[发明专利]一种基于Dalvik指令和权限组合的安卓恶意软件检测方法

摘要

本发明公开了一种基于Dalvik指令和权限组合的安卓恶意软件检测方法，所述方法包括S1、使用解压缩工具打开安卓应用软件包，得到classes.dex文件和AndroidManifest.xml文件；S2、反编译classes.dex文件构建Dalvik指令的频率特征，然后采用检测模型对安卓应用软件包进行正常软件和恶意软件的检测；S3、反编译AndroidManifest.xml文件提取权限特征，并构建权限特征向量，由分类算法建立分类器，进行正常软件和恶意软件的检测。本发明能够有效对抗混淆加密等技术，基于Dalvik指令的检测方法是一种轻量级的检测方法，结合权限组合的检测机制，在保证检测的准确率的同时，减小了计算量。

主权项

一种基于Dalvik指令和权限组合的安卓恶意软件检测方法，其特征在于，所述方法包括：S1、使用解压缩工具打开安卓应用软件包，得到classes.dex文件和AndroidManifest.xml文件；S2、反编译classes.dex文件构建Dalvik指令的频率特征，然后采用检测模型对安卓应用软件包进行正常软件和恶意软件的检测；S3、反编译AndroidManifest.xml文件提取权限特征，并构建权限特征向量，由分类算法建立分类器，进行正常软件和恶意软件的检测，所述步骤S2中检测模型的构建方法为：Dalvik指令的频率特征为：absoluteFreqi＝{Ci,freq(i,1),freq(i,2),…,freq(i,j)|1≤j≤n}，其中当且仅当Ci＝1时该软件为恶意软件，当且仅当Ci＝0时该软件为正常软件，n为Dalvik指令的个数，freq(i,j)表示第i个应用软件中出现第j个指令的绝对频率；将正常软件与恶意软件的样本集合集制成一个特征矩阵FM，得到检测模型，所述步骤S2还包括：将Dalvik指令的绝对频率转化为相对频率relativeFreqi：relativeFreqi={Ci,freq(i,1)s.um(i),freq(i,2)sum(i),...,freq(i,j)sum(i)|1≤j≤n},]]>其中表示第i个软件包所有Dalvik指令出现的次数总和，所述步骤S2还包括：根据特征矩阵FM和阀值tp，提取有效区分正常软件与恶意软件的特征子集FS，所述步骤S2具体包括：若Dalvik指令的频率特征中Ci＝0，将该绝对频率freq(i,j)加入freq(i)b中；若Dalvik指令的频率特征中Ci＝1，将该绝对频率freq(i,j)加入freq(i)m中；定义diff＝benignMeanFreq/malwareMeanFreq，其中：benignMeanFreq={freq(1)bnumb,freq(2)bnumb,...,freq(n)bnumb},malwareMeanFreq={freq(1)mnumm,freq(2)mnumm,...,freq(n)mnumm};]]>若diff(j)>阀值tp，则将该指令加入到特征子集FS中；freq(i)b表示正常软件中每一维指令的绝对频率的总和，freq(i)m表示恶意软件中每一维指令的绝对频率的总和，numb表示正常软件的个数，numm表示恶意软件的个数。