[发明专利]用于恶意代码检测的方法及装置

说明书

本申请涉及信息安全技术领域，公开一种用于恶意代码检测的方法。该方法包括：获取安卓样本的系统特征；系统特征包括API调用信息和请求权限补集；根据API调用信息和请求权限补集获得安卓样本的关键系统特征集；根据关键系统特征集获得特征向量；根据特征向量构建分类器以进行恶意代码检测。该方法能够基于安卓样本的API调用信息和请求权限补集获得关键系统特征集，并根据关键系统特征集获得特征向量，从而构建分类器以实现对恶意代码的检测，能够快速、准确的检测出恶意代码，提高了检测恶意代码的准确率。本申请还公开一种用于恶意代码检测的装置。

技术领域

本申请涉及信息安全技术领域，例如涉及一种用于恶意代码检测的方法及装置。

背景技术

目前，随着通信技术的发展，智能手机的使用率大大提高，根据国际数据公司(IDC)的最新数据，2019年全球智能手机出货量为13.823亿部，安卓(Android)的市场份额达到86.6％。该报告还预测，2023年市场份额将达到87.1％，毫无疑问，Android智能手机将持续占据着主导地位，Android智能手机的流行同时也激发了网络犯罪分子的兴趣，他们上传可窃取敏感信息并危害移动系统的恶意应用程序。最近的一份报告显示，Google Play商店中几乎所有类别的应用程序都存在漏洞。2016年，Android设备总共阻止了7193927个Android恶意软件，平均每天有19709个。2017年，这一数字达到8,849,993，平均每天23,795。此外，网络犯罪分子已开始使用一些新技术来保护恶意应用程序免遭检测，例如，动态加载Android体系结构为开发人员提供了一种机制，可让他们在设备上完成安装后更新其应用程序；代码加载机制使攻击者可以在运行时加载恶意负载或完全更改应用程序；利用动态加载技术和反射调用机制隐藏恶意行为逐渐成为恶意应用程序的新趋势。因此，检测恶意代码是研究人员需要面对的最大挑战之一。

在实现本公开实施例的过程中，发现相关技术中至少存在如下问题：现有技术可以检测出签名库中存在的恶意代码，但是不能有效的检测出未知的恶意代码；对于恶意行为隐藏在外部可执行文件的应用程序没有很好的检测效果，并检测速度较慢。

发明内容

为了对披露的实施例的一些方面有基本的理解，下面给出了简单的概括。所述概括不是泛泛评述，也不是要确定关键/重要组成元素或描绘这些实施例的保护范围，而是作为后面的详细说明的序言。

本公开实施例提供了一种用于恶意代码检测的方法及装置，以解决如何提高针对外部可执行文件的应用程序中隐藏的恶意代码进行检测的准确率的技术问题。

在一些实施例中，所述方法包括：获取安卓样本的系统特征；所述系统特征包括API调用信息和请求权限补集；

根据所述API调用信息和请求权限补集获得所述安卓样本的关键系统特征集；

根据所述关键系统特征集获得特征向量；

根据所述特征向量构建分类器以进行恶意代码检测。

在一些实施例中，所述装置包括：处理器和存储有程序指令的存储器，所述处理器被配置为在执行所述程序指令时，执行如上述的用于恶意代码检测的方法。

本公开实施例提供的用于恶意代码检测的方法及装置，可以实现以下技术效果：能够基于安卓样本的API调用信息和请求权限补集获得关键系统特征集，并根据关键系统特征集获得特征向量，从而构建分类器以实现对恶意代码的检测，能够快速、准确的检测出恶意代码，提高了检测恶意代码的准确率，又因为请求权限补集是反映外部可执行文件行为的重要因素，进而提高了针对外部可执行文件的应用程序中隐藏的恶意代码检测的准确率。

以上的总体描述和下文中的描述仅是示例性和解释性的，不用于限制本申请。

附图说明