[发明专利]一种Android应用威胁度评估模型建立方法、评估方法及系统

说明书

本发明实施例提供一种Android应用威胁度评估模型建立方法、评估方法及系统。其中，模型建立方法包括：提取训练样本的特征数据，包括权限信息和附加特征信息，根据特征数据的状态构建特征向量；利用聚类算法，根据权限信息对训练样本的特征向量集进行聚类，分为不同的特征向量簇，得到聚类算法模型；利用数据降维算法对特征向量簇中特征向量进行特征选择，并得到对应的特征选择字典；对特征向量簇中特征向量使用预设的多个机器学习算法进行分类；根据分类结果获取对应的机器学习算法，得到分类算法模型；根据预处理算法、聚类算法模型、特征选择字典和分类算法模型建立Android应用威胁度评估模型。本发明实施例提高了应用威胁度评估的分类精度及普适性。

技术领域

本发明实施例涉及计算机技术领域，具体涉及一种Android应用威胁度评估模型建立方法、评估方法及系统。

背景技术

近几年，随着智能终端设备，尤其是智能手机的发展，智能终端上的应用程序越来越丰富，极大便利了人们的生活。随着智能手机用户的爆发式增长，恶意应用的数量也在不断增长。恶意应用已成为了用户财产、安全及隐私的一大威胁。

在恶意应用的检测方面，论文Quantitative Security Risk Assessment ofAndroid Permission and Applications中，根据贝叶斯公式生成当某个权限下样本A可能是恶意的概率P(A是恶意的|pi)，对该样本中所有的P加权求和，即为该样本的威胁度；其中普通权限的权重是1，危险权限的权重是1.5，此时最后计算得出的AUC(Area under theCurve，曲线下方的面积)值最大；开源工具Androguard对权限信息、反射机制、native代码执行等分别赋予不同的得分，一个应用的威胁度是这些元素得分模糊计算之后的结果。

单单以权限作为输入，经过计算得到应用的威胁度，在权限滥用的情况下，生成的威胁度往往过大。现实的情况是，大多数发布的应用都因为应用开发者的不规范开发存在权限滥用的情况。而且，现有的Android应用威胁检测采用单一的威胁评估或者检测系统，而由于不同的Android恶意应用具有不同的特点，单一的威胁评估或者检测系统不一定适用于不同类别的Android恶意应用。另外，开源工具Androguard是根据专家经验得到的每个元素的得分，实际中已经证明Androguard得到的威胁度存在很大的空白区间，即0-100这个分数段有一些区间一直没有被覆盖。

发明内容

为解决现有Android应用威胁度评估精度低及不具有普适性的问题，本发明实施例提供一种Android应用威胁度评估模型建立方法、评估方法及系统。

第一方面，本发明实施例提供一种Android应用威胁度评估模型建立方法，该方法包括：根据预设的预处理算法提取训练样本的特征数据，所述训练样本包括恶意应用和良性应用，所述特征数据包括权限信息和附加特征信息，并根据所述特征数据的状态构建特征向量；利用聚类算法，根据所述权限信息对所述训练样本的特征向量集进行聚类，将所述特征向量集分为不同的特征向量簇，得到聚类算法模型；以所述特征向量簇为单位，利用数据降维算法对所述特征向量簇中所述特征向量进行特征选择，并得到与所述特征向量簇对应的特征选择字典；对所述特征向量簇中所述特征向量使用预设的机器学习算法进行分类，所述机器学习算法为多个；根据分类结果获取各个所述机器学习算法的预设指标；根据所述预设指标获取与所述特征向量簇对应的所述机器学习算法，得到分类算法模型；根据所述预处理算法、所述聚类算法模型、所述特征选择字典和所述分类算法模型建立Android应用威胁度评估模型。