[发明专利]基于二进制动态插桩的Android恶意行为动态检测方法在审
| 申请号: | 201910225536.6 | 申请日: | 2019-03-25 |
| 公开(公告)号: | CN109992968A | 公开(公告)日: | 2019-07-09 |
| 发明(设计)人: | 罗森林;王逸洲;潘丽敏;柯懂湘;张笈 | 申请(专利权)人: | 北京理工大学 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F9/455 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 100081 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及基于二进制动态插桩的Android恶意行为动态检测方法,属于计算机与信息科学技术领域。本发明首先将通过Android动态检测框架触发被测软件的所有潜在恶意行为;然后通过动态二进制插桩技术,构建程序对系统API的调用序列,使用N‑Gram模型提取函数的调用时序关系特征;最后,将生成的时序关系特征输入到训练好的GBDT(Gradient Boosting Decision Tree,梯度提升决策树)多分类算法检测模型中,识别恶意软件并将该软件存在的恶意行为进行细粒度分类。本发明使用动态二进制插桩技术,在不需要知道程序源码的情况下提取软件的系统函数调用时序特征,不仅对Android恶意行为检测具有较高的准确率,而且可以将软件的恶意行为分为六类,具有更细致的检测结论粒度,有效提升Android恶意软件的检测效率。 | ||
| 搜索关键词: | 恶意行为 二进制 插桩 动态检测 恶意软件 时序关系 检测 恶意行为检测 系统函数调用 信息科学技术 细粒度分类 被测软件 程序源码 调用序列 分类算法 模型提取 时序特征 特征输入 决策树 准确率 触发 构建 调用 计算机 | ||
【主权项】:
1.基于二进制动态插桩的Android恶意行为动态检测方法,其特征在于所述方法包括如下步骤:步骤1,将被测软件的apk文件安装到Android实体机或虚拟机上,使用Android动态监测框架触发软件潜在的所有恶意行为;步骤2,通过二进制动态插桩工具,在程序运行过程中向二进制可执行文件中注入自定义代码,执行自定义函数收集软件的函数调用日志;步骤3,根据函数调用日志生成函数的调用序列,生成敏感系统API的调用序列,使用N‑Gram模型提取软件的系统API调用序列的时序关系特征;步骤4,将提取出的调用时序特征作为输入,输入到采用GBDT多分类算法训练出的用于软件恶意行为识别分类的恶意行为检测模型中,对软件中潜在的恶意行为进行检测和细粒度分类。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京理工大学,未经北京理工大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910225536.6/,转载请声明来源钻瓜专利网。
