[发明专利]一种软件检测特征的提取方法及装置

说明书

本发明实施例提供一种软件检测特征的提取方法及装置。所述方法包括：获取待测应用软件的压缩包文件，解析从压缩包文件提取的特定文件，选取所述应用软件的静态特征并保存；启动虚拟机运行所述应用软件，调用沙盒及其辅助工具，记录并分析所述应用软件的动态特征，选取所述应用软件固定时间内的动态特征并保存；将所述的静态特征和动态特征结合，生成多维混合特征集。所述方法多角度反映了基于安卓系统的应用软件的行为，提高了应用软件特征提取的全面性，直接分析提取到的多维特征就可以判断应用软件的恶意与否，省略了将提取的检测特征与已知的恶意软件的特征库进行比对的步骤，即使面对的是新型未知的恶意软件，也能做出准确的判断。

技术领域

本发明涉及属于信息安全领域，尤其涉及一种基于Android(安卓)系统应用软件的检测特征的提取方法。

背景技术

Android系统由于其出众的开放性以及独特的开源性受到了市场的青睐，根据IDC(国际数据中心)在2016年第二季度《全球手机季度追踪报告》，预测Android系统的市场份额2016年年底将达到85.3％。市场占有率高且具有独特的开源性，使得Android系统成为众多攻击者的首选目标。

由于Android系统特殊的开源性，恶意软件的开发人员总能制造出许多不同类型的变种病毒，面对源源不断的新型恶意软件，尽管手机制造商极力尝试各种防护措施，但是手机的安全屏障仍然不堪一击。360互联网安全中心在发布的《2016第三季度中国互联网安全报告》中指出，2016年第三季度，安全中心共截获了新增的基于Android系统恶意程序样本349万个，平均每天将近有3.8万个出现，平均每120部智能手机中就有一部受到恶意软件的感染，平均每天受到感染的人次达到了63.7万人。

因此，基于Android系统的应用软件在未下载安装之前就检测出应用软件是否为恶意软件，十分重要。检测基于Android系统的应用软件是否为恶意的前提是提取应用软件的特征，在实现本发明过程中，发明人发现现有技术中至少存在如下问题：一方面现有技术提供的技术方案，提取应用软件的特征码以及文件签名作为检测特征，这样的检测特征依赖于与已知的恶意软件的特征码以及文件签名比对，才能判断应用软件是否为恶意，对于新型未知的恶意软件却束手无策；另一方面，提取的应用软件检测特征类别选取上不科学，种类偏少造成分类器精度不高，不能全面描述软件行为。

发明内容

本发明实施例提供了一种用于检测软件的动静结合的多维混合特征的提取方法及装置，所述方法多角度的反映了应用软件的行为，提高了检测特征提取的全面性。

一方面，本发明实施例提供了一种软件检测特征的提取方法，所述方法包括：

获取待测应用软件的压缩包文件；

提取所述应用软件的静态特征；

提取所述应用软件的动态特征；

将所述的静态特征和动态特征结合，生成多维混合特征。

另一方面，本发明实施例提供了一种软件检测特征的提取装置，所述装置包括：

获取单元，用于获取待测应用软件的压缩包文件；

第一提取单元，用于提取所述应用软件的静态特征；

第二提取单元，用于提取所述应用软件的动态特征；

结合单元，用于将所述的静态特征和动态特征结合，生成多维混合特征。

上述技术方案具有如下有益效果：在检测特征提取的选择上，不仅仅选择静态特征和动态特征，同时将二者进行有效结合生成多维混合特征的技术手段，全面的提取了应用软件的特征，多角度的反映了应用软件的行为，直接分析提取到的多维特征就可以判断应用软件的恶意与否，省略了将提取的检测特征与已知的恶意软件的特征库进行比对的步骤，即使面对的是新型未知的恶意软件，也能做出准确的判断。