[发明专利]基于多特征的程序检测方法

说明书

本发明公开了一种基于多特征的程序类别检测方法，包括：提取待测程序的多个特征；去除所述多个特征中的权限特征和敏感应用程序编程接口API特征中的无效特征，得到所述权限特征和所述敏感API特征的最佳特征子集；计算所述最佳特征子集中特征的权重系数；对所述多个特征中的图片特征、XML文件特征以及组件特征进行回归分析；基于所述最佳特征子集、所述权重系数、所述回归分析的结果及预先建立的分类模型确定待测程序的类别。通过本方法能够提高对恶意程序的检测率，并降低对正常程序的误报率。

技术领域

本发明涉及程序类别检测领域，特别是指一种基于多特征的程序检测方法。

背景技术

具有Android系统的终端，因系统的开源性、服务的免费性、功能的多样化以及便携性而广受设备生产商、服务运营商、开发者和消费者的支持，智能终端极大的改变了人们的生活方式，目前已连续5年保持接入互联网操作系统市场占有率的第一。

伴随着智能终端的普及和飞速发展，恶意程序也层出不穷，据统计，Android用户被感染数高达2.14亿。从用户角度而言，恶意程序被安装后，会在用户不知情的情况下，触发系统破坏、资费消耗、恶意扣费、隐私窃取等恶意行为，使得用户的隐私、财产等受到损害。从国家层面而言，恶意程序能够通过智能终端搜集敏感信息，利用数据挖掘等技术，能够很容易的窃取国家的经济、政治、军事等涉密信息，威胁到国家安全。

现有技术中，基于机器学习的检测手段从人工智能的角度出发，利用分类算法对已知恶意程序的特征构建具有不断演进和泛化能力的智能检测模型，从而检测未知程序是否为恶意应用程序。朴素贝叶斯分类算法时间复杂度低、性能稳定，与其他分类算法相比，具有最小的误差率，用来进行分类有较好的效果。但是现有技术中的缺点是将每一个特征的权重都视为是相同的，忽视了越重要的特征对分类的贡献越多，因而导致最终分类精度下降。并且由于恶意程序趋向智能化发展，具有自我保护功能的恶意程序逐渐出现，它们会对自身进行伪装、自动清除行为痕迹，具有反检测能力，因此通过单一的特征无法有效检测出恶意程序。

发明内容

有鉴于此，本发明的目的在于提出一种基于多特征的程序检测方法。

基于上述目的本发明提供的一种基于多特征的程序检测方法，包括：

提取待测程序的多个特征；

去除所述多个特征中的权限特征和敏感应用程序编程接口API特征中的无效特征，得到所述权限特征和所述敏感API特征的最佳特征子集；

计算所述最佳特征子集中特征的权重系数；

对所述多个特征中的图片特征、XML文件特征以及组件特征进行回归分析；

基于所述最佳特征子集、所述权重系数、所述回归分析的结果及预先建立的分类模型确定待测程序的类别。

在一实施例中，所述方法还包括：

提取原始样本集中各样本的多个特征，所述多个特征包括：权限特征、敏感API特征、图片特征、XML特征及组件特征；

去除所述权限特征和所述敏感API特征中的无效特征，得到所述权限特征和所述敏感API特征的最佳特征子集；

确定所述最佳特征子集中的特征的后验概率；

计算所述最佳特征子集中的特征的权重系数；

对所述图片特征、所述XML文件特征以及所述组件特征进行回归分析，计算所述图片特征、所述XML文件特征以及所述组件特征的后验概率；

基于所述权限系数，所述最佳特征子集中的特征的后验概率、及所述图片特征、所述XML文件特征及所述组件特征的后验概率生成分类模型。

在一实施例中，所述提取原始样本集中各样本的多个特征，包括：