[发明专利]一种恶意软件检测方法及系统

说明书

本发明公开了一种恶意软件检测方法，涉及软件检测领域。本发明的方法包括：创建恶意软件数据库和非恶意软件数据库；从恶意软件数据库和非恶意软件数据库中的软件源代码中提取Dalvik指令，通过Dalvik指令相对频率均值之间的差异进行鉴别恶意软件，利用基于Dalvik指令的均值和方差特征选择算法，并使用主成分分析算法、Kaehunen‑Loeve变换算法、独立成分分析算法，将原始的Dalvik指令映射到相应的特征空间，得到新特征。本发明还提供了一种恶意软件检测方法的系统。本发明通过提出基于均值和方差的特征选择方法，减少对分类无效的特征，针对软件样本的不平衡数据，本发明提出基于决策树的多级分类集成模型，解决了恶意软件检测准确性差的问题。

技术领域

本发明涉及软件检测领域，尤其涉及一种恶意软件检测方法及系统。

背景技术

恶意软件是指所有能够在智能手机或者计算机上执行恶意操作的应用程序，会导致系统崩溃、用户机密信息的损失或泄露，恶意软件数据量的快速增长与变种的不断出现给恶意软件自动鉴别带来挑战，只有面向大数据的技术不断发展，才能将大数据时代带来的挑战变成机遇，更好地运用这些不断积累的样本，真正将海量数据变化为有效信息，并有效构建相适应的数据挖掘模型，才能实现对海量恶意软件样本的快速鉴别。

针对恶意软件严峻的发展趋势与庞大的数据量，国内外研究学者提出了许多不同的解决方案；当前恶意软件检测技术主要分为机遇特征码的检测技术和基于行为的检测技术；基于特征码的检测技术和黑名单技术被主要的安全软件厂商广泛使用，但该技术需要对已知的恶意软件样本进行全面的分析，无法抵御位置的或经代码混淆、加壳技术处理过的恶意软件，因此针对上述问题提供一种基于软件行为大数据的恶意软件检测方法及系统具有重要意义。

发明内容

本发明为一种恶意软件检测方法及系统，通过提出基于均值和方差的特征选择方法，以减少对分类无效的特征，实现了基于不同特征提取技术的集合分类方法，包括主成分分析、Kaehunen-Loeve变换和独立成分分析，针对软件样本的不平衡数据，本发明提出基于决策树的多级分类集成模型，解决了恶意软件检测准确性差的问题。

为解决上述技术问题，本发明是通过以下技术方案实现的：

本发明提供一种恶意软件检测方法，下步骤：

S01：创建恶意软件数据库和非恶意软件数据库；

S02：通过使用除Google Play外的其它检测工具、杀毒软件和人工进行检测，确保非恶意应用软件数据库中的非恶意软件均为非恶意软件，不包括可疑的恶意软件；

S03：从恶意软件数据库和非恶意软件数据库中的软件源代码中提取Dalvik指令，通过Dalvik指令相对频率均值之间的差异进行鉴别恶意软件，利用基于Dalvik指令的均值和方差特征选择算法，并使用主成分分析算法、Kaehunen-Loeve变换算法、独立成分分析算法，将原始的Dalvik指令映射到相应的特征空间，得到三个新特征；

S04：针对所提取的软件特征，使用急速学习机算法学习单层神经网络，将其作为其分类器，使用Stacking算法融合每一个分类器，涉嫌特征的集合；

S05：通过采用多层决策树的集成学习方法针对是否为恶意软件进行决策。

进一步，所述恶意软件数据库和非恶意软件数据库的软件所采用的数据集来自Googel Play，其中包含了5560个恶意软件和123453个非恶意软件，并将这些软件使用Java语言改写了Akdeniz的爬虫程序，增加了异常处理、去除、迭代等功能，可以实现从GoogelPlay批量不间断的下载应用软件至PC端。

进一步地，所述基于Dalvik指令的均值和方差特征选择算法的公式为：