[发明专利]一种基于频繁项集描述的移动互联网恶意应用检测方法

说明书

本发明涉及一种基于频繁项集描述的移动互联网恶意应用检测方法，属于移动互联网网络安全技术领域，该方法通过全面采集移动互联网中的各类数据，包括网络数据包、业务日志、安全设备事件等，构建大数据分析环境，利用大数据分析技术，构建移动端应用的特征数据，描述应用，解决同一样本在不同的移动终端上抽取得到的样本数据差异问题；本方法不需要移动设备客户端应用的支持，便于调整和部署；本方法分析的数据对象针对恶意应用的网络行为，不受恶意应用加壳、加密、动态加载执行等技术的影响。

技术领域

本发明属于移动互联网网络安全技术领域，具体涉及一种基于频繁项集描述的移动互联网恶意应用检测方法。

背景技术

随着移动互联网的迅速发展，移动终端的使用数量也在急剧增长，并在2011年超过了PC端上网用户数量。4G网络的部署、智能手机操作系统的普及(当前主流智能操作系统为Android和ios)以及各类移动应用的快速出现和普及，能够快捷和方便的满足用户的大多生活及工作需要，大大推动了移动端上网用户数量和移动互联网上网流量的急剧增加。

手机移动终端的方便使用使得越来越多的个人业务转移到移动终端，很多传统互联网端恶意应用开始向移动端移植，且数量呈现急剧增长的态势。与PC相比，受限于制造及硬件水平，当前手机智能操作系统在资源方面有较大的限制，如电池容量、内存及CPU等，使得其无法像PC那样充分利用本地资源对恶意应用进行检测和分析。此外，不同的操作系统和硬件架构，使得传统互联网下的一些安全机制无法完全移植应用到移动互联网。

对移动端应用的分析，相关检测技术主要包括静态样本分析和动态行为分析。静态样本分析技术通过分析应用的静态特征，如文件占用、源码依赖、特定字符串等确定应用的分类；动态行为分析技术通过对应用的行为进行监控，检测其行为是否具有恶意倾向判断是否为恶意应用。对移动端恶意应用的描述，一般需要利用静态或动态技术对特定恶意移动样本的特征进行抽取，并保存为特征向量组。利用这些特征向量数据作为训练依据，可对后续的样本进行检测。静态分析技术的输出主要包括：样本文件的相关信息，如文件大小、hash、需要的权限、文件类型和结构等；样本的函数调用，如组件间的调用关系，函数依赖序列；动态分析技术对样本的输出数据主要包括：样本的执行日志，如执行调用函数系列、样本执行输出文件、访问的外部资源、对隐私数据的访问、向外发出的数据等；样本资源的占用，如内存的使用，cpu执行事件以及电池的消耗等。

在静态特征分析技术中，基于恶意样本签名匹配技术的检测相对比较简单，主要针对已知的恶意应用，有很高的准确率，但对未知样本和使用了混淆及加密技术的样本检测能力不足。权限机制是Android系统安全的核心组成部分之一，其本质上是一种对资源的访问控制机制。一些研究人员针对移动应用运行所需要申请的权限信息，从大量的应用程序包中提取该程序的权限声明，分析这些应用的权限特征，如应用是否存在权限过度申请、不同应用的权限申请倾向。部分研究工作针对恶意应用中的API调用关系，基于采用静态分析的方法抽取API调用，将恶意应用的行为逻辑抽象为代表所属威胁模式的向量序列，标记为特定的行为序列图。对新增应用，采用机器学习的方法，用与其最为接近的威胁模式序列所属的分类标记应用。

应用动态分析系统一般采用在应用层或内核层动态监控应用执行的方式，记录和保存应用的动作及输出。在应用层主要依赖于特定客户端，在内核层则主要通过对关键内核API函数的劫持实现。

当前已有研究成果中所提出和实现的方法，主要基于客户端应用，依赖于客户端应用对特定基础资源数据的收集，这导致依赖客户端应用的架构方式无法覆盖全部的移动端用户；基于单个终端抽取得到的应用特征及行为描述具有较大的随机性。

发明内容

针对现有技术的不足，本发明提出一种基于频繁项集描述的移动互联网恶意应用检测方法，该方法不需要移动设备客户端应用的支持，便于调整和部署，其分析的数据对象针对恶意应用的网络行为，不受恶意应用加壳、加密、动态加载执行等技术的影响。