[发明专利]一种安卓应用恶意行为的检测方法

权利要求书

1.一种安卓应用恶意行为的检测系统，其特征在于，所述系统包括：

复制模块，将可执行程序进行复制；

通信模块，用于对所述复制模块复制得到的可执行程序副本的上传和对恶意行为监测结果的反馈；

控制模块，用于用户输入参数、运行检测脚本、计算初级策略权值以及查看检测结果；

存储模块，用于存储样本、黑名单以及权值阈值，并支持用户对样本、黑名单以及权值阈值进行新建、添加、修改、删除和查询操作；

比较模块，用于对初级策略权值与权值阈值进行比较；

沙箱模块，用于对可执行程序副本进行恶意行为检测；所述沙箱模块包括有样本分析模块、SVM模块和结果模块，其中，

样本分析模块，该模块包括解压模块、分析模块、解析模块、静态分析模块和动态分析模块，解压模块用于对可执行程序进行识别和解压，分析模块用于对可执行程序的数字签名进行分析，解析模块用于对可执行程序的配置文件进行解析；静态分析模块用于对所述可执行程序进行发编译以提取静态特征，动态分析模块通过触发可执行程序进行抓包提取动态特征；

SVM模块，用于SVM分类模型的建立和预测；

结果模块，利用所述SVM模块形成SVM模型对数据个预测，得到预测结果，并将结果反馈至通信模块；

所述安卓应用恶意行为的检测系统能够实现如下检测方法，所述检测方法包括：

1)启动安卓智能终端，并在所述终端中应用可执行程序安装；

2)将所述可执行程序复制到沙箱模块；

3)在所述沙箱模块中，对所述可执行程序进行特征提取；

4)将所述特征作为训练好的SVM模块的输入单元，并得到预测风险值；

5)若所述预测风险值大于等于安全阈值，则反馈到安卓智能终端；若所述预测风险值小于安全阈值，则安装可执行程序；

其中，

步骤3)所述的特征提取包括有静态特征提取和动态特征提取，所述静态特征提取所提取的特征为URIS和EMAILS，所述动态特征提取通过网络抓包实现；

步骤4)所述的训练好的SVM模块的训练步骤包括：

4.1)对所述特征进行预处理；

4.2)对数据进行缩放操作，将数据的属性值归一化；

4.3)选择RBF核函数；

4.4)对于惩罚因子C和核函数参数g，划分网格，令网格点为C＝e^a、g＝e^b，其中，a、b为整数，且a＝[-5,5]、b＝[-5,5]；

4.5)将训练数据等分为M个集合，每个集合中包括有n个数据，且M大于等于4的整数；

4.6)对于网格中的每一组(C,g)，选取任一集合作为验证集，其余M-1个集合为训练集，训练模型后对验证集进行验证，计算得到验证结果误差的均方值：

其中，为预测值，Y_i为样本实际值；

4.7)将验证集更换为另一集合，剩余的M-1个集合为训练集，再次计算误差的均方值，循环步骤4.6)，直至对所有的M个集合均进行验证，计算M个均方值的平均值作为该组(C,g)的预测误差；

4.8)更换另一组(C,g)，重复步骤4.5)-4.7)，计算得到网格中所有参数组合下的并比较，值最小的参数组合(C,g)，即为最佳的惩罚因子C和核函数参数g；

4.9)用参数C与g对整个训练集进行训练得到训练好的SVM模块；

步骤5)所述的安装可执行程序包括如下步骤：

5.1)若所述可执行程序为一般可执行程序，则将所述可执行程序拷贝到指定位置一，所有用户均有权访问所述指定位置一；若所述可执行程序为系统可执行程序，则将所述可执行程序拷贝到指定位置二，仅具有root权限的用户有权访问所述指定位置二；

5.2)解压所述可执行程序，拷贝解压文件并创建所述可执行程序的数据目录；

5.3)解析所述可执行程序的配置文件，并在所述安卓智能终端上创建快捷方式。