[发明专利]基于随机森林分类方法的Android平台恶意应用检测方法

说明书

技术领域

本发明涉移动终端软件安全技术领域，尤其涉及一种将机器学习领域中的分类算 法应用于Android恶意应用检测的方法。

背景技术

近几年随着智能终端设备，尤其是智能手机的发展，人们的生活变得越来越方便。 现在的智能手机甚至能够完成许多以前必须在PC上才能完成的功能，这更加吸引了人们的 使用。然而，越来越庞大的智能手机用户群体也引起了许多恶意应用开发者的注意。随着智 能手机用户群体的发展，恶意应用的数量也在不断增长。恶意应用开始成为了手机安全和 用户隐私的一大威胁。在这样的情况下，寻找一种能够准确地批量检测恶意应用的方法就 显得十分必要。

在公开号为CN104123500A的专利申请中，描述了一种基于深度学习的Android平 台恶意应用检测方案，本方案通过对Android应用原始安装文件和运行时进行特征提取，然 后通过深度学习建立模型来进行检测。由于需要在运行时进行检测，故其检测的效率比较 低，效果不佳。

发明内容

本发明的发明目的在于：针对上述存在的问题，提供了一种Android恶意应用的检 测方法，通过使用随机森林分类方法，实现了Android平台下恶意应用与善意应用的区分， 保障了用户的利益。

本发明的基于随机森林分类方法的Android平台恶意应用检测方法，包括下列步 骤：

获取Android应用(以下简称APP)样本，包括善意应用样本和恶意样本；

获取APP的所有可申请权限、所有可调用API，得到权限集和API集；

提取各APP样本的静态特征，包括各应用样本所申请的权限、所调用的API；

基于各APP样本的静态特征、权限集和API集构建样本库，所述样本库包括的表项 有：APP标识符、区分善意和恶意的类型标识符、对权限集中各权限的申请标识符、对API集 中的各API的调用标识符；

根据样本库，构建随机森林的每棵决策树，得到随机森林分类器：

基于样本库进行取样，得到不同组的训练数据集，将一组训练数据集所包括的APP 作为决策树的根节点下的APP，对决策树的各节点进行分裂处理，得到一棵决策树：

随机选择基于当前节点下的m(其中m为预设值，用于计算最佳的分裂方式，其取值 小于样本库所包括的静态特征的总数)个静态特征，并分别计算各静态特征所对应的信息 增益；取信息增益最大的静态特征作为当前节点的分裂属性，基于分裂属性对每个节点进 行分裂，即将具有分裂属性所对应的静态特征的APP分到一个叶子节点，不具有分裂属性所 对应的静态特征的APP分到另一个叶子节点，直到当前节点下的APP的个数为1或分裂属性 用完；各叶子节点所属的类别取决于其下的APP的类型(善意或恶意)，若同时包括两类APP， 则取决于包含APP个数最多的类型；

提取待检测APP的静态特征，基于所建模型对待检测APP进行分类，检测待检测APP 是否为恶意应用。

由于采用了上述技术方案，本发明的有益效果是：本发明通过提取APP的静态特 征：权限特征和API调用特征，结合机器学习领域中的随机森林分类方法，实现了对恶意APP 的高效检测，提高了Android平台的安全性。

附图说明

图1是本发明的流程图；

图2是具体实施方式中，保存特征信息的文件格式的示例图；

图3是具体实施方式中，分裂节点的示意图；

图4是具体实施方式中，随机森林中的一颗决策树的示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合实施方式和附图，对本发 明作进一步地详细描述。

为了实现准确地批量分析出APP是恶意的还是善意的这一难题，本发明提供了一 种基于随机森林分类方法的Android平台恶意应用检测方法。参见图1，本方法主要包括如 下五个步骤：

S1：获取APP样本，包括恶意和善意的APP样本；

S2：获取APP的所有可申请权限列表、API信息，得到权限集和API集；

S3：提取APP样本的静态特征，包括所申请的权限、所调用的API；