[发明专利]一种基于支持向量机的移动互联网恶意应用软件检测方法

权利要求书

1.一种基于支持向量机的移动互联网恶意应用软件检测方法，其特征在于，所述方法包括下述操作步骤：

（1）利用隐马尔科夫模型对所监控的移动互联网应用软件进行分析，得到当前程序相对于每一种软件基本操作类型的相似程度，形成相似度向量；

（2）先采用五种不同的核函数分别训练样本建立支持向量机模型，再根据训练好的模型，输入当前待测应用软件的相似度向量，输出支持向量机模型的判断结果，最后根据表决系统判定该软件是否为恶意应用软件。

2.根据权利要求1所述的方法，其特征在于：

所述步骤（1）进一步包括下列操作内容：

（11）运行所需分析的移动互联网应用软件，对其行为进行监控，按照设定的时长进行分段处理，将移动互联网应用软件的行为数据划分为一个行为段序列；

（12）提取行为段序列中每个行为段的特征：段CPU平均占用率、段内存平均占用率、段隐私访问次数、段wifi网络占用时间、段2G/3G网络占用时间、段摄像头开启次数、段位置信息获取、段设备信息获取；

（13）利用隐马尔科夫模型对基本软件操作进行建模和检测：先在训练过程中采用Baum-Welch算法调整隐马尔科夫模型中的各项参数，得到各个相应的模型后，再用Viterbi算法计算和检测当前检测的应用软件与每一种模型的相似程度，即最大似然值，在最大似然值的基础上形成最大似然值向量。

3.根据权利要求2所述的方法，其特征在于：

所述步骤（12）进一步包括下列操作内容：

（121）段CPU平均占用率指在应用软件在监控时间段内平均每秒钟对CPU的占用量；

（122）段内存平均占用率指在应用软件在监控时间段中平均每秒钟对内存的占用量；

（123）段隐私访问次数指应用软件在监控时间段中访问用户通信录、图片和短信的总次数；

（124）段网络占用时间指应用软件在监控时间段中访问网络的时间；

（125）段摄像头开启次数指应用软件在监控时间段中打开手机摄像头的次数；

（126）段位置信息获取指示了应用软件在监控时间段中是否获取过用户位置信息，如果有，则此特征为1，如果没有，则此特征为0；

（127）段设备信息获取指示了应用软件在监控时间段中是否获取IMEI号、基带版本、内核版本这些设备信息，如果有，则此特征为1，如果没有，则此特征为0。

4.根据权利要求2所述的方法，其特征在于：

所述步骤（13）进一步包括下列操作内容：

（131）设定共需建立N种基本软件操作类型，当前待检测应用的行为与其中第i种类型的相似程度，即最大似然值为c_i，那么，当前待检测应用的相似度向量为c={c₁,c₂,……,c_N}。

5.根据权利要求2所述的方法，其特征在于：所述步骤（11）中的设定时长范围推荐为200s至500s的短时间时长。

6.根据权利要求1所述的方法，其特征在于：

所述步骤（2）进一步包括下列操作内容：

（21）对于指定样本分别选择线性核函数、多项式核函数、径向基函数、Sigmoid核函数和复合核函数建立支持向量机模型，并将这些模型分别标记为SVM_i，其中i=1,2,3,4,5；

（22）根据训练好的支持向量机模型，将当前待测应用软件的相似度向量依次输入5个模型，得到输出结果。若SVM_i的输出结果表明当前软件为恶意软件则令C_i=1，否则C_i=0，其中i=1,2,3,4,5；

（23）计算若R≥0，则判定该软件为恶意应用软件，否则为非恶意应用软件。