[发明专利]一种基于应用类别的安卓恶意软件检测方法

摘要

本发明公开了一种基于应用类别的安卓恶意软件检测方法，该方法包括以下步骤：特征提取阶段；危险权重赋予阶段；基于类别的危险值计算阶段；机器学习分类阶段；加入新特征新样本阶段。本发明采集所有静态特征和动态特征；基于特征的类别，计算每类的危险值；基于应用的类别，计算每类特征的危险值；应用kNN算法对应用进行分类，对该算法进行优化，提高准确率。

主权项

1.一种基于应用类别的安卓恶意软件检测方法，其特征在于，包括以下步骤：步骤1、特征提取阶段在电脑中安装ubuntu系统，对应用进行反编译，从AndroidManifest.xml中提取权限，从META‑INF中提取签名，使用dex2jar和JD‑GUI把class.dex转换为应用的源代码，通过Droidbox和测试机分析程序运行时的行为；步骤2、危险权重赋予阶段根据每类行为特征不同的危险水平，赋予不同的危险权重；权重为0.5的是交互类，特别危险类，网络活动类和信息泄露类这几类行为特征；交互类特征被用来和其他手机或网页进行信息交换，如果应用不包含该类，那么其他类特征就不会构成威胁，所以交互类特征危险程度最高；动态特征中，网络活动包括打开连接和流量进出，信息泄露类可能泄露用户的隐私信息，给用户带来难以预估的危害；特别危险类行为包括重启、关机和重打包；权重为0.4的是控制类，系统类，源代码类和签名类这几类行为特征；控制类和系统类控制了手机系统的权限和活动，比花费类和隐私类更加危险；通过源代码，分析是否包含恶意的包和类；通过签名，可以判断应用是否来自某个恶意软件家族；权重为0.3的是花费类，隐私类和文件类行为特征；权重为0.2的是新特征类，单特征类；步骤3、基于类别的危险值计算阶段对于每一个应用软件来说，来实现应用功能的行为特征是正常的，不是实现其功能的特征可能是恶意的；在第二步的基础上，根据应用的类别，把实现正常功能的特征赋予权重0.1；将不是实现正常功能的危险权限赋予权重值为1；计算每类特征的危险值总和，再计算整个应用的危险值总和；步骤4、机器学习分类阶段将一个应用的每类危险值放到数组中，作为测试集和样本集；在样本集中，将相似度特别大的点删除其中一个，采用各种危险值从小到大不同的大量样本，同时使样本分布均匀；使用k‑means算法，使样本集产生聚类中心；对样本集进行优化有利于减少误判率；计算测试集中的数据和聚类中心的距离，找到最近的聚类中心；然后使用kNN算法，计算测试集中数据与聚类中心周围的点的距离，找到最近的k个点；这k个点的标签中，如果标签是恶意软件的点比标签是正常软件的点多，那么测试集中的应用是恶意软件；如果标签是正常软件的点比标签是恶意软件的点多，那么测试集中的应用是正常软件；步骤5、加入新特征新样本阶段重复上述过程，将应用的新特征和应用的危险值，加入样本集数据库，为下次的应用软件检测作样本。