[发明专利]基于机器学习的Android权限提升漏洞检测方法及系统

说明书

本发明公开了基于机器学习的Android权限提升漏洞检测方法及系统，包括：解析Android APK文件信息，提取包含完整APK信息的APK特征集；通过分析漏洞原理，从APK特征集中选择与权限提升漏洞相关的相关特征集，相关特征集包括系统权限和系统API；对相关特征集进行特征清洗和量化，转化为样本特征集；将样本特征集输入到机器学习算法中，得到分类模型。本发明在对Android的APP的特征提取中，覆盖了APP的基础特征和衍生特征，能够更加全面地反映APP的全部特性，采用全面的特征能够应对漏洞的多样性变化，提高了精确度和识别效率。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于机器学习的Android权限提升漏洞检测方法及系统。

背景技术

随着Android系统的普及与发展，Android系统已成为关系到国家经济、科技和人们日常生活的重要平台。与此同时，Android软件的安全问题也日益突出，其中的根源之一就是软件漏洞，软件漏洞的数量越来越多，造成的危害也越来越大。漏洞的普遍性及其后果的严重性使得与漏洞相关的技术研究工作倍受关注，其中漏洞分析技术(包括漏洞发现和漏洞特性分析)作为发现漏洞的手段是其他诸如漏洞利用及漏洞消控等的前提。因此如何有效分析Android系统及其应用的安全漏洞，已成为增强移动终端安全性、保护用户安全和隐私的重要技术手段。

现有的Android权限提升漏洞检测方法主要基于静态分析技术，它们都针对Android应用已知的漏洞模式，通过相应的技术手段进行匹配。如对于webview远程代码执行漏洞，现有技术和漏洞检测平台主要利用静态代码匹配技术，反编译APP并查找APP源码中是否包含addJavascriptInterface接口，若包含则定义为有漏洞。对于组件劫持漏洞，主要是检测Android Manifest文件中每个组件的exported属性和intent-filter标签，若组件的exported值为false，则不管改组件是否有intent-filter标签都是未暴露的；若exported值为true，则相反，该组件一定暴露，若没有exported的情况下，如果组件有intent-filter标签，则说明组件暴露，最后检测暴露组件中是否使用了敏感权限操作，若有，则定义为组件劫持漏洞。

以上方法都采用静态技术，检测速度较慢，检测效率较低，成本较高，而且部分漏洞的检测采用粗粒度特征集合进行代码匹配，检测结果仍然不够精确，存在较高的误报率和漏报率。

发明内容

针对上述问题中存在的不足之处，本发明提供一种基于机器学习的Android权限提升漏洞检测方法及系统，由于机器学习算法接收训练样本的多维特征作为输入，本发明在设计检测方法及系统时将不会受限于已有的固定漏洞模式，而是考虑多种与漏洞相关的特征，利用机器学习算法发现各维度特征与漏洞之间存在的内在联系。

为实现上述目的，本发明提供一种基于机器学习的Android权限提升漏洞检测方法，包括：

解析Android APK文件信息，提取包含完整APK信息的APK特征集；

通过分析漏洞原理，从APK特征集中选择与权限提升漏洞相关的相关特征集，所述相关特征集包括系统权限和系统API；

对相关特征集进行特征清洗和量化，转化为样本特征集；

将样本特征集输入到机器学习算法中，得到分类模型。

作为本发明的进一步改进，所述APK特征集包括Android应用基础特征和应用代码特征，所述Android应用基础特征包括AndroidManifest.xml文件标签特征和权限特征，所述应用代码特征包括smali文件中的方法及系统API。

作为本发明的进一步改进，相关特征集在特征清洗和量化之前，还包括：

通过词袋法将系统权限和系统API转换成可用于特征量化的形式。