[发明专利]基于机器学习的Android权限提升漏洞检测方法及系统

权利要求书

1.一种基于机器学习的Android权限提升漏洞检测方法，其特征在于，包括：

解析Android APK文件信息，提取包含完整APK信息的APK特征集；

所述APK特征集包括Android应用基础特征和应用代码特征，所述Android应用基础特征包括AndroidManifest.xml文件标签特征和权限特征，所述应用代码特征包括smali文件中的方法及系统API；

通过分析漏洞原理，从APK特征集中选择与权限提升漏洞相关的相关特征集，所述相关特征集包括系统权限和系统API；对相关特征集进行特征清洗和量化，转化为样本特征集；

将样本特征集输入到机器学习算法中，得到分类模型；

相关特征集在特征清洗和量化之前，还包括：

通过词袋法将系统权限和系统API转换成可用于特征量化的形式；

通过词袋法将系统API转换成可用于特征量化的形式之前，还包括：

将系统API按照其归属的功能类进行聚类，再将聚类结果作为API特征几何取值集合，系统API聚类完成后，通过统计代码特征中属于某一类的系统API出现次数，作为API的特征维度值；

特征清洗为缺失值处理，缺失值小于30％的维度可根据该维度的其它取值拟合缺失值，缺失值数量大于30％则表示该特征为无效特征，去除该维度；

样本特征集输入到机器学习算法中得到分类模型的方法为：

机器学习算法采用分类算法，将输入的样本特征集划分为训练集和验证集，训练集样本用于训练分类模型，验证集样本用于验证模型的泛化程度；

完成模型训练后，需根据模型在验证集上的表现调整算法中的参数，比较不同参数下的评估结果，选择评估结果最优的模型作为分类模型。

2.如权利要求1所述的基于机器学习的Android权限提升漏洞检测方法，其特征在于，特征量化为将清洗后的特征量化为供机器学习算法的数值或向量形式。

3.如权利要求2所述的基于机器学习的Android权限提升漏洞检测方法，其特征在于，特征量化的方式可根据特征类型分为数值特征的量化、类型特征的量化和文本特征的量化。

4.如权利要求2所述的基于机器学习的Android权限提升漏洞检测方法，其特征在于，采用哑编码的方式将系统权限转为向量的形式；

系统API维度的统计数据为连续数值的形式，其直接作为维度特征输入到机器学习算法中。

5.一种用于实现如权利要求1-4中任一项所述的基于机器学习的Android权限提升漏洞检测方法的检测系统，其特征在于，包括：

特征提取模块，用于解析Android APK文件信息，提取包含完整APK信息的APK特征集；

特征处理模块，用于通过分析漏洞原理，从APK特征集中选择与权限提升漏洞相关的相关特征集，对相关特征集进行特征清洗和量化，转化为样本特征集；所述相关特征集包括系统权限和系统API；

训练模块，用于将样本特征集输入到机器学习算法中，得到分类模型。