和敏感API库；根据高危权限和敏感API，利用反编译手段分析、筛选得到基于静态数据集的静态特征；将APK文件运行在搭建了开源框架Xposed的Android模拟器上，通过Hook系统敏感API和监控系统运行状态信息，得到基于敏感API调用和系统运行状态的动态特征；组合静态特征和动态特征为最终的动静混合特征。本发明所提方法兼顾静态和动态特征，利用低维特征数据尽可能多的描述恶意软件的综合恶意特征，对Android恶意软件具有良好的检测准确率。

技术领域

本发明涉及特征提取领域，尤其是一种用于Android恶意软件检测的动静混合特征提取方法。

背景技术

针对Android恶意软件的检测工作，既依赖于分类器的优劣程度，更依赖于用于分类的特征向量能否最大程度地反映出恶意软件的全部特征信息。目前，研究者们对于Android恶意软件的特征提取工作，并未做深入研究。如董庆宽等人的发明方法中只通过获取应用程序运行时trace文件来获取特征，未考虑静态特征对于恶意软件检测结果的影响；谢丽霞等人只通过静态数据集筛选出静态特征子集，再得到分类器对应的最优子集，未考虑动态特征对于恶意软件检测结果的影响。

发明内容

为了克服现有技术的不足，本发明提供一种Android系统恶意软件检测中动静混合特征提取方法。在静态数据集的基础上，基于CHI统计方法筛选并搭建高危权限和敏感API库；根据高危权限和敏感API，利用反编译手段分析、筛选得到基于静态数据集的静态特征；将APK文件运行在搭建了开源框架Xposed的Android模拟器上，通过Hook系统敏感API和监控系统运行状态信息，得到基于敏感API调用和系统运行状态的动态特征；组合静态特征和动态特征为最终的动静混合特征。

本发明解决其技术问题所采用的技术方案是：

步骤一：基于CHI统计方法筛选高危权限；

基于CHI统计方法筛选高危权限，具体流程如下：

(1)选取N个样本，包含恶意样本N_K个和正常样本个，且满足

(2)选取Android系统的所有权限作为权限集P＝{p₁,p₂,...,p_M}；

(3)对于权限p_i∈P(i＝1,2,...,M)：

表1权限样本分组

计算权限p_i的CHI值：

其中，N＝A+B+C+D，A表示属于类别K且含有权限p_i的样本数，B表示属于类别K但不含权限p_i的样本数，C表示不属于类别K但含有权限p_i的样本数，D表示不属于类别K且不含权限p_i样本数；

(4)由于CHI值越高，表示权限p_i与恶意性的相关程度越高。因此，按照CHI值从大到小排序，选取高危权限列表如表2所示：

表2高危权限列表

步骤二：基于凝聚层次和K-Means结合方法去除权限之间相关性

Android部分权限之间存在较强的相关性，若同时选取具有明显相关性的权限作为特征，则对分类结果产生显著影响；

K-Means聚类算法快速处理大量数据，但是不能自动寻找最优聚类的类别数量，从而导致结果质量的不稳定性；