[发明专利]一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置

说明书

本发明公布了一种基于朴素贝叶斯的安卓恶意应用检测方法及装置，通过将安卓应用抽象为特征矩阵表示，保留安卓应用中能用于进行恶意检测的相关信息，剔除无用冗余信息，构建加权的朴素贝叶斯检测模型；再根据加权的朴素贝叶斯检测模型对待检测的安卓应用进行分类，通过加权的朴素贝叶斯算法综合应用中包含的各种特征计算该应用是否为恶意应用的概率，从而有效识别恶意应用，对于提升安卓恶意应用的检测准确度有着显著效果。

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种基于朴素贝叶斯的安卓恶意应用检测方法及装置。

背景技术

安卓系统飞速发展的同时，安卓操作系统的安全问题也愈加严重。一方面由于安卓是开源操作系统，各大手机厂商都对其进行深度的定制，导致漏洞频发；另一方面大量第三方安卓应用的安全性不能得到有效的保证，除了Google Play外并没有针对第三方安卓应用比较权威的审核平台。由于安卓系统的开放性、开源性及其相对简单的检查机制，使得安卓系统吸引了很多恶意应用开发者，因此安卓成为恶意应用泛滥的主要平台之一。

目前针对安卓恶意应用的主流检测技术主要为静态检测技术、动态检测技术和混合检测技术。其中静态检测主要进行源代码的分析，通过提取分析源代码的相关特征识别恶意应用，这种方法虽然速度较快，但误报率很高；动态检测技术一般在沙盒环境中执行程序，通过提取分析应用的运行行为识别恶意应用，这种方法能够有效检测出已知和未知的恶意软件，但检测时间较慢；混合检测技术结合了静态检测技术和动态检测技术进行恶意应用识别，往往采用机器学习的方法进行分类，但对未知的恶意应用无法进行有效识别。

发明内容

为了克服上述现有技术的不足，本发明提供一种基于朴素贝叶斯的安卓恶意应用的检测方法和装置/系统，能够有效的分类和识别待检测安卓应用是否为恶意应用。

本发明提供了一种基于朴素贝叶斯的安卓恶意应用检测方法和装置。

其中安卓恶意应用检测方法包括如下阶段：

阶段一、构建加权的朴素贝叶斯检测模型；

阶段二、根据加权的朴素贝叶斯检测模型对待检测的安卓应用进行分类，识别该待检测应用是否为恶意应用。

其中阶段一包括如下步骤：

步骤1，通过对安卓应用进行静态分析，提取能够区分正常应用和恶意应用的静态特征，即对训练样本集中正常应用或恶意应用的配置文件、Dex文件等进行解析，提取其中的权限信息、组件信息、API调用信息等静态特征；

步骤2，对提取出来的特征进一步进行处理，所用处理包括特征归约、离散化等，最终形成可用于朴素贝叶斯算法训练输入的特征矩阵；

具体实施时，特征归约方法包括：基于数量的特征归约和基于区分度的特征规约；处理得到精简后的特征集合T，并基于特征集合T中的特征，针对于训练样本集提取特征矩阵，生成的特征矩阵中每个元素可表示为a_ij，特征矩阵中每个元素取值为0或1，当取值为0时表示第i个应用中不存在第j个特征，当取值为1时表示第i个应用中存在第j个特征。

步骤3，根据步骤1和步骤2中得到的特征矩阵，训练加权的朴素贝叶斯检测模型，得到训练好的加权的朴素贝叶斯检测模型；

具体实施时，模型训练的结果即通过统计得到每个特征属性在正常应用样本中出现的频率P(f₁|Benignware)，P(f₂|Benignware)，...，P(f_n|Benignware)和在恶意应用样本中出现的频率P(f₁|Malware)，P(f₂|Malware)，...，P(f_n|Malware)，其中，n为训练样本集中特征属性的数量。

其中第二阶段包括如下步骤：