[发明专利]一种Android恶意软件的溯源方法

说明书

本发明公开了一种Android恶意软件的溯源方法，包括：从对APK数据中的APK安装包进行解压，并对解压结果进行解析，从而提取出程序特征，最终由一系列APK安装包的程序特征形成程序特征库；利用机器学习算法结合程序特征库建立分类模型；将待溯源分析的恶意软件的程序特征作为输入样本输入至分类模型，得到输入样本与分类模型中样本的相似度以及每个程序特征所占的权重；在此基础上，分析提取恶意软件的开发者或者开发组织的关键判定因素，利用人机结合对恶意软件的开发者或者开发组织进行分析。该方法可以提取开发者或者开发组织的特征，并通过分类模型快速判断出恶意软件的开发者或者开发组织，从而从源头遏制恶意软件的泛滥。

技术领域

本发明涉及互联网技术领域，尤其涉及一种Android恶意软件的溯源方法。

背景技术

自2014年以来Android手机的市场占有率一直是80％以上，2017年第一季度更是达到了85％。在可预期的将来，Android系统将继续保持手机市场的统治地位。但是由于Android系统的巨大市场份额和开源性，它也成为恶意软件开发者的主要攻击目标，Android平台成为移动端恶意软件的“重灾区”。

恶意软件(俗称“流氓软件”)是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。它具备以下某些特征：

1)强制安装：指未明确提示用户或未经用户许可，在用户计算机或其他终端上安装软件的行为。

2)难以卸载：指未提供通用的卸载方式，或在不受其他软件影响、人为破坏的情况下，卸载后仍然有活动程序的行为。

3)浏览器劫持：指未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网的行为。

4)广告弹出：指未明确提示用户或未经用户许可，利用安装在用户计算机或其他终端上的软件弹出广告的行为。

5)恶意收集用户信息：指未明确提示用户或未经用户许可，恶意收集用户信息的行为。

6)恶意卸载：指未明确提示用户、未经用户许可，或误导或欺骗用户卸载其他软件的行为。

7)恶意捆绑：指在软件中捆绑已被认定为恶意软件的行为。

目前对Android恶意软件同源分析，大多只是聚焦于Android恶意软件的家族同源性分析。通过网络流量特征、软件行为特征、申请权限等属性特征建立模型来对恶意软件进行同源性判定，大多只能判定软件之间变种的关系。针对Android恶意软件开发者或者开发组织的溯源追踪技术目前还没有成熟的方法和应用。

发明内容

本发明的目的是提供一种Android恶意软件的溯源方法，可以通过分类模型快速判断出恶意软件的开发者或者开发组织，从而从源头遏制恶意软件的泛滥。

本发明的目的是通过以下技术方案实现的：

一种Android恶意软件的溯源方法，包括：

从对APK数据中的APK安装包进行解压，并对解压结果进行解析，从而提取出程序特征，最终由一系列APK安装包的程序特征形成程序特征库；

利用机器学习算法结合程序特征库建立分类模型；

将待溯源分析的恶意软件的程序特征作为输入样本输入至分类模型，得到输入样本与分类模型中样本的相似度以及每个程序特征所占的权重。

由上述本发明提供的技术方案可以看出，可以提取开发者或者开发组织的特征，并且建立相应的数据库和数据模型。在遇到新的Android恶意软件时，可以通过模型快速判断出恶意软件的开发者或者开发组织，从而从源头遏制恶意软件的泛滥。

附图说明