[发明专利]移动终端恶意行为检测方法、系统、介质、设备及应用

说明书

本发明属于移动终端恶意行为信息检测技术领域，公开了一种移动终端恶意行为检测方法、系统、介质、设备及应用，包括：验证同类行为特征集合的紧密覆盖集的存在性，提出同类行为特征集合的紧密覆盖集构造算法和同类行为特征区域紧密覆盖面模型和求解算法；分别实现动静态分析相结合的程序行为特征提取方法、融合独立性、连续性分析的移动终端恶意行为特征提取方法，并训练样本的鲁棒化；构建基于紧密覆盖学习的移动终端恶意行为检测模型。本发明不需要对各个应用进行插装，监控应用的所有行为，攻击者无法通过调用冷僻的API绕过监控，也很难发现或对抗监控模块，将现有基于机器学习的移动终端恶意行为检测方法的错误检测率降低3％左右。

技术领域

本发明属于移动终端恶意行为信息检测技术领域，尤其涉及一种移动终端恶意行为检测方法、系统、介质、设备及应用。

背景技术

目前，随着移动互联网的飞速发展，智能手机已成为本发明日常生活中不可或缺的工具。社交、娱乐、金融，各种 各样的移动应用为用户提供了便捷的服务。这些移动应用在为用户生活带来便利的同时，也为用户的隐私和财产安全带来威 胁。2019年1月，腾讯移动安全实验室发布的《2018年手机安全报告》显示，2018年新增恶意移动应用数量达到800.62 万个，中国Android手机病毒感染用户数近1.13亿；恶意应用的主要类型是资费消耗和隐私窃取，仅暗扣话费类的恶意行 为每天就会造成数千万元的经济损失。2015年中国网民因个人信息泄露、垃圾信息、诈骗信息等现象导致总体损失就达805 亿元。正因为如此，早在2015年，我国网络安全，包括移动安全就已上升到国家战略层面。和发展网络安全，包括移动安 全保护技术和方法是国家急需。机器学习内容和应用范围十分广泛。而支持向量机SVM与深度学习的是机器学习的重要内 容。而且支持向量机与深度学习的应用取得机器学习(人工智能)应用的多个突破。因此这里只简单综述SVM与深度学习 与应用国内外现状及发展动态。

支持向量机SVM思想是将所有特征向量映射到一个很高维的空间里，在这个空间里建立有一个最大间隔超平面，该超 平面对应的原始空间曲面就是分类决策面。在分开两类特征向量(数据)的超平面的两边建有两个互相平行的超平面。分隔 超平面使两个平行超平面的距离最大化。支持向量机建立了一套有效的小样本学习理论(也称统计学习理论)，突破了小样 本学习的瓶颈。支持向量机应用极为广泛，实际上，能归结为模式识别、模式分类的问题都可以用支持向量机来求解，如， 模式识别、故障检测、入侵检测、舆情监控等。仅用Support Vector Machine作为题名在ScienceDirect Online(Elsevier全文 期刊库)搜索2018年论文就能搜索到1669篇论文。2018年11月我在京东网上一次性买到22本不同的关于支撑向量机和应 用专著。

显然，对于二分类，SVM确定的同一类特征区域往往是无界区域，而实际的同类行为特征区域都是有界的。因此SVM 确定的同一类特征区域侵占了别的其他类的实际特征区域或未知类的特征区域。而且侵占较严重，有较大错分样本的风险。 因此不适合直接用于做重大疾病认证识别、通过生物特征对人身份认证识别、钞票认证识别、票据认证识别、恐怖分子认证 识别、入侵检测等分类器设计工作。又由于当增加训练样本或增加新类别时，求解SVM分类决策面的工作需要重新进行。 因此SVM没有增量学习功能。在多分类的SVM分类器设计中，SVM确定的同一类特征区域也侵占了别的其他类的实际特 征区域或未知类的特征区域。且改变一个训练样本或增加一个类别，相应分类器学习训练过程需要重头开始，分类器无法继 承以前训练学习的任何结果，因此SVM多分类器也没有增量学习功能。在许多改进的SVM方法(考虑到有时不同类行为 特征区域不平衡等特性)中，(1)没有引入合适拒识机制：实际上是不方便确定拒识区域。因为当前方法下，确定了拒识 区域并不一定带来正确识别率提高；(2)SVM确定的同一类特征区域会侵占未知类的特征区域，有把未知类样本错判为某 已知类的风险。SVM分类器正确识别率不能逼近100％：SVM确定的已知类特征区域都尽可能最大化占据未知特征空间； (3)SVM分类器没有增量学习功能：当增减类别时，学习训练工作要彻底重来。当任一增加或减少训练样本时，学习训练 工作也要彻底重来。