[发明专利]一种可验证的安卓恶意软件检测系统及方法

摘要

本发明公开了一种可验证的安卓恶意软件检测系统及方法，该系统包括安卓应用源数据初始化过滤模块、可疑代码报警器模块和恶意代码验证模块，安卓应用源数据初始化过滤模块首先对安卓应用源数据初始化过滤和特征生成；可疑代码报警器模块发现可疑的恶意代码通过警报器标记；恶意代码验证模块用验证器验证安卓恶意软件及其恶意代码。本发明实现自动地检测由病毒检测服务平台的门户网站提交的数据流是否含有恶意代码，以及由系统提供的API接口提交的文件里是否含有恶意代码，并实现识别技术给予验证，该发明可发现安卓恶意应用开发者提交的安卓恶意代码，并通过有效的验证技术提高恶意代码检测的准确率。

主权项

1.一种可验证的安卓恶意软件检测系统，其特征在于，所述的检测系统包括源数据初始化过滤器模块、可疑代码警报模块和恶意代码验证模块；/n其中，所述的源数据初始化过滤器模块以提交者通过网站或者系统API提交的安卓应用源数据为输入，以分布式计算框架作数据清洗和重新封装，初步筛选出可疑的安卓应用，包括样本提交相关的结构信息及特征向量；/n所述的可疑代码警报模块以筛选出的安卓应用数据及相关信息为输入，将所有的可疑安卓应用数据下载到分布式计算框架的训练分类器，执行深层次分析从可疑的安卓应用数据中发现并定位出恶意代码，输出可疑代码的结果报告；/n所述的恶意代码验证模块对可疑代码作详细分析，在分布式计算框架中为APP安装包分析组件、APP函数功能分析组件和视图相似性分析组件建立多个并行样本分析任务，对每个提交的数据流作安装包分析、静态相似性分析和动态相似性分析，根据验证规则计算结果；/n所述的恶意代码验证模块包括安装包分析器、静态分析器、动态分析器、验证器，其中，所述的安装包分析器、所述的静态分析器、所述的动态分析器分别同步提取每个样本的安装包信息、功能函数静态代码和动态行为信息，然后生成验证文件，将所有验证文件和中间分析结果收集并解析后提交到验证器中，以根据多个验证文件进行对可疑提交者的决策；/n所述系统进行安卓恶意软件检测方法包括：/nS1、源数据初始化过滤器模块对源数据进行预过滤和特征生成，以提交者通过病毒检测服务平台的网站或者检测系统API接口提交的数据为输入预过滤处理后，进行数据重新封装，筛选后得到关于每个样本提交的相关结构信息，其中结构信息包括样本SampleID、时间戳、国家，生成用户UserID，来自同一提交者的多次提交形成一系列的安卓应用数据流，并按提交的时间戳给予排序；/nS2、可疑代码警报模块以源数据初始化过滤器模块输出的数据流为输入，经过训练分类器输出可疑代码报告，将提交流实时分为可疑或正常，发现有新的数据流提交时，首先检查用户UserID是否存在于用户及恶意特征数据库中，如果存在，则从该用户UserID加载所有先前提交的数据流记录，然后计算它们的特征向量，训练分类器将来自每个用户UserID提交数据的所有字段计算出数据的特征向量，并从提交数据的字段中提取一组派生特征；/nS3、在可疑代码警报模块将提交数据流标记为可疑后，恶意代码验证模块分析来自可疑用户UserID的所有样本文件，部署安装包分析器、静态分析器、动态分析器提取每个样本的安装包信息、功能函数静态代码和动态行为信息进行恶意代码行为分析；/nS4、解析多个验证属性，对可疑代码验证属性进行计算，生成各种验证文件，收集验证文件和中间分析结果，最终提交到验证器中，以根据多个验证文件进行决策，依据样本相似性对可疑代码分组，并形成最终验证的结果；/nS401、设安装包分析结果集合P＝{P