[发明专利]一种基于特权特征和污点特征的机器学习恶意软件检测方法

说明书

本文公开了一种基于特权特征和污点特征的机器学习恶意软件检测方法，该方法基于特权特征对现有的基于污点分析的检测方案进行了改进，能够在使用较少数据量的同时实现高分类结果，通过扩展特征值的多维计算，构建基于特权特征、污点源特征和污点汇特征的特征值表，并引入Transformer对其进行分析和检测，这是基于Android平台的恶意软件检测的良好实现。

技术领域

本发明涉及一种基于特权特征和污点特征的机器学习恶意软件检测方法，属于信息安全技术领域。

背景技术

随着移动设备的快速发展，应用软件的安全问题也越来越突出。即使是从官方应用商店下载的应用程序，也会存在许多问题，这些应用会访问一些敏感信息，例如设备的位置、联系人、通话记录和IMEI(国际移动设备标识)。此外，社交相关应用程序和银行相关应用程序还会收集和存储大量敏感数据和私人信息，例如社交软件中的聊天记录、银行相关应用程序中的银行密码等。这些行为的后果，无论是有意的还是无意的，都是不可预测的。流行应用程序的敏感数据泄漏已经得到广泛承认。

移动操作系统，例如Android，使用权限系统来限制应用程序的权限，以确保获取的Android应用程序的完整性以及其他一些相关的安全机制，例如访问和过滤敏感数据，但现有系统仍然没有解决Android应用程序引入的安全威胁。

对于恶意软件检测，许多研究人员将其分为静态分析和动态分析，静态污点分析首先根据字节码文件构建函数调用图；然后提取元数据识别敏感信息；最后，通过调用图传播污染分析来识别可能的泄漏路径。但是由于上下文分析不足，存在较高的误报率。动态分析是在模拟环境或真实环境中，在程序的运行过程中进行检测观察，或基于行为分析，或基于污点分析，来判断应用程序在运行过程中是否存在恶意的行为倾向。但是，动态分析作为服务运行必然会占用系统额外的内存和资源，降低手机的性能，并且当动态监控程序受到攻击时，会暴露敏感信息并泄漏更高级别的权限。因此，针对动态污点分析耗时、内存密集以及静态污点分析特征不足的问题，本发明提出了一种基于权限特征和污点特征的恶意软件检测方案，并且使用深度学习算法，有效地提升了恶意软件检测分类的结果。

发明内容

本发明所要解决的技术问题是：提供一种基于特权特征和污点特征的机器学习恶意软件检测方法，结合了权限特征和污点特征，对用户的隐私信息进行保护。

本发明为解决上述技术问题采用以下技术方案：本发明的一种基于特权特征和污点特征的机器学习恶意软件检测方法，是一种轻量级的基于上下文的Android恶意软件检测方案，扩展特征值的多维计算，构建基于特权特征、污点源特征和污点汇特征的特征值表，其中，特征提取阶段包括以下步骤：

步骤1，解压APK文件，获取AndroidMainfest.xml文件；

步骤2，反编译AndroidMainfest.xml文件，从中提取权限信息；

步骤3，使用FlowDroid提取sink特征、source特征和path特征；

特征预处理与计算阶段包括以下步骤：

步骤4，计算每种权限出现的频率，得到单个权限的特征值表；

步骤5，根据步骤4，计算单个程序整体权限特征值；

步骤6，计算sink特征、source特征和path特征的特征值，若泄露路径为0时，Source特征和Sink特征的特征值计算与权限的特征值计算相同；若泄漏路径不为0时Source和Sink的特征值受Path特征值的影响，每增加一条Path，则对应的Source和Sink的特征值按比例P增加。

步骤7，使用深度学习算法进行检测和分类。

作为本发明的一种优选方案，步骤6所述的比例P为10％。