[发明专利]一种基于局部二值模式和主成分分析技术的安卓恶意软件检测方法

说明书

技术领域

本发明涉及局部二值模式和主成分分析技术的安卓恶意软件检测方法。

背景技术

随着信息时代的来临，移动智能手机逐渐成为国民信息基础设备。据国际数据中心(IDC)2016年第三季度发布的智能手机操作系统市场占比显示，安卓操作系统占比86.8％，远超iOS(12.5％)，Windows(0.3％)以及其他操作系统(0.4％)，安卓操作系统已成为当今最主流的智能手机操作系统。

由于安卓系统的流行，一系列安全问题的随之涌现。据德国网络安全公司GDATA最新公布的一份调查报告显示，安卓恶意软件数量逐年递增，其中2017年第一季度发现了超过75万个新的Android恶意软件应用程序。每天都会有近8,400个新的恶意软件样本出现。这些恶意应用的恶意行为多种多样，一旦被用户将这些恶意应用安装在手机中，用户的隐私信息极有可能会被泄露，如用户短信记录被窃取、通信信息甚至是个人照片在用户不知情的情况下会被上传，更有甚者，会恶意吸取用户话费，这些给用户造成了精神和经济上的损失。

面对如此大量的安卓恶意软件的出现及其对互联网安全的这种严重威胁。一些学者提出了静态检测安卓恶意软件的方法，即通过反编译提取应用软件的操作码或字符串等特征，再对这些特征进行分析。由于这些方法都需要使用反编译工具来获得特征，在这一过程中会占用大量的系统资源且要耗费大量时间开销，此外，存在一些特殊场景无法使用反编译工具，那么应用软件的特征便无法获得，对安卓软件的检测更无从谈及了。

另一方面，有一些学者提出了动态检测安卓恶意软件的方法，该方法无需像静态检测那样使用反编译工具获取特征，但需要在沙箱、虚拟机等环境下执行或者模拟安卓应用的安装和运行等操作，然后监控记录该应用在运行过程中的各项行为数据(比如网络通信访问、文件数据的读写、进程操作等)，通过与己知恶意软件的特征比对，检测出恶意软件的变种。然而，动态检测的这些方法仍需要在沙箱、虚拟机中模拟和监控安卓应用的行为，在这一过程中也会占用大量的系统资源，且监控和模拟安卓应用行为需要大量时间开销。此外，存在一些特殊场景并不适合使用沙箱或虚拟机，此种情况下便无法对安卓应用进行检测。

发明内容

本发明目的在于利用提取的二进制纹理特征，通过局部二值模式、主成分分析技术，使用K最近邻算法来快速来识别安卓恶意软件。通过比较未知样本与安卓恶意软件和非恶意软件的相似性来检测是否为恶意软件。与现有的方法相比，本发明的优势在于不需要任何反编译工具或沙箱、虚拟机等，大大节省资源和时间开销。

定义1，M为训练集，M＝{m₁,m₂}，m₁代表安卓恶意样本数据集，m₂代表非恶意样本数据集。

定义2，x_j是一个二进制软体实例，若x_j是从恶意样本提取的二进制序列，则x_j∈m₁，否则x_j∈m₂。

定义3，Tex是从二进制灰度图像中提取的二进制序列纹理特征。

定义4，T(x_j)是根据x_j通过局部二值模式计算得到的二进制序列纹理特征列向量，T(x_j)是一个由256行1列组成的向量。

本发明的工作流程图如图1所示。我们首先读取安卓二进制文件，并将其直接转换二进制画像，通过使用局部二值模式(LBP)我们可以提取该画像的纹理特征，为了在降低时间消耗的同时并保持准确度，我们使用主成分分析方法(PCA)来对安卓二进制纹理特征进行降维，最后，我们通过K最近邻算法来对安卓恶意二进制软件和非恶意二进制软件进行分类。本发明的方法包括如下四个步骤：

1.构建安卓软件二进制序列灰度图像。本发明通过顺序读取安卓软件的二进制序列生成二进制序列灰度图像。

2.采用局部二值模式对安卓软件灰度图像进行纹理特征提取。本发明基于生成的安卓软件二进制序列灰度图像，采用局部二值模式提取该灰度图像的纹理特征，形成纹理特征向量。

3.采用主成分分析技术对纹理特征向量进行降维。由于本发明提取的安卓灰度图像的纹理特征向量维度较大，为了在降低维度的同时不失检测精度和速度，本发明采用主成分分析方法降维。