[发明专利]大数据混合式Android恶意代码检测方法及装置

说明书

技术领域

本发明涉及计算机安全技术领域，尤其是涉及一种大数据混合式Android恶意代码检测方法及装置。

背景技术

随着4G时代的火爆及移动终端性能的提高，移动终端已代替PC成为互联网主要的交互终端。在两大移动操作系统中，安卓(Android)以其开源特性使得市场占比在2016年已达86.2％，随之而来的是数量呈爆炸式增长的Android应用程序(Application，简称APP)。

Android系统利用JAVA官方开发语言及系统框架开发APP，这造成APP加固保护难，进一步使得重打包及伪造应用等恶意代码植入方式技术门槛低，使得移动终端感染类似PC文件的感染型病毒。2016年8月首例针对企业内网的“DressCode”恶意代码，也是采用将恶意代码植入流行的手机游戏实现的病毒感染。针对Android恶意代码，目前的检测方法有在整体上笼统的使用机器学习算法分类，具体地，即将android系统中的APK文件或Dex文件在整体上使用机器学习算法进行分类以识别病毒，在实际应用中这种方法误报率高的技术问题。

针对Android恶意代码的传统检测方法所存在误报率高的技术问题，目前缺乏有效的解决方案。

发明内容

有鉴于此，本发明的目的在于提供一种大数据混合式Android恶意代码检测方法及装置，以缓解Android恶意代码的传统检测方法误报率高的技术问题。

第一方面，本发明实施例提供了一种大数据混合式Android恶意代码检测方法，包括：

获取待分析应用程序的安装包，其中，所述待分析应用程序为在安卓设备上运行的应用程序；

将所述安装包进行分解，得到分解数据，并在所述分解数据中进行特征提取，得到所述安装包的属性特征，所述分解数据包括以下至少之一：配置文件，数字签名证书和可执行文件；

基于所述属性特征，对所述安装包进行恶意代码检测。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述分解数据包括所述配置文件，在所述分解数据中进行特征提取，得到所述安装包的属性特征，包括：

对所述配置文件进行反编译；

在反编译后的所述配置文件中提取第一信息，并将所述第一信息确定为所述属性特征，其中，所述第一信息为所述待分析应用程序的基础信息。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述分解数据包括所述数字签名证书，在所述分解数据中进行特征提取，得到所述安装包的属性特征，包括：

从所述数字签名证书中提取第二信息，其中，所述第二信息为所述数字签名证书的基础信息；

将所述第二信息确定为所述属性特征。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述分解数据包括所述可执行文件，在所述分解数据中进行特征提取，得到所述安装包的属性特征，包括：

反编译所述可执行文件，得到开发工具包；

运行所述可执行文件得到运行文件；

将所述开发工具包和所述运行文件确定为所述属性特征。

结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，其中，基于所述属性特征，对所述安装包进行恶意代码检测，包括：

获取样本集，其中，所述样本集中包括预先对目标程序进行恶意代码检测得到的合法特征和非法特征，所述目标程序为所述待分析应用程序的同类程序；

将所述属性特征和所述样本集进行对比，得到比对结果，其中，所述比对结果用于表示所述属性特征是否为恶意代码攻击所述待分析应用程序时所生成的特征。

结合第一方面的第四种可能的实施方式，本发明实施例提供了第一方面的第五种可能的实施方式，其中，

将所述属性特征和所述样本集进行对比，包括：通过机器学习算法，将所述属性特征和所述样本集进行对比；

在将所述属性特征和所述样本集进行对比，得到比对结果之后，所述方法还包括：获取预设白名单，其中，所述预设白名单中包括目标属性特征，所述目标属性特征为预先确定的由机器学习算法误判的属性特征；以及，根据所述目标属性特征，对所述比对结果进程误报处理。

结合第一方面，本发明实施例提供了第一方面的第六种可能的实施方式，其中，所述属性特征的种类为多种，所述方法还包括：

依照所述属性特征的种类，将采用所述属性特征对所述安装包进行恶意代码检测得到的结果进行分类，得到多类检测结果；