[发明专利]一种基于权限组合的安卓恶意软件检测方法

说明书

本发明涉及一种基于权限组合的安卓恶意软件检测方法，属于移动互联网网络安全技术领域，该方法基于权限组合对现有的基于权限的检测方法进行改进，大幅度降低现有技术对正常软件的误报率，同时在一定程度上提高对恶意软件的检出率；此外，本发明提出一种新的权限打分与软件打分方式，可以应用于恶意软件的初筛、大量恶意软件的快速检测、应用市场安全状态评估等需要快速、高效的对大量软件进行整体评估的场景。

技术领域

本发明属于移动互联网网络安全技术领域，具体涉及一种基于权限组合的安卓恶意软件检测方法。

背景技术

随着移动通信技术的普及和电子产品价格的降低，越来越多的人开始使用移动智能设备；根据中国电子信息产业发展研究院(工业和信息化部赛迪智库)发布的《移动智能终端产业发展白皮书(2015版)》，2014年，全球智能实际用户数量达到17.5亿，80％的智能手机搭载Android系统；但是Android应用市场的审核机制过于松散，并且允许不通过市场直接安装第三方软件，所以安全性大大降低；特别是国内用户，因为应用市场缺乏统一管理和监督，用户有很大的可能面临恶意软件的威胁；因此，对Android恶意软件检测方法的研究有其必要性和紧迫性。

近年来，对移动终端软件安全性的研究也得到了国内外机构和专家越来越多的关注，研究者在这方面做了大量的工作；在检测方法上，可以分为静态检测和动态检测两大类，在静态检测方法中，大部分都是基于权限的检测方法，即通过一定的方法对软件的权限进行评分，再判断软件评分是否超出临界值，进而判断该软件是否为恶意软件；但是这种方法会造成一些需求大量权限的正常软件被误报为恶意软件，同时需求少量权限的恶意软件被报为正常软件的情况；而通过对恶意软件的行为进行分析，可以发现恶意软件的恶意行为的产生主要可分为以下几种：恶意扣费、隐私窃取、流氓行为、资源消耗、系统破坏、远程控制、诱骗欺诈、远程传播等。以隐私窃取为例，软件需同时具备隐私读取(例如读取通讯录、读取短信等)权限和发送(例如访问网络、发送短信等)权限才有可能产生恶意行为。如果某正常软件有相当多的隐私读取权限而没有发送权限，那么从隐私窃取的角度上看，软件就不会产生恶意行为。而通过现有的基于权限的检测方法检测，因为软件有过多的关于隐私读取的权限，因此评分会很高，有很大几率被误报为恶意软件。如果某恶意软件只有少量隐私读取权限和发送权限，但是因为形成了权限的闭环，因此仍然可能产生恶意行为。而通过现有的基于权限的检测方法检测，因为软件要求的权限较少，因此可能被漏报为正常软件。

此前，土耳其的Gazi University(加齐大学)于2015年1月在《DigitalInvestigation》上发表过一篇题为《APK Auditor：Permission-based Android malwaredetection system》文章，即是通过机器学习的方法，得到各权限的评分及总分的临界值，在测试的过程中，分为以下几个步骤：

1、反编译软件的APK文件；

2、提取APK文件中的权限描述；

3、根据之前机器学习的结果将权限打分相加，得到软件评分；

4、比较软件评分和机器学习得到的临界值，如果软件评分超过临界值，则认为是恶意软件；

表1

ROC analysis of test results on 2629 unique Android applications.

在Gazing University的APK Auditor工具检测结果中，如表1所示，在对恶意软件的检测中，从2485个恶意软件中成功检测出2300个，检出率为92.56％，但是在144个正常软件中，将123个误报为恶意软件，误报率为85.42％，尽管其中可能有部分为潜在的或之前漏报的恶意软件，但误报率仍然过高。

发明内容