[发明专利]类别自动判定的安卓恶意应用检测模型的建立方法

说明书

本发明提供了一种类别自动判定的安卓恶意应用检测模型的建立方法，本发明提供的安卓恶意应用检测模型，通过针对不同分类标签的应用的敏感特征权限来建立分类器模型，并使用准确且合理的权重值，综合考虑不同权限调用特征的对恶意以及良性应用的区分度，从而有效地对待检测程序进行权限特征评估，可对应用的用户安全性进行判断，可以大大增加安卓应用商店的审核效率。

技术领域

本发明属于APP应用安全检测领域，具体涉及一种类别自动判定的安卓恶意应用检测模型的建立方法。

背景技术

目前安卓应用市场鱼龙混杂，许多恶意应用潜藏在应用商店中，严重威胁了安卓用户群体的隐私数据与个人财产，影响了安卓生态圈的健康发展。因此如何快速准确地对安卓应用进行检测尤为重要。

传统检测方式普遍将权限调用信息作为核心特征进行应用检测，存在以下问题：第一方面，同样的权限调用在不同的类别应用下合法性判别不同，例如社交聊天类应用读取通讯录权限一般被认为是合法行为，但是图片拍照类应用调用该权限通常被认为是恶意行为，因此笼统地将所有类别的安卓应用放到同一个数据集中一并考虑容易引起误判；第二方面，部分权限特征对于待测应用良性、恶意区分力度非常小，即良性应用、恶意应用均会调用该权限，或者良性应用、恶意应用均不会调用该权限，将这类权限特征纳入考虑范围导致无效权限特征较多，降低了检测的准确率，检测时间也相对增加；第三方面，许多恶意应用的恶意行为需要申请调用多个权限特征组合完成，例如完成将联系人信息上传到某网站的恶意行为，需要调用读取内容与互联网权限。因此简单地对单一权限调用情况进行分析，忽视某些特定权限组合对恶意应用检测的影响，将降低检测的准确率。

现有技术中，对于安卓恶意应用的检测，主要方法有动态分析、静态分析、混合分析。

动态分析指在仿真器或者实际设备上部署待测应用并完整执行，通过模拟用户与应用交互，检查期间是否有恶意行为出现的检测方法。现有方法中，有国外团队利用系统调用频率与系统呼叫依赖性构造联合特征进行恶意检测，得到 93％准确率。还有团队选取系统函数调用树状图与系统日志构造联合特征，使用随机森林算法区分恶意应用与良性应用。还有团队提取了包括手机事件功能和短信功能在内的32个动态特征并组合，基于支持向量机算法构建分类器进行恶意检测。虽然这些基于动态分析的恶意应用检测方法准确率较高，但时间开销成本过高，无法被广泛使用。

静态分析方法不需要将应用完整地运行一遍，通过对应用静态代码进行解析实现恶意检测。由于省略了运行待测应用的过程，静态分析方法消耗硬件资源、花费时间较少，因此是一个相对高效、快速的检测方法。有人选取待测应用申请调用的权限信息、敏感API调用信息相结合，组成联合特征进行恶意检测；另一方面，对比待测安卓应用的权限调用信息与其他应用的权限调用信息，设定对比规则也可以考察待测应用是否具有恶意行为。但这些方法均忽视了应用类别对准确率的影响，同样的权限调用信息在不同类别的应用下合法性判别是不同的。此外当面临使用了反向工程技术(比如模糊处理、重新打包)的恶意安卓应用，静态分析方法可能会无法处理。

混合分析指将静态分析与动态分析相结合进行恶意应用检测，因此混合分析具备二者的优点，同时分析了安卓应用软件包apk文件夹与应用运行时的各种行为，被认为是最为全面的分析方法，但是混合分析也继承了动态分析的极为明显的缺点，会导致安卓系统的过度消耗以及浪费大量的时间。

因此，动态分析、静态分析、混合分析都存在一定弊端，并不适用于应用商店进行大规模的恶意应用检测。

发明内容

本发明所要解决的技术问题是提供一种类别自动判定的安卓恶意应用检测模型的建立方法。

本发明解决其技术问题所采用的技术方案是：提供了一种类别自动判定的安卓恶意应用检测模型的建立方法，包括：

获取样本应用集合；

对样本进行预处理，以获取类别标签以及权限调用特征；