[发明专利]一种基于机器学习的安卓恶意程序检测方法

权利要求书

1.一种基于机器学习的安卓恶意程序检测方法，其特征在于，所述方法包括：

从样本库中对黑白样本进行特征提取；

使用样本集训练模型，样本包括黑样本和白样本；

待检测程序提取特征后通过训练的好的模型进行识别，若识别为黑样本，则对该样本进行家族分类，如识别为白样本，则进行异常检测，判别是否是新的恶意样本；

将识别结果反馈至样本库保存；

对黑白样本进行特征提取的方法包括：

静态特征向量提取和动态特征向量提取；其中，

所述静态特征向量提取包括：

行为特征提取和权限特征提取；

将提取到的静态的行为特征、静态的权限特征和动态特征构成一条特征向量；其中，提取有183个静态特征，包括54个行为特征和129个权限特征，以及提取有77个动态特征，构建一个包含260个特征的特征向量；所述动态特征向量的提取通过基于定制ROM的动态沙箱来检测获取，所述动态沙箱分别在应用层、框架层、运行环境层及内核层加入检测代码，并编译生成系统镜像，然后和载入的样本共同写入虚拟机或真机，并输出结果。

2.如权利要求1所述的基于机器学习的安卓恶意程序检测方法，其特征在于，所述行为特征提取的方法包括：使用API引擎，采用静态分析方法获取函数调用和命令，获取静态的行为特征；所述权限特征提取的方法包括：对AndriodManifest.xml配置文件进行分析，获取静态的APP权限特征。

3.如权利要求1所述的基于机器学习的安卓恶意程序检测方法，其特征在于，提取的所述动态特征包括：使用模拟器获取宏观行为特征、API调用特征、Dalvik指令特征、系统调用特征、ARM指令特征，其中，宏观行为特征模拟基于应用程序的攻击、API调用特征和Dalvik指令特征模拟基于系统核心程序的攻击、系统调用特征模拟基于linux内核的攻击、ARM指令特征模拟基于硬件的特征。

4.如权利要求1所述的恶意程序检测方法，其特征在于，还包括在线更新模型的过程，使用引擎中识别错误的样本，添加到原来的样本重新训练新的模型，在新的模型召回率和准确率都满足条件的时候替换掉原来的模型。

5.如权利要求1所述的恶意程序检测方法，其特征在于，所述模型训练采用xgboost算法。

6.如权利要求1所述的恶意程序检测方法，其特征在于，所述异常检测采用IsolationForest算法。

7.如权利要求1所述的恶意程序检测方法，其特征在于，对黑样本进行家族的分类采用卷积神经网络和K-means算法综合实现。