[发明专利]一种针对Android恶意软件分类的方法及装置

说明书

本发明公开了一种针对Android恶意软件分类的方法及装置，属于目标识别技术领域，包括数据采集模块、流量过滤模块、特征提取模块、特征向量构建模块和分类器。被测试软件或公开数据集通过数据采集模块收集流量信息，Android移动设备实时启动被测试软件；流量过滤模块会过滤第三方流量并筛选出适于分类的流量；特征提取模块从获得的流量数据中提取出有效信息；特征向量构建模块将有效信息进行特征工程，并将流级流量转化为主机级流量，形成特征向量；最后分类器使用集成学习的方式学习特征向量的特征，并对恶意软件进行分类。

技术领域

本发明属于软件测试技术领域，具体一种针对恶意流量的Android恶意软件分类装置，其被测试的程序为嵌入式软件，可自动化的产生测试用例。

背景技术

随着移动互联网的出现，移动设备逐渐进入了人们的生活。根据爱立信的报告显示，截至2020年底，全球移动设备数量为80亿台，预计到2026年底，这个数字将增加到88亿台。其中安卓作为最受欢迎的移动端操作系统，在2020年的市场份额占到了72.83％。互联网以及智能手机的普及给民众的生活带来了极大的便利，但在享受便捷生活的同时，人们也遭受到了来自恶意软件对移动设备的攻击。根据360安全公司发表的官方报告显示，2020年全年，360移动安全研究办公室共截获移动端恶意样本约456.4万个，环比2019年(180.9万个)增长了151.3％。安卓恶意软件包括许多类型，例如勒索软件、钓鱼软件、广告软件等，这些恶意软件可以获取用户的隐私、侵犯用户的权益，对人们的生活造成了极大的困扰，因此，恶意软件的检测问题越来越受到人们的重视。

近些年来，人们针对恶意软件的检测问题进行了多方面的研究，《A survey ofnetwork anomaly detection techniques》文献表明，异常网络流量检测作为一种新兴的检测技术，由于其具有数据收集便利，恶意软件检测准确率高等特点，受到了科研人员的青睐。《Data traffic monitoring and analysis》文献提出，目前，针对安卓恶意软件进行检测主要有四种方法：基于端口的方法、基于deep packet inspection的方法、基于统计的方法和基于行为的方法。最近几年，越来越多的恶意软件采用了先进的混淆技术，这使得基于端口的检测方法不再那么有效，且绝大多数流量采用了加密传输手段，这使得我们难以使用基于deep packet inspection的检测方法。为了应对绝大多数恶意软件使用加密流量的现状，目前的恶意软件检测方法几乎都采用基于统计的检测方法和基于行为的检测方法。

发明内容

为了解决单个机器学习模型对恶意软件分类准确率不高的问题，本发明使用了一种结合基于统计数据和基于行为的恶意软件检测方法，并利用基于stacking的集成学习方式对恶意软件进行分类。

为了达到上述目的，本发明采用如下技术方案：

本发明提供了一种针对恶意流量的Android恶意软件分类方法，包括以下步骤：

步骤1、在Android移动设备实时执行被测试软件，并收集被测试软件产生的流量信息，或通过公开数据集获得流量信息；

步骤2、将收集获得的流量信息执行过滤第三方流量，获得纯净的第一方流量；

步骤3、提取步骤2得到的第一方流量中的有效信息并将其特征化，得到特征向量；

步骤4、将特征提取模块中的特征向量进行特征工程，生成总特征向量，并把流级流量转换为主机级流量；

步骤5、使用集成学习构建分类模型，针对于二分类情况，分类器只识别出恶意软件及非恶意软件；针对多分类情况，分类器识别出恶意软件和非恶意软件，并将恶意软件划分为具体的恶意类别。

上述技术方案中，步骤2包括：