[发明专利]一种Android系统下的权限共谋攻击检测方法

摘要

本发明提供了一种Android系统下的权限共谋攻击检测方法，包括按顺序进行的下列步骤：提取已知应用的特征生成特征向量集；对权限特征向量集训练和分类并生成安全策略规则集；然后根据组件和通信方式特征向量集生成组件通信有限状态机；最后通过提取待测应用特征向量集生成新权限状态机，通过与已优化安全策略规则集的匹配检测权限共谋攻击；本发明提供的检测方法可实现对Android系统中权限共谋攻击的有效检测，具有检测准确率高、检测速度快的特点。

主权项

一种用于Android系统的权限共谋攻击检测方法，其特征在于：包括按顺序进行的下列步骤：(1)训练样本数据，得到安全策略规则集和通信数据集1)反编译现有已知攻击行为的APK样本文件，得到AndroidManifest.xml文件，提取权限、组件和通信特征生成对应的特征向量，得到样本数据；2)对Bayes分类算法进行改进，传统Bayes分类算法通过计算权限Wi是共谋应用的条件概率P(C|Wi)来进行分类，Wi是共谋应用的条件概率P(C|Wi)的计算方法如下：P(C|Wi)=P(Wi|C)·P(C)P(Wi|C)·P(C)+P(Wi|H)·P(H)---(1)]]>P(C|Wi)表示出现权限Wi的应用是共谋应用的条件概率；P(C)为训练阶段应用中存在共谋应用的概率；P(Wi|C)表示共谋应用中权限Wi出现的概率；P(H)表示训练阶段应用中非共谋应用的概率；P(Wi|H)表示非共谋应用中权限Wi出现的概率；3)将上述提取的权限特征向量作为改进后Bayes分类算法的输入，将改进后Bayes分类算法的分类结果作为共谋应用的安全策略规则集；4)利用上述提取的通信方式特征向量和组件特征向量生成通信状态机；将步骤3)中得到的的安全策略规则集输入通信状态机，得到优化后的安全策略规则集；5)将优化后的安全策略规则集保存到数据库中；(2)对权限共谋攻击进行检测1)反编译待检测行为的APK文件得到AndroidManifest.xml文件，提取AndroidManifest.xml文件中权限、组件和通信相关特征生成对应的特征向量；2)提取上述步骤1)中的权限特征向量作为改进Bayes分类算法的输入，得到待检测行为权限组合数据集；3)利用上述步骤1)提取的待检测行为的通信方式特征向量和组件特征向量生成待检测行为通信状态机，将步骤2)中得到的待检测行为权限组合数据集输入待检测行为通讯状态机得到优化待检测行为权限组合数据集；4)将上述步骤3)中得到的优化待检测行为权限组合数据集在数据库中与步骤(1)得到的优化后安全策略规则集进行匹配；若完全匹配成功，则待检测行为是非权限共谋攻击，否则该行为是权限共谋攻击。