[发明专利]一种基于用户评论数据的欺诈应用检测方法及系统

说明书

本发明属于信息安全中的软件安全领域，具体涉及一种基于用户评论数据的欺诈应用检测方法及系统，该方法包括：构建移动欺诈应用知识库；获取待检测应用的数据；对待检测应用数据进行预处理；采用移动欺诈应用知识库对预处理后的数据进行特征匹配，若匹配成功，则输出检测结果，若匹配失败，则采用分类规则计算用户评论数据与欺诈行为的关联度，并对该评论数据进行类别标记；采用TF‑IDF算法对类别标记的评论数据进行关键词提取，根据提取的关键词对待检测应用的数据进行检测，得到检测结果；本发明基于多关键词分类规则从海量的用户评论中识别出描述欺诈行为的评论信息，提高了检测的准确率和效率。

技术领域

本发明属于信息安全中的软件安全领域，具体涉及一种基于用户评论数据的欺诈应用检测方法及系统。

背景技术

由于安卓系统的开放性及普及性，欺诈应用在安卓平台出现并变得更加广泛。欺诈应用不仅会泄露用户的个人信息，而且还给用户带来了经济损失。目前，欺诈应用的检测方法主要分为静态代码分析方法和动态运行时行为监测方法；静态代码分析方法通常通过特征匹配来判断是否存在恶意或者敏感的代码威胁；动态运行时行为分析是在应用真实执行基础上的分析方法，通过自动化运行遍历应用功能，然后使用插桩、注入等技术手段，获取相关的输出或状态数据。

但是移动欺诈应用技术形态变化多端，特别是，绝大部分欺诈应用并不具备代码执行上的异常，也不具备本地行为的异常；因此，无法从应用代码、行为序列、数据流向等层面提取有效的特征，已有的静态代码分析和动态运行时分析方法无法有效的发现移动应用中的欺诈行为。其次，欺诈行为通常隐藏在应用中的某一个界面、功能或服务中，且需要满足特定条件才会触发，例如，移动广告欺诈中的广告放置位置、交友欺诈应用中的付费服务等。但是，部分触发条件是已有的自动化运行技术无法实现的，需要依赖人工实际使用应用相关的功能或服务才能发现应用中的欺诈行为，而仅依赖于人工审查的方式来发现移动欺诈应用，其准确率和效率是无法满足商店百万级应用的规模。

发明内容

为解决以上现有技术存在的问题，本发明提出了一种基于用户评论数据的欺诈应用检测方法，该方法包括：构建移动欺诈应用知识库；获取待检测应用的数据，该数据包括应用样本、应用元数据以及用户评论数据；对待检测应用数据进行预处理；采用移动欺诈应用知识库对预处理后的数据进行特征匹配，若匹配成功，则输出检测结果，若匹配失败，则采用分类规则计算用户评论数据与欺诈行为的关联度，并对该评论数据进行类别标记；采用TF-IDF算法对类别标记的评论数据进行关键词提取，根据提取的关键词对待检测应用的数据进行检测，得到检测结果；对检测结果进行特征提取，并根据提取的特征对移动欺诈应用知识库进行更新。

优选的，构建移动欺诈应用知识库的过程包括：从已确认为移动欺诈应用中获取该应用的应用内数据和应用元数据，根据该应用的评论提取应用特征；根据应用内数据、应用元数据以及提取的评论数据特征构建移动欺诈应用知识库；所述应用内数据包括应用代码、应用资源文件以及开发者签名，所述应用元数据包括应用描述、应用名以及发布者名。

优选的，对待检测应用数据进行预处理包括：对待测应用数据的用户评论数据进行去停用词以及分词工作。

优选的，采用分类规则计算用户评论数据与欺诈行为的关联度的过程包括：

步骤1：构建训练集，构建过程包括获取欺诈应用的用户评论，采用人工标记对应的欺诈行为，将所有的经过标记的用户评论数据进行集合，得到训练集；

步骤2：对训练集中的用户评论数据进行去停用词和分词操作；

步骤3：采用TF-IDF算法对经过去停用词和分词操作后的数据进行关键词排序；遍历排序后的关键词，对排序后的关键词进行筛选，得到关键词集合；

步骤4：根据关键词集合构建分类规则；

步骤5：采用分类规则对待检测应用的用户评论数据进行分类，得到用户评论数据的分类结果；