[发明专利]基于DEX文件分区特性的Android恶意软件家族分类方法

说明书

本发明提出一种基于DEX文件分区特性的Android恶意软件家族分类方法。本方法可以自动地提取Android恶意软件的DEX文件，然后将其转化成RGB图像和文本，通过RGB图像特征和文本特征以此实现Android恶意软件的分类。主要包括以下几个步骤：(1)提取Android恶意软件的DEX文件；(2)将DEX文件转化为RGB图像；(3)将DEX文件转化为纯文本文件；(4)提取RGB图像的纹理特征；(5)提取RGB图像的颜色特征；(6)提取纯文本文件的文本特征；(7)利用多核学习对纹理特征，颜色特征以及文本特征进行融合以此实现对Android恶意软件家族的分类。

技术领域

本发明提出一种基于DEX文件分区特性的Android恶意软件家族分类方法。根据DEX文件区块特征对DEX文件进行可视化和文本化，将DEX文件分别转化成RGB图像和纯文本，然后提取RGB图像特征和文本特征作为Android恶意样本特征。最终选用基于多核学习的多特征融合算法对Android恶意软件进行家族分类。

背景技术

由于Android系统的开源特性，使其占据移动手机市场85%以上的市场份额。但也因为Android系统迭代迅速以及开源特性造成的系统碎片化严重，使得Android恶意软件在原本繁多的恶意家族之上又产生大量的变种，对Android恶意家族分类带来不小的挑战。传统的静态分析方法易受混淆和加固影响，而动态分析方法对时间和空间的花销严重。新的可视化方法未考虑到Android恶意软件特性造成特征损失严重。

在应对恶意软件家族分类上很多可视化方法和图像处理方法被提出，但是大部分方法并没有针对Android恶意软件家族分类，由于Android平台文件相对于其他平台文件有自身的特点，因此很多方法并不适用于Android恶意软件家族分类和导致Android恶意软件的特征丢失。此外，很多针对Android平台的方法由于在可视化方法和图像处理方法上的不足，造成分类的准确性不高。为应对以上出现的问题，本发明提出一种更精确的Android恶意软件家族分类方法。该方法充分分析和利用了Android可执行文件DEX文件的特征，依靠DEX文件的区块特征将DEX文件其转化成RGB图像和文本，然后分别提取图像特征和文本特征对Android恶意软件进行分类。相比于动静态分析方法具有更高的分析效率和抗干扰性。与灰度图相比，RGB图拥有除纹理特征之外的颜色特征，能够更加多维的表征Android应用软件。此外在图像特征之外增添文本特征，图像特征和文本特征相结合在不影响分类效率的基础之上使得Android恶意家族分类更加精准。

发明内容

本发明是通过对Android安装包文件进行解压提取代码执行文件DEX文件，然后解析DEX文件的头文件得到各个不同功能的区块。利用每个区块以及区块之间的特征将DEX文件进行可视化和文本化，将DEX文件转化成更加直观的RGB图像和文本。然后提取图像特征和文本特征作为DEX文件的特征。直接对DEX文件字节码进行操作降低了混淆和加固对分析的影响，并且图像特征和文本特征相结合对Android恶意家族分类，在保证精确度的前提下提高了分类的效率。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是本发明提供的基于DEX文件区块特征的Android恶意软件家族分类方法框架图。

图2是本发明提供的DEX文件的可视化过程的流程图。

图3是本发明提供的基于多核学习的特征融合算法的框架图。

具体实施方式