[发明专利]基于运行时数据分析的Android恶意软件高效检测方法、系统及介质

说明书

本发明公开了一种基于运行时数据分析的Android恶意软件高效检测方法、系统及介质，本发明运行APP后模拟人对APP的行为操作跟踪记录并生成APP的运行数据；将APP的运行数据通过异构信息网络HIN提取得到APP的运行数据的结构化数据并以元路径的方式构成核矩阵；将核矩阵输入预先训练好的机器学习分类器得到检测结果。本发明利用动态特征提取技术提取APP的行为数据，通过异构信息网络（HIN）对提取到的APP行为数据进行结构化处理，并将结构化的数据以元路径的方式构成核矩阵，并用支持向量机（SVM）分类器进行训练，因此能够实现很少的训练时间和较高的正确率。

技术领域

本发明涉及软件与信息安全技术领域，具体涉及一种基于运行时数据分析的Android恶意软件高效检测方法、系统及介质。

背景技术

作为市场占有率最高的移动平台，Android系统构建了一个开放的生态系统。它的开放性促进了应用市场的繁荣，但同时也由于恶意软件的泛滥为用户带来了很大的安全威胁。360互联网安全中心发布的《2018年Android恶意软件专题报告》中表明：2018年全年，360互联网安全中心共截获移动端新增恶意软件样本约434.2万个，平均每天新增约1.2万个，累计监测移动端恶意软件感染量约为1.1亿人次，平均每日恶意软件感染量约为29.2万人次。Android恶意软件检测已经成为工业界和学术界普遍关注的问题，面向Android系统研究高效的恶意软件检测方法具有十分重要的意义。

目前Android恶意软件检测技术大体可分为两类，分别是静态特征提取技术和动态特征提取技术。静态特征提取的研究工作大多是将APP进行反编译，对反编译后的代码进行分析。一些常见的开源工具也常用于静态特征分析。动态特征提取的研究则侧重于监控APP涉及用户隐私的行为数据或对敏感的API调用。无论是静态特征提取，还是动态特征提取，都还要结合分类算法等才可以实现对恶意软件的检测。

目前Android恶意软件检测技术大体可分为两类，分别是静态体征提取技术和动态特征提取技术。静态体征提取，大多是将APP进行反编译，对反编译后的代码进行分析。动态特征提取则侧重于监控APP涉及用户隐私的行为数据或对敏感的API调用。由于静态特征提取的无用信息较多，会导致训练时间过长。所以如何在保持一个较高识别正确率的前提下，尽量减少训练模型的时间，是目前亟待解决的关键技术问题。

发明内容

本发明要解决的技术问题：针对现有技术的上述问题，提供一种基于运行时数据分析的Android恶意软件高效检测方法、系统及介质，本发明利用动态特征提取技术提取APP的行为数据，通过异构信息网络（HIN）对提取到的APP行为数据进行结构化处理，并将结构化的数据以元路径的方式构成核矩阵，并用支持向量机（SVM）分类器进行训练，因此能够实现很少的训练时间和较高的正确率。

为了解决上述技术问题，本发明采用的技术方案为：

一种基于运行时数据分析的Android恶意软件高效检测方法，实施步骤包括：

1）获取APP的包名和启动页面名；

2）基于包名和启动页面名运行APP后通过操作模拟工具模拟人对APP的行为操作，跟踪记录并生成APP的运行数据，所述APP的运行数据包括APP对API 的调用以及API对API的调用的信息；

3）将APP的运行数据通过异构信息网络HIN提取得到APP的运行数据的结构化数据，将APP的运行数据的结构化数据以元路径的方式构成核矩阵；所述异构信息网络HIN中包括两种节点类型和两种边类型，两种节点类型是APP和API，两种边为APP对API 的调用及API对API 的调用，且关系由APP对API 的调用次数以及API对API 的调用次数构成；

4）将核矩阵输入预先训练好的机器学习分类器，得到该APP是否为恶意软件的检测结果，所述机器学习分类器被通过预先训练建立了APP的运行数据的结构化数据、是否为恶意软件的检测结果的映射关系。