[发明专利]基于运行时数据分析的Android恶意软件高效检测方法、系统及介质

权利要求书

1.一种基于运行时数据分析的Android恶意软件高效检测方法，其特征在于实施步骤包括：

1）获取APP的包名和启动页面名；

2）基于包名和启动页面名运行APP后通过操作模拟工具模拟人对APP的行为操作，跟踪记录并生成APP的运行数据，所述APP的运行数据包括APP对API 的调用以及API对API 的调用的信息；

3）将APP的运行数据通过异构信息网络HIN提取得到APP的运行数据的结构化数据，将APP的运行数据的结构化数据以元路径的方式构成核矩阵；所述异构信息网络HIN中包括两种节点类型和两种边类型，两种节点类型是APP和API，两种边为APP对API 的调用及API对API 的调用，且关系由APP对API 的调用次数以及API对API 的调用次数构成；所述将APP的运行数据通过异构信息网络HIN提取得到APP的运行数据的结构化数据具体是指过滤掉APP对API 的调用且该API没有再调用其他API的关系，使得剩余的关系全部为API调用序列；

4）将核矩阵输入预先训练好的机器学习分类器，得到该APP是否为恶意软件的检测结果，所述机器学习分类器被通过预先训练建立了APP的运行数据的结构化数据、是否为恶意软件的检测结果的映射关系。

2.根据权利要求1所述的基于运行时数据分析的Android恶意软件高效检测方法，其特征在于，步骤1）中获取APP的包名和启动页面名具体是指通过对APP进行反编译获取APP的包名和启动页面名。

3.根据权利要求1所述的基于运行时数据分析的Android恶意软件高效检测方法，其特征在于，步骤2）中运行APP具体是指在虚拟机中运行APP。

4.根据权利要求1～3中任意一项所述的基于运行时数据分析的Android恶意软件高效检测方法，其特征在于，步骤4）中的机器学习分类器为支持向量机分类器。

5.根据权利要求4所述的基于运行时数据分析的Android恶意软件高效检测方法，其特征在于，步骤4）之前还包括对支持向量机分类器进行训练的步骤，详细步骤包括：

S1）针对多种普通的APP以及恶意的APP分别通过执行步骤1）～步骤3）提取对应的核矩阵，并对得到的核矩阵附加普通或恶意的标签，从而建立训练样本数据集和测试样本集；

S2）基于训练样本数据集中的训练样本数据，对所述支持向量机分类器进行训练，在完成指定数量或者时间的训练后，跳转执行下一步；

S3）基于测试样本集中的测试样本数据对所述支持向量机分类器进行测试，获得完成本轮训练后支持向量机分类器的分类准确度；

S4）判断是否满足训练终止条件，所述训练终止条件为完成指定数量或者时间的训练或者分类准确度达到预设阈值；如果不满足训练终止条件则跳转执行步骤S2），否则如果满足训练终止条件则结束并退出。

6.一种基于运行时数据分析的Android恶意软件高效检测系统，其特征在于包括：

包信息获取程序单元，用于获取APP的包名和启动页面名；

运行数据获取程序单元，用于运行APP后通过操作模拟工具模拟人对APP的行为操作，跟踪记录并生成APP的运行数据，所述APP的运行数据包括APP对API 的调用以及API对API的调用的信息；

结构化数据获取程序单元，用于将APP的运行数据通过异构信息网络HIN提取得到APP的运行数据的结构化数据，将APP的运行数据的结构化数据以元路径的方式构成核矩阵；所述异构信息网络HIN中包括两种节点类型和两种边类型，两种节点类型是APP和API，两种边为APP对API 的调用及API对API 的调用，且关系由APP对API 的调用次数以及API对API 的调用次数构成；所述将APP的运行数据通过异构信息网络HIN提取得到APP的运行数据的结构化数据具体是指过滤掉APP对API 的调用且该API没有再调用其他API的关系，使得剩余的关系全部为API调用序列；

结果分类程序单元，用于将核矩阵输入预先训练好的机器学习分类器，得到该APP是否为恶意软件的检测结果，所述机器学习分类器被通过预先训练建立了APP的运行数据的结构化数据、是否为恶意软件的检测结果的映射关系。