[发明专利]一种恶意软件检测装置及方法

权利要求书

1.一种恶意软件检测装置，其特征在于，包括：

反编译模块：用于对输入的应用软件安装包进行反编译，获取反编译文件；

特征提取模块：用于从所述反编译文件中提取API特征文件；

特征格式化模块：用于将所提取的API特征文件格式化为设定的文件格式；

模型训练及检测模块：用于通过格式化后的API特征文件训练随机森林分类模型，通过随机森林分类模型进行恶意软件的检测。

2.根据权利要求1所述的恶意软件检测装置，其特征在于，所述反编译模块采用Apktool反编译工具对输入的应用软件安装包进行反编译，所述反编译文件为Smali文件。

3.根据权利要求2所述的恶意软件检测装置，其特征在于，所述特征提取模块提取API特征文件的提取方式为：遍历Smali文件，找到与API调用相关的Dalvik指令；根据Dalvik指令随后的参数获取应用程序所调用的API，并对API进行字符串匹配，如果该API是受权限保护的API，则将该受权限保护的API存储在该应用程序对应的API特征文件中。

4.根据权利要求3所述的恶意软件检测装置，其特征在于，所述特征格式化模块对API特征文件进行格式化的方法为：为API特征文件中的每个API设置一个编号，如果应用软件中使用了该API特征文件中存储的API，该API对应的编号项值为1，如果应用软件中没有使用该API特征文件中存储的API，则该API对应的编号项值为0。

5.根据权利要求4所述的恶意软件检测装置，其特征在于，所述模型训练及检测模块训练随机森林分类模型的方式为：将格式化后的API特征文件输入到Spark MLlib提供的随机森林分类模型训练接口，训练获取分布式随机森林分类模型。

6.一种恶意软件检测方法，其特征在于，包括：

步骤a：对输入的应用软件安装包进行反编译，获取反编译文件；

步骤b：从所述反编译文件中提取API特征文件；

步骤c：将所提取的API特征文件格式化为设定的文件格式；

步骤d：通过格式化后的API特征文件训练随机森林分类模型，通过随机森林分类模型进行恶意软件的检测。

7.根据权利要求6所述的恶意软件检测方法，其特征在于，在所述步骤a中，所述对应用软件安装包进行反编译具体为：采用Apktool反编译工具对输入的应用软件安装包进行反编译，所述反编译文件为Smali文件。

8.根据权利要求7所述的恶意软件检测方法，其特征在于，在所述步骤b中，所述API特征文件的提取方式为：遍历Smali文件，找到与API调用相关的Dalvik指令；根据Dalvik指令随后的参数获取应用程序所调用的API，并对API进行字符串匹配，如果该API是受权限保护的API，则将该受权限保护的API存储在该应用程序对应的API特征文件中。

9.根据权利要求8所述的恶意软件检测方法，其特征在于，在所述步骤c中，所述对API特征文件进行格式化的方法为：为API特征文件中的每个API设置一个编号，如果应用软件中使用了该API特征文件中存储的API，该API对应的编号项值为1，如果应用软件中没有使用该API特征文件中存储的API，则该API对应的编号项值为0。

10.根据权利要求9所述的恶意软件检测方法，其特征在于，在所述步骤d中，所述训练随机森林分类模型的方式为：将格式化后的API特征文件输入到Spark MLlib提供的随机森林分类模型训练接口，训练获取分布式随机森林分类模型。