[发明专利]一种基于特权特征和污点特征的机器学习恶意软件检测方法

权利要求书

1.一种基于特权特征和污点特征的机器学习恶意软件检测方法，其特征在于，包括如下步骤：

步骤1，解压APK文件，获取AndroidMainfest.xml文件；

步骤2，反编译AndroidMainfest.xml文件，从中提取权限信息；

步骤3，使用FlowDroid提取sink特征、source特征和path特征；

步骤4，计算每种权限出现的频率，得到单个权限的特征值表；

步骤5，根据步骤4，计算单个程序整体权限特征值；

步骤6，计算sink特征、source特征和path特征的特征值，若泄露路径为0时，Source特征和Sink特征的特征值计算与权限的特征值计算相同；若泄漏路径不为0时Source和Sink的特征值受Path特征值的影响，每增加一条Path，则对应的Source和Sink的特征值按比例P增加；

步骤7，使用深度学习算法进行检测和分类。

2.根据权利要求1所述一种基于特权特征和污点特征的机器学习恶意软件检测方法，其特征在于，步骤6所述的比例P为10％。

3.根据权利要求1所述一种基于特权特征和污点特征的机器学习恶意软件检测方法，其特征在于，步骤4中计算每种权限出现的频率，得到单个权限的特征值表；具体过程如下：

先从N个Android恶意软件中提取出现频率最高的M种权限；计算每种权限出现的频率，将该频率乘以100作为每一个权限的特征值，得到单个权限的特征值表，将特征值记为：

4.根据权利要求1所述一种基于特权特征和污点特征的机器学习恶意软件检测方法，其特征在于，步骤5中计算单个程序整体权限特征值，具体过程如下：根据单个Android应用程序本身所提取的权限，按照特征值表所赋予的特征值进行计算，进而得出Android应用程序的权限特征值，计算公式如下：

其中所指的是第i个特征权限的存在情况，0表示不存在该权限特征，1表示存在该权限特征，则表示第i个特征权限的特征值。

5.根据权利要求1所述一种基于特权特征和污点特征的机器学习恶意软件检测方法，其特征在于，步骤6中计算sink特征、source特征和path特征的特征值，具体过程如下：

将所发现的泄漏的路径数作为Path特征的特征值；

当V_Path＝0时，即在没有发现泄露的前提下，Source特征和Sink特征的特征值计算与权限的特征值计算相同，Source特征选取的是N_source个特征，而Sink特征则是选取N_sink个特征，其中N_sink大于等于2N_source；

当V_Path＝0时，Source特征值计算公式如下：

其中表示第i个Source特征值的存在情况，0表示不存在该Source特征，1表示存在该Source特征，则表示第i个Source特征的特征值；

Sink特征值计算与Source特征值计算相同，公式如下：

其中表示第i个Sink特征值的存在情况，0表示不存在该Sink特征，1表示存在该Sink特征，则表示第i个Sink特征的特征值；

当V_Path≠0时，即出现可能泄露的路径时，Source和Sink的特征值受Path特征值的影响，将当Path特征值为0时，所计算的Source特征值记为V′_permission，Sink特征值记为V′_Source，每增加一条Path，在对应的特征值上增加10％。此时Source特征值计算如下：

V_Source＝V′_Source*(1+10％*V_Path)

Sink特征值的计算与Source特征值计算相同，公式如下：

V_Sink＝V′_Sink*(1+10％*V_Path)