[发明专利]一种恶意软件检测方法、装置与电子设备

说明书

本发明公开了一种恶意软件检测方法、装置与电子设备，涉及移动终端的安全防护领域，能够有效检测出恶意软件，克服了现有技术提取恶意软件特征中存在冗余、不相关和噪声的问题。所述恶意软件检测方法包括：特征提取；子集生成；生成检测模型。所述恶意软件检测装置包括：特征提取模块、子集生成模块与检测模型生成模块。所述电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现所述恶意软件检测方法。

技术领域

本发明涉及移动终端的安全防护，特别是指一种恶意软件检测方法、装置与电子设备。

背景技术

移动智能终端是指具有网络接入能力、装有操作系统和应用程序的各类移动式终端的总称。以Android系统为首的移动智能终端的大量普及和强大的功能使其成为现代社会各领域无可替代的工具。与此同时，相伴相随于移动智能终端的恶意软件也逐渐猖獗，恶意软件在不被察觉的状态下，破坏用户系统，窃取用户数据和资费，严重威胁着用户的隐私和财产安全。更严重的是，国家经济、政治、军事等相关涉密信息也受到了威胁，对国家安全造成了危害。为了应对移动智能终端日益增加的恶意软件威胁，满足未来移动智能终端对未知恶意软件的检测要求，需要一种针对Android恶意软件的检测方法。

现有的采用机器学习的检测方法从人工智能的角度出发，利用分类算法对已知恶意软件的特征进行学习，构建不断演进和泛化的智能监测模型以实现对Android软件的自动化智能检测。这种检测方法的关键是特征的选取，选取的特征越能有效区分恶意软件和正常软件，则利用机器学习分类算法得到的智能检测模型的效率越高，对恶意软件的检测效果越好。然而，现有方法提取出的恶意软件的特征存在冗余、不相关和噪声问题：特征的冗余性影响分类算法的计算效率，降低检测模型的有效性；特征的不相关性导致需要更多训练样本才能得到合适的检测模型；特征的噪声干扰会直接导致构建出错误的检测模型。上述问题会极大地增加机器学习在时间和空间上的消耗，从而导致分类算法在对特征进行分析处理时因代价过高而完全失效。

发明内容

有鉴于此，本发明的目的在于提出一种满足移动终端对未知恶意软件的检测要求，同时能解决特征选取所面临的冗余、不相关和噪声问题的检测方法、装置和电子设备。

基于上述目的，本发明提供了一种恶意软件检测方法。所述恶意软件检测方法包括：

提取样本集软件的特征信息，将所述特征信息抽象化为数字形式，得到样本集特征集合与样本集特征矩阵；

利用特征选择算法过滤所述特征集合中的无效特征，得到最佳特征子集；

采用机器学习分类算法对所述最佳特征子集对应的特征矩阵进行训练，生成检测模型。

可选的，所述提取样本集软件的特征信息，将所述特征信息抽象化为数字形式，得到样本集特征集合与样本集特征矩阵包括：

对样本集软件安装包进行处理，得到包含权限信息的全局配置文件和包含API信息的反编译文件；

从所述全局配置文件和所述反编译文件中提取相应的权限和API特征信息；

将提取出的所述权限和API特征信息向量化抽象为数字形式，得到样本集特征集合与样本集特征矩阵。

可选的所述利用特征选择算法过滤所述样本集特征集合中的无效特征，得到最佳特征子集包括：

步骤一：对所述样本集特征集合与所述样本集特征矩阵中相关参数常量以及在子集生成过程中用到的相关参数进行初始化设置；

步骤二：根据特征频率计算公式计算样本集特征集合中每个特征的特征频率，通过计算比较滤去不相关的特征，得到去不相关特征子集；

所述特征频率计算公式：