[发明专利]一种基于系统行为序列的恶意代码检测方法

说明书

本申请涉及一种基于系统行为序列的恶意代码检测方法，属于信息安全技术领域，其中，所述基于系统行为序列的恶意代码检测方法包括：提取安卓样本的运行信息；动态运行所述安卓样本，提取动态特征；根据所述动态特征构建特征向量；构造分类器，通过所述分类器检测恶意代码。通过提取的动态特征获得系统行为序列，从而获得系统行为及其相互关系的特征向量，并利用深度学习模型进行学习和训练得到分类器，利用所述分类器对恶意代码进行检测，实现了对恶意代码的有效检测，同时解决了安卓代码混淆、加密的问题，并且提高了检测准确率，更进一步提高了检测的精度、召回率和F1度量。

技术领域

本申请涉及信息安全技术领域，例如涉及一种基于系统行为序列的恶意代码检测方法。

背景技术

随着智能通信技术的不断发展，移动智能终端普及率大大增长，智能手机已经成为人类社会重要的工具之一。根据Gartner的最新数据，在智能手机操作系统市场，谷歌的Android在2018年市场份额持续增长，高达84.1％。而随着Android操作系统的市场份额持续增高，且平台具有开放性等特点，使得越来越多的Android智能终端成为攻击目标。

Android应用程序获取的途径包括Google Play和其他第三方Android市场，攻击者通常会在一些热门的Android应用中插入恶意代码，或者将含有恶意代码的软件伪装成正常的软件，在安全管理较差的应用市场进行发布和传播，因此需要高准确率，低误报率的恶意代码检测方法对Android应用进行检测。

目前恶意代码检测的方法主要有基于特征签名匹配的检测和基于行为特征的检测。基于特征签名匹配的检测是指将待测应用的签名与已知的恶意代码的签名进行匹配，这种方法可以检测出签名库中存在的恶意代码，但缺点是不能有效的检测出未知的恶意代码。而基于行为的检测方法则可细分为静态分析方法和动态分析方法，静态分析方法首先对APK文件进行反编译，然后通过对反编译代码的特征分析来检测恶意代码，而动态分析则在执行代码的过程中通过分析代码的行为特征来检测恶意代码。

在基于行为特征的检测方法中，典型特征主要有权限、API调用以及程序运行时发生的系统调用等信息。但目前这类检测方法在建立检测模型时各行为特征相互独立，没有将各行为特征间的顺序关系作为建模参数，而此顺序关系是反映代码行为的重要因素。

发明内容

为了对披露的实施例的一些方面有基本的理解，下面给出了简单的概括。所述概括不是泛泛评述，也不是要确定关键/重要组成元素或描绘这些实施例的保护范围，而是作为后面的详细说明的序言。

根据本公开实施例的一个方面，提供了一种基于系统行为序列的恶意代码检测方法。

在一些可选实施例中，所述方法包括：提取安卓样本的运行信息；动态运行所述安卓样本，提取动态特征；根据所述动态特征构建特征向量；构造分类器，通过所述分类器检测恶意代码；所述运行信息包括所述安卓样本的可运行组件。

本公开实施例，通过动态运行所述运行信息并提取动态特征，从而构建有效的特征向量，并通过选择有效的特征向量，快速、准确的检测出恶意代码，提高了检测的准确率。

可选地，所述动态运行所述安卓样本，提取动态特征包括：对apk文件需要监控的敏感API插桩并重打包；将所述可运行组件作为所述动态运行的入口点，进行动态运行，并从所述动态运行生成的日志中提取动态特征。。

可选地，所述的动态特征包括：API调用，文件访问，敏感数据泄露，外部程序动态加载，网络连接请求，网络数据传输，SMS信息传输。

可选地，所述敏感API的选取方法包括：

收集所述安卓样本中的API调用；

通过对所述安卓样本进行SVM算法训练，得到各所述API调用的权重ω；