[发明专利]移动终端应用的分类和检测方法

说明书

本发明实施例提供了一种移动终端应用的分类和恶意检测方法。该方法主要包括：提取出应用样本的特征向量，将所述应用样本的特征向量分别输入到各种分类算法中；每种分类算法分别输出所述应用样本为恶意应用或者正常应用的分类结果，将各种分类算法输出的分类结果进行投票表决处理，得到应用样本最终的分类结果。本发明实施例的应用样本的分类和检测方法通过利用多分类器投票可以充分利用各种分类算法的优势，弥补各自的不足，从而达到比单一分类算法更好的分类性能，实现了对应用样本进行有效地分类和检测。有效改善了人工审核方式容易被恶意开发者操纵，并且人工成本偏高的问题。

技术领域

本发明涉及移动终端的应用软件检测领域，具体涉及一种移动终端应用的分类和检测方法。

背景技术

静态特征是指通过静态分析(Static Analysis)技术提取的安卓应用特征，静态分析是指在不运行代码的情况下，采用词法分析、语法分析等各种技术手段对程序文件进行扫描，从而生成程序的反汇编代码，然后阅读反汇编代码来掌握程序功能的一种技术。

移动客户端恶意应用检测是指通过静态或动态地分析应用的特征，以检测应用的恶意行为，以避免恶意应用可能导致用户隐私的泄露、电池耗尽和发送垃圾短信造成的高额话费开支等危害。

应用自动归类是通过应用自身多方面的特征来识别应用的所属类别。目前应用市场的应用归类通常采用先由开发者上传时选择类别并提供应用描述信息，再经市场管理人员人工审核确定的方式。这种方式存在分类结果容易被恶意开发者操纵，并且人工成本偏高的问题。

机器学习是一门多领域交叉学科，涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科。专门研究计算机怎样模拟或实现人类的学习行为，以获取新的知识或技能，重新组织已有的知识结构使之不断改善自身的性能。近年来，机器学习算法在各个领域都得到了广泛的应用，将不同的机器学习算法结合起来是一个重要的研究方向。因为不同的学习算法往往具备各自的优势和劣势，而结合多种学习算法可以充分利用各自的优势，取长补短，从而达到比单一学习算法更好的过滤效果。

当前研究者关于恶意应用检测的工作主要关注权限，基于权限特征的传统检测方法的工作已可以取得不错的效果，但这种较为单一特征不能很全面地刻画一个应用。机器学习在各领域都扮演着重要的角色，目前已有研究者将其引进了安卓恶意检测和分类中，但大都局限于实现单一的机器学习算法。另外，合理准确地将应用归类是安卓应用市场管理、缓解恶意应用威胁需要解决的首要问题，之前研究者都将重点放在恶意应用的检测而不是正常应用的自动归类上。

因此，开发一种针对移动客户端应用进行恶意检测和自动分类的方法有重要现实意义。

发明内容

本发明的实施例提供了一种移动终端应用的分类和检测方法，以实现对应用样本进行有效地分类和检测。

为了实现上述目的，本发明采取了如下技术方案。

根据本发明的一个方面，提供了一种移动终端应用的分类和恶意检测方法，包括：

提取出应用样本的特征向量，将所述应用样本的特征向量分别输入到各种分类算法中；

每种分类算法分别输出所述应用样本为恶意应用或者正常应用的分类结果，将各种分类算法输出的分类结果进行投票表决处理，得到应用样本最终的分类结果。

优选地，所述的提取出应用样本的特征向量，包括：

采用静态分析方法对各个应用样本的.apk文件进行分析，提取应用样本的11个类型的特征，所述11个类型包括申请权限、过滤匹配Intent、受限制API调用、应用组件名、与代码相关的特征、证书信息、Payload信息、字符串特征、使用的权限、硬件特征和可疑API调用，每个类型的特征包含了多个子特征，将所有类型的特征组成特征集合；