[发明专利]一种基于行为图的Android恶意软件检测方法和技术

说明书

本发明涉及移动平台恶意代码检测技术领域，旨在提供一种基于行为图的Android恶意软件检测方法与模型。该方法采用了基于行为图的检测方案，包括：将应用程序二进制数据转换为包含有向边的行为图的方法；提出一种基于图核的特征提取方法，从图结构的数据中提取更为完整的特征信息，该特征包含上下文相关的结构化特征信息，能够更准确地表示应用程序的特定行为；采用基于在线多核学习的随机组合更新的机器学习算法，自动更新模型以适应不断变化的分布；通过设计对比实验，记录实验数据，统计出一般性差异指定判定准则的方法。该模型检测对象适用性广，能够有效地检测出未知恶意软件。本发明为Android恶意软件检测提供了新的解决方案。

技术领域

本发明涉及一种基于行为图的Android恶意软件检测方法和技术，属于计算机安全技术。

背景技术

随着智能手机的快速发展，如今移动平台已成为恶意软件聚集的主要目标。据腾讯安全2017年度互联网安全报告，移动端病毒中流氓行为和资源消耗占比超80%。移动设备上保存着几乎所有的个人数据信息，在当前的大数据时代，这些用户资料对于非法人员来说具有相当的吸引力。Android平台的开放性使得谷歌无法对应用进行有效监管，应用程序开发的低门槛和分发渠道的多样性也给不法分子提供了极大的便利，给用户也带来了很大的困扰。

Android平台生态复杂多样，手机安全形势一如既往地严峻，移动安全软件的检测方法也相对单一，通常采用签名校验和特征检测等方式，恶意应用利用加密等方式使代码变形后可以很容易躲避检测。

对于Android恶意软件的检测，现有的技术主要分为特征码检测技术以及非特征码检测技术。其中特征码检测技术是一种基础的检测方法，被绝大多数的安全软件所采用，该技术是被作为一种基础的检测方法，也就是进行第一次过滤。特征码检测技术能够迅速识别特征码库中已经有了其特征码的恶意代码类型。非特征码技术也在不断的完善发展当中，现有的技术主要有基于行为分析的恶意行为检测技术、技术启发式分析的恶意行为检测技术、沙盒技术等等，这些技术一般都要用到虚拟化相关的技术。

上述的传统恶意行为检测方法都存在一些缺点，其中基于特征码检测技术的实时性很差，不能检测新型的恶意代码类型，而非特征码技术也存在效率低下，准确度偏低的缺点。更重要的是，针对某一类检测方法往往只对某一特定的攻击有效，并不能有效识别各种恶意行为。

同时，没有一种检测软件能够实时有效快速对一个新应用的恶意性进行准确判定，因此能够实时有效快速对一个新应用的恶意性进行准确判定，设计一个适用的恶意应用检测系统成为了一个迫切需要研究的问题。

发明内容

本发明的目的在于改善现有检测方法检测的准确率较低、基于图结构的检测方法存在特征提取不完善以及基于批处理学习的检测方法不能有效地适应新增加的恶意软件类型等弱点，提供一种基于行为图的Android恶意软件检测方法和检测模型，采用以静态分析为主，动态分析辅助的检测方式。本发明提出一种基于上下文的同构子树图核，从构建的行为图中提取上下文相关的结构化特征信息。相比于一般的图核函数，该方法提取的特征信息更能够准确地表示应用程序的行为，提高了特征的可靠性，对恶意代码具有更好的识别率。

按照本发明提供的技术方案，所述基于行为图的Android恶意软件检测模型包括四个模块，依次是预处理模块、特征提取模块以及分类模块。其中预处理模块对程序样本进行预处理，构建原始的程序内控制流图，为特征提取模块提供服务，特征提取模块为模型的主要部分，其主要功能是根据构建出的几种行为表示图计算出对应的核函数，完成特征提取的工作，最后分类模块将几个基核进行组合学习对正常应用和恶意应用进行分类。