[发明专利]基于行为特征抽取的安卓软件动态分析检测法

权利要求书

1.基于行为特征抽取的安卓软件动态分析检测法，其特征在于：包括以下步骤：

步骤1.使用安卓执行模拟器对待测安卓app进行动态运行；

步骤2.抽取待测安卓app在执行过程中的行为组合及权限申请日志数据；所述抽取的具体步骤如下：

步骤2.1.使用安卓app动态分析软件，对输入的待测app进行动态运行监测；

步骤2.2.记录该app在执行过程中的权限申请及app行为情况的日志信息，所述日志信息分为三类，包括：

资源使用类，按照威胁度排名，i/o使用情况及网络连接情况分列第一威胁st1和第二威胁st2，和其他资源使用操作对应的威胁stn；

信息交互类，按照威胁度排名，往同一个ip发送请求的为第一威胁it1，信息和电话为第二威胁it2，和其他对于信息交互所需要的交互行为的威胁itn；

系统参数修改类，按照关键参数的修改行为进行排序，对系统重要参数进行修改的操作，记为第一威胁记为pt1,依次下去记为ptn；

记录内容包括i/o使用情况、网络连接情况、本地文件目录大小信息、i/o对应操作的文件大小信息或修改系统设置类信息；其中，特征抽取方法为：记录下日志的行为后，按照前述三类日志信息的威胁度进行倒排序，威胁度高的在前面，并且附带时间操作和对应的资源使用情况百分比；具体的算法为：按照每个记录的操作时间进行分类，操作时间间隔小于10秒钟的可以归为一个集群操作，集群操作内每一个操作tn的威胁值记为Vtn,用Vtn的数值×(1-对应分类中的排名/总排名)，可以得到一个量化结果，进行排序后可以获得操作特征；

步骤3.使用权限和行为分析组件对前述步骤中输出的数据进行分析比对；若在现有特征库内找到相对应的特征号，则在下述步骤中使用已有的特征号及测试用例；若未找到相对应的特征号，则生成新的特征号及测试用例，并保存特征结果至特征库内；

步骤4.将测试用例发送至执行模拟器，当执行模拟器接收到测试用例后对待测安卓app采取动态测试，观察并记录待测安卓app的执行返回结果；

步骤5：分析结果判定器在获得上述结果后，使用分类算法对数据进行分类，对结果进行判定;如果符合恶意软件的特征则判定该软件为恶意程序;如果结果符合漏洞软件的特征，则判定该软件有漏洞。