[发明专利]基于多特征快速高效的安卓恶意软件检测方法在审
| 申请号: | 202110003149.5 | 申请日: | 2021-01-04 |
| 公开(公告)号: | CN112668006A | 公开(公告)日: | 2021-04-16 |
| 发明(设计)人: | 解男男;白宏鹏;从立钢;祁晖;任维武 | 申请(专利权)人: | 长春理工大学 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 长春众邦菁华知识产权代理有限公司 22214 | 代理人: | 曲博 |
| 地址: | 130000 吉林*** | 国省代码: | 吉林;22 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 特征 快速 高效 恶意 软件 检测 方法 | ||
基于多特征快速高效的安卓恶意软件检测方法,涉及智能手机信息安全领域,解决现有使用单一特征的机器学习算法无法充分发挥其数据处理能力,检测效果不佳,而使用多特征的机器学习算法虽然提升了检测效果,却需要大量的时间以及高质量的硬件来满足检测条件等问题。本发明将CatBoost算法应用到安卓恶意软件检测与分类领域,将权限与Dalvik操作码特征相结合,利用N‑Gram方法对特征进行切分,并设计特征降维方法对其进行处理,能够更全面地表现安卓应用信息,以便更精确地建立特征模型。本发明的检测方法大幅度减少数据的存储空间,降低检测的计算复杂度,能够快速且精确的检测安卓恶意软件。
技术领域
本发明涉及智能手机信息安全领域,具体涉及基于多特征快速高效的安卓恶意软件检测方法。
背景技术
随着智能手机和应用软件的迅速发展,针对智能手机的恶意软件对人们的生活和企业的生产造成了较大的负面影响。面对安卓恶意应用软件带来的严重安全威胁,越来越多的国内外研究者将目光放在安卓应用安全方向。现有的对安卓恶意应用检测的研究一般分为静态分析方法和动态分析方法。使用静态分析可以更好的理解程序的源代码,而动态分析则可以更好的理解程序的行为。
静态分析涉及到二进制相关的技术,其中包括反编译、逆向分析、模式匹配和静态系统调用分析等。静态分析技术有一个共同的特点:应用程序不被执行。静态分析的优点是能耗低、风险小、速度快,对实时性要求低;缺点是由于不在真实的环境下运行,恶意代码可能通过伪装、代码混淆等手段逃避检测,从而导致针对特定类型的恶意软件检测准确率较低。动态分析是一种基于应用程序运行时行为的检测技术,通常需要在沙箱等环境下实际运行软件,以监控该软件对网络、系统调用、文件和内存的访问、信息的访问模式及其处理行为等。通过分析这些行为是否正常来判断其恶意性。动态分析的优点是不受代码混淆和加密的影响,但需耗费系统资源,对分析人员的技术能力要求也较高,不利于对大规模的应用进行检测。
由于安卓恶意软件数量的快速增加,使用动态检测不能满足快速检测的需要。因此,亟需一种检测精度高、检测速度快的静态分析安卓恶意软件检测方法。
发明内容
本发明为解决现有安卓恶意软件检测中,使用单一特征的机器学习算法无法充分发挥其数据处理能力,检测效果不佳;而使用多特征的机器学习算法虽然提升了检测效果,却需要大量的时间以及高质量的检测硬件来满足检测条件等问题,提供一种基于多特征快速高效的安卓恶意软件检测方法。
基于多特征快速高效的安卓恶意软件检测方法,该方法由以下步骤实现:
步骤一、收集安卓平台的正常应用软件和恶意应用软件;
步骤二、对步骤一获得的正常应用软件和恶意应用软件进行反编译,获取每个应用软件的全部权限特征以及Dalvik操作码序列;
步骤三、对步骤二获取的Dalvik操作码序列,采用N-Gram方法,提取长度为N的操作码序列;
步骤四、将步骤二所述的全部权限特征与步骤三采用N-Gram方法提取的操作码序列相结合,作为样本特征;构造共包含m个样本特征的特征集S并为每个样本a构造原始特征向量,构造特征向量的公式为:
式中,Va为每个样本的特征向量,vi为样本中存在的特征,n为特征vi在样本中存在的数量;
步骤五、对所述特征集S进行特征选择,具体步骤为:
步骤五一、对于提取到的全部权限特征,只保留Google官方提供的权限特征,删除第三方自定义的特征;
步骤五二、对于提取到的样本特征,采用X表示,Xi为特征集中的第i个样本特征,Y表示样本类别;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于长春理工大学,未经长春理工大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110003149.5/2.html,转载请声明来源钻瓜专利网。
