[发明专利]分类检测模型训练方法和装置、分类检测方法和装置

说明书

本公开提供一种分类检测模型训练方法和装置、分类检测方法和装置。分类检测模型训练装置对恶意样本APK进行反编译，以得到目标文件，并从目标文件中提取出静态特征；利用沙箱工具从恶意样本APK中提取出动态特征；利用静态特征和动态特征生成训练数据集；利用预设的特征选取模型从训练数据集中提取出第一特征样本集合；利用第一特征样本集合对预设分类器进行训练，以得到经过训练的分类检测模型。从而利用所得到的分类检测模型对待检测APK进行分类检测。本公开在无需人工干预的情况下有效克服分类检测效率低、准确度低的问题。

技术领域

本公开涉及安全领域，特别涉及一种分类检测模型训练方法和装置、分类检测方法和装置。

背景技术

目前对于安卓恶意应用的研究主要在于判断其是否为恶意，而缺乏对基于其恶意行为特征的更精准的分类的研究。在现有技术中，安卓恶意应用分类方式主要包括以下两种。第一种是通过恶意应用家族进行分类，另一种是通过病毒名称关键词匹配。

发明内容

发明人通过研究发现，对于上述第一种安卓恶意应用分类方式，尽管在恶意应用家族中总结了安卓恶意应用的恶意行为特征，但是很多不同的恶意应用家族可能具有相似甚至完全相同的恶意行为，因此会导致分类标准模糊，存在重合冗余的问题。并且通过人工分析和聚类合并恶意家族的方式需要花费巨大人力，并且依赖于人工主观判断，存在准确度低的问题。对于上述第二种安卓恶意应用分类方式，即通过病毒名称关键词匹配类别，也就是通过条件判断语句判断病毒名称中是否包含该分类的关键词。由于不同的杀毒引擎病毒名称的命名规则不同，所以无法实现通用，而且这种条件判断分类精度较低。

据此，本公开提供一种分类检测方案，在无需人工干预的情况下有效克服分类检测效率低、准确度低的问题。

根据本公开实施例的第一方面，提供一种分类检测模型训练方法，包括：对恶意样本APK进行反编译，以得到目标文件，并从所述目标文件中提取出静态特征；利用沙箱工具从所述恶意样本APK中提取出动态特征；利用所述静态特征和所述动态特征生成训练数据集；利用预设的特征选取模型从所述训练数据集中选取出第一特征样本集合；利用所述第一特征样本集合对预设分类器进行训练，以得到经过训练的分类检测模型。

在一些实施例中，所述特征选取模型为随机森林模型；所述分类器为朴素贝叶斯分类器。

在一些实施例中，利用十折交叉验证算法对随机森林模型中的决策树个数进行优化。

在一些实施例中，所述目标文件包括androidmanifest.xml文件和smali文件，所述从所述目标文件中提取出静态特征包括：从所述androidmanifest.xml文件中提取出权限特征；从所述smali文件中提取API调用特征；根据所述权限特征和所述API调用特征生成静态特征。

在一些实施例中，利用所述第一特征样本集合对预设分类器进行训练包括：利用递归特征消除算法，按照分类权重从大到小的顺序从所述第一特征样本集合中提取出预定数量个特征样本，以生成第二特征样本集合；利用所述第二特征样本集合对预设分类器进行训练。

根据本公开实施例的第二方面，提供一种分类检测模型训练装置，包括：第一静态特征提取模块，被配置为对恶意样本APK进行反编译，以得到目标文件，并从所述目标文件中提取出静态特征；第一动态特征提取模块，被配置为利用沙箱工具从所述恶意样本APK中提取出动态特征；训练数据生成模块，被配置为利用所述静态特征和所述动态特征生成训练数据集；训练模块，被配置为利用预设的特征选取模型从所述训练数据集中选取出第一特征样本集合，利用所述第一特征样本集合对预设分类器进行训练，以得到经过训练的分类检测模型。

在一些实施例中，所述特征选取模型为随机森林模型；所述分类器为朴素贝叶斯分类器。

在一些实施例中，训练模块被配置为利用十折交叉验证算法对随机森林模型中的决策树个数进行优化。