[发明专利]一种基于权限组合的安卓恶意软件检测方法

权利要求书

1.一种基于权限组合的安卓恶意软件检测方法，其特征在于，该方法对训练集中的软件进行权限分类组合并获得权限组合的评分，根据权限组合的评分获得评分临界值，将实际待检测安卓软件的评分与临界值进行比较，判断待检测安卓软件是否为恶意软件；

其特征在于，包括以下步骤：

步骤1、对训练集中已知的安卓权限进行分类，包括：接收信息类、发送信息类、操作类和其他类；

步骤2、确定安卓权限的组合形式，包括：提取操作类、操作类-发送信息类、接收信息类-操作类和接收信息类-操作类-发送信息类，并对训练集中已知的安卓权限进行组合；

步骤3、将训练集中的安卓恶意软件的apk文件进行反编译，获得所有恶意软件的权限列表；

步骤4、将训练集中的同等数量的安卓正常软件的apk文件进行反编译，获得所有正常软件的权限列表；

步骤5、根据每种权限组合在恶意软件权限列表中出现的概率和在正常软件权限列表中出现的概率，获得每种权限组合的得分；

步骤6、根据每个软件中所有权限组合的得分，求和获得该软件的得分；

步骤7、采用逻辑回归函数描述恶意软件概率的分布情况，设定概率期望值，进而获得该期望值下的得分临界值；

步骤8、将实际待检测安卓软件的apk文件进行反编译，获得权限列表，根据权限列表中权限组合的得分，计算该待检测软件的得分；

步骤9、判断该待检测软件的得分是否大于临界值，若是，则为恶意软件，否则为正常软件。

2.根据权利要求1所述的基于权限组合的安卓恶意软件检测方法，其特征在于，步骤5所述的根据每种权限组合在恶意软件权限列表中出现的概率和在正常软件权限列表中出现的概率，获得每种权限组合的得分，具体如下：

计算每个权限组合x的得分PS_x：

（1）

其中，P(x∈T₁)表示权限组合x在恶意软件权限列表T₁中出现的概率，P(x∈T₁)= T₁中含有x的软件数量/T₁中含有软件的数量；P(x∈T₂)表示权限组合x在正常软件权限列表T₂中出现的概率，P(x∈T₂)= T₂中含有x的软件数量/ T₂中含有软件的数量；PS为PermissionScore的缩写。

3.根据权利要求1所述的基于权限组合的安卓恶意软件检测方法，其特征在于，步骤6所述的根据每个软件中所有权限组合的得分，求和获得该软件的得分；具体如下：

每个软件s的得分SS_s：

（2）

其中，PS_x∈s表示软件s中权限组合x的得分，SS为Software Score的缩写。