[发明专利]一种安卓手机恶意应用检测系统及方法

说明书

一种安卓手机恶意应用检测系统，属于手机检测技术领域。所述安卓手机恶意应用检测系统包括正负样本收集模块、静态特征提取模块、动态特征提取模块、神经网络模块和监测结果输出模块，本发明将基于软件代码的静态分析和基于软件行为的动态监测相结合，使检测方法不再是单纯基于签名技术的静态分析，并通过分析软件的代码和软件运行之后的行为来判断软件是否为恶意软件，这种检测方法更加准确，所以我们通过收集恶意软件样品和安全软件样品，获取静态特征向量和动态特征矩阵，并通过大量样本来训练MLP神经网络和RNN神经网络两种神经网络，进行自动的学习和检测，使效率和准确率大大提升。

技术领域

本发明涉及手机检测技术领域，特别涉及一种安卓手机恶意应用检测系统及方法。

背景技术

最近国外的市场数据调研公司Kantar woroldpanel正式公布了截止到2017年一季度，全球范围内智能手机市场的最新排名情况，以国内市场为例，安卓手机市场占有率从去年的76.4％上涨到了86.4％，提升了10％。国内国产手机制造业蓬勃发展，而其所用的操作系统正是安卓，随着安卓手机用户的增多，安卓恶意应用也随之增长，根据奇虎360的报告我们知道，2016年全年，360互联网安全中心累计截获Android平台新增恶意程序样本1403.3万个，平均每天新增3.8万恶意程序样本。Android用户感染恶意程序2.53亿，平均每天恶意程序感染量约为70万人次。这些恶意应用窃取安卓手机用户的私密数据，破坏手机功能，影响手机的正常使用。

安卓手机的用户群体如此之大，安卓手机恶意应用如此泛滥，一款安卓手机应用是否安全显得尤为重要。大多数的资料显示，现有的恶意应用的检测方法主要是两类，一个是基于签名的检测，另一种是基于软件行为的检测。基于签名的检测是当第一次可疑的软件行为被发现并得到分析之后，针对这个恶意软件会产生一个签名。签名传播开来，防病毒软件最终通过签名匹配来捕获恶意软件。基于签名的检测存在以下问题：第一，从恶意软件的传播开始到检验的周期一般很长，通常数周甚至数月，在此期间很多系统已经受到伤害；第二，基于签名的检测方法只能捕获有签名存在的恶意软件，对于未知攻击是没有防御能力的；第三，基于签名的检测对于压缩，加密和变形的恶意代码不能做出正确判断。基于软件行为的检测方法比基于签名的监测更佳准确，但也比较单一，不全面。

发明内容

为了解决现有技术存在的问题，本发明提供了一种安卓手机恶意应用检测系统。所述安卓手机恶意应用检测系统包括正负样本收集模块、静态特征提取模块、动态特征提取模块、神经网络模块和监测结果输出模块；

所述正负样本收集模块包括正样本集和负样本集；

所述静态特征提取模块包括AndroidManifest.xml文件和class.dex文件，通过分析所述AndroidManifest.xml文件获取系统权限列表，通过分析class.dex文件获取调用API 列表，将所述权限列表和所述API列表作为静态特征向量；

所述动态特征提取模块是将安卓应用包放入DroidBox沙盒运行，通过运行，查看运行后日志文件，得到软件调用应用程序编程接口API在固定时间段的频率，作为动态特征向量矩阵；

所述神经网络模块包括MLP神经网络和RNN神经网络，所述MLP神经网络包括多个神经元，每层每个所述神经元用来将一个向量输入加权求和后经过激活函数输出传递至下一层的每个神经元，所述MLP神经网络用来导入静态特征向量，所述RNN神经网络用来处理序列数据，结构是序列长度各单层感知器之间的相互组合，每个所述单层感知器的输出将会和序列的下一个输入向量一起，作为下一个单层感知器的输入，所述RNN神经网络用来导入动态特征向量，所述MLP神经网络和RNN神经网络的训练都使用反向传播算法；

所述监测结果输出模块是在经由静态特征提取模块和动态特征提取模块后，将所述特征向量和所述特征矩阵传入训练好的神经网络中，将结果加权求和计算概率，算出其应用为恶意应用的可能性，并输出结果。