[发明专利]一种移动终端上的恶意应用软件的检测方法

说明书

技术领域：

本发明针对应用软件类别分布不均衡情况，采用重复抽样方法提高了对恶意应用软件的识别能力，避免用户手机遭受恶意应用软件的攻击。属于信息安全领域。

背景技术：

手机恶意应用软件可能会导致用户手机死机、关机、资料被删、向外发送垃圾邮件、拨打电话等，甚至还会损毁SIM卡、芯片等硬件。随着Android开放式操作系统的出现，用户可自行安装、添加应用程序，将造成该平台恶意应用软件数量呈爆炸式增长。

目前恶意应用软件检测方案主要有，基于特征代码的检测方案和基于行为的检测方案。基于特征代码的检测方案，通过抽取正常或恶意应用软件的代码特征来判断是否为恶意文件。基于行为的检测方案则是通过监视正常或恶意应用软件的行为或获取系统调用的函数序列，结合已知的恶意行为模式进行匹配，判断是否含有恶意行为。与基于行为的检测方案相比，基于特征代码的检测方案能耗更低，风险性更小，对实时性要求更低。在Android系统中广泛采用基于特征代码的检测方案，即静态分析方法检测恶意应用软件。静态分析方法需要运用机器学习算法对训练样本进行学习。但是由于信息安全法律约束，个人通过公开渠道获取大规模的恶意应用软件样本十分困难，缺乏足够的恶意应用软件样本。很多研究人员采用替代方案或者自行开发的方式来研究Android系统中的未知恶意应用软件。Shabtai等人利用机器学习方法对Android平台上的游戏和工具程序进行分类来评估对恶意程序的检测能力；BoSe等人通过自行开发恶意应用软件（提供了5种恶意应用软件）用于检测。检测结果的可靠性有待评估。

考虑到由于收集到的正常应用软件比恶意应用软件多，造成类别分布不均衡，当采用机器学习方法，使得分类器性能的大幅度下降，表现为小类别样本的识别率远低于大类别。而在实际的应用中，人们往往关注的是少数类的样本是否被正确识别，因此在该应用环境中，类别分布不均衡问题成为一个必须要考虑的问题。

发明内容：

本发明的目的在于尽量避免由于数据集不均衡造成的分类器性能下降的问题，提供一种在尽量不降低分类精度的前提下，有效地检测未知恶意应用软件的方法。在给出具体步骤之前，先给出相关定义：

定义1：数据集分布不均衡是指正常训练样本集中的样本数量要多于恶意训练样本集中的样本，至少为恶意训练样本数量的10倍；

定义2：数据集比例是指正常训练样本集与恶意训练样本集中的样本的数量之比；

定义3：放回抽样是指从训练样本集中随机抽取一定数量的样本，进行训练，并将每次被抽到的样本放回到训练样本集中，再进行下次抽样；

定义4：采用特征选择算法选取对分类贡献大的字符串作为特征，字符串是文件的重要组成部分，能够在一定程度上有效地表达文件；特征选择算法是去除表现力不强的字符串，筛选出针对恶意软件文件的特征项集合；

定义5：CHI方法是一种常用的特征选择算法，通过计算特征t与类别C_{i(i＝1,2...)}的相关程度来进行特征选择过程。CHI公式如下的相关性：