[发明专利]基于正则极限学习机的安卓恶意apk检测方法

说明书

本发明提供了一种基于正则极限学习机的安卓恶意apk检测方法，所述方法包括以下步骤：步骤1，按照功能类别对样本应用程序集apk进行分类，得到M个不同功能类别的样本子集；步骤2，从样本子集的应用清单AndroidManifest.xml文件中提取出第一类特征属性，根据样本子集的.smali文件提取出第二类特征属性，构造出基础特征矩阵R；步骤3，筛选出共有特征集合，作为特征子集X；步骤4，基于极限学习机算法进行模型训练得到初始分类检测模型等；步骤5，提取待检测应用程序apk，利用分类检测模型检测待检测应用程序是否为恶意应用程序。本发明能够快速高效地检测出威胁Android系统信息安全的恶意应用程序。

技术领域

本发明涉及恶意应用程序检测技术领域，具体的说，涉及了一种基于正则极限学习机的安卓恶意apk检测方法。基于正则极限学习机的安卓恶意apk检测方法及介质

背景技术

随着移动(智能)终端的普及与发展，各种APP应用程序成为人们工作、生活不可缺少的一部分，由此衍生而来的数据安全问题层出不穷。比如恶意扣费、隐私盗取、远程控制等多类问题，严重威胁移动终端的信息安全。恶意应用程序可以获取手机号、搜集用户手机IMEI码、系统版本号、发送短信、采集个人照片、访问位置信息等隐私数据，并将隐私数据上传到网络，造成隐私数据的泄露，使得Android系统信息安全技术的研究变得至关重要。

在网络安全日益严峻的今天，移动终端的安全问题更是广受关注，移动终端在带来便利的同时，也带来了极大的安全威胁，所以针对移动终端的信息安全研究刻不容缓。为了保障移动终端信息安全，面对层出不穷的恶意应用程序，国内外研究人员对Android应用程序开展了一系列的研究工作，主要采用静态分析方法或动态检测方法。

目前，静态分析方法大多通过从应用清单中提取应用权限和程序接口的方法进行应用程序检测，该种方法因考虑影响因素少，存在检测效率低，准确率不高的问题；而动态分析方法通常很难模拟出一个合适的环境来触发应用程序全部的恶意功能，而且无法预知应用程序的恶意行为被触发所需的时间长度。因此，提出一种能够快速高效地检测出威胁Android系统信息安全的恶意应用程序的技术，具有重要的理论意义和实用价值。

为了解决以上存在的问题，人们一直在寻求一种理想的技术解决方案。

发明内容

本发明的目的是针对现有技术的不足，从而提供一种基于正则极限学习机的安卓恶意apk检测方法。

为了实现上述目的，本发明所采用的技术方案是：

本发明第一方面提供一种基于正则极限学习机的安卓恶意apk检测方法，所述方法包括以下步骤：

步骤1，获取样本应用程序集apk，按照功能类别对所述样本应用程序集apk进行分类，得到M个不同功能类别的样本子集；

步骤2，从所述样本子集的应用清单AndroidManifest.xml文件中提取出第一类特征属性，从所述样本子集的.smali文件中提取出第二类特征属性，基于所述第一类特征属性和所述第二类特征属性构造出基础特征矩阵R；

其中，所述第一类特征属性包括硬件组件、系统权限、应用组件和意图过滤器，所述第二类特征属性为API调用特征标识符；

步骤3，使用信息增益算法对所述基础特征矩阵R进行评分，得到所述基础特征矩阵的第一评分结果；根据所述第一评分结果对所述基础特征矩阵R进行筛选，得到第一特征矩阵F；

通过Fisher Score算法对所述基础特征矩阵进行评分，得到所述基础特征矩阵的第二评分结果；根据所述第二评分结果对所述基础特征矩阵R进行筛选，得到第二特征矩阵I；

对所述第一特征矩阵F和所述第二特征矩阵I进行交集处理，筛选出共有特征作为特征子集X；