[发明专利]基于特征匹配的Android平台恶意软件检测方法

权利要求书

1.一种基于特征匹配的Android平台恶意软件检测方法，其特征在于，包括：

(1)获取Android应用程序，该程序包括恶意软件样本集和正常软件样本集，并将正常软件样本集中的正常软件样本按照其功能进行分类，得到Android应用程序数据集；

(2)使用VirusTotal工具及杀毒软件对正常软件样本集进行查杀，确保其中的应用程序都是非恶意的，并将具有不同安全哈希算法SHA1值的应用程序视为是不同的，删除正常软件样本集中重复的应用程序，确保正常软件样本集中每一个应用程序都是唯一的；

(3)获取与需要申请相应敏感权限才能正常使用的敏感应用程序编程接口，并对这些应用程序编程接口进行格式转换，将其转换为Dalvik汇编代码格式表示，得到敏感应用程序编程接口数据集；

(4)在安卓模拟器中运行Android应用程序，使用软件开发工具包SDK中的monkey工具模拟用户操作，使用Android调试工具DDMS中的“Method Profiling”获取应用程序运行时生成的trace文件；

(5)使用软件开发工具包SDK中的dmtracedump工具将获取到的trace文件转换成txt文件，然后解析该txt文件，以获取每个应用程序编程接口节点的详细信息；

(6)使用特征提取算法从txt文件中提取每一个恶意软件家族中每一个恶意软件的频繁应用程序编程接口调用序列，构成一个恶意软件家族的频繁应用程序编程接口调用序列集；

(7)使用修正后的KMP算法将(6)得到的调用序列集中的调用序列分别与(3)得到的数据集中的每一个应用程序编程接口进行比对，删除调用序列集中不包含数据集中任何应用程序编程接口的调用序列，得到仅包含敏感应用程序编程接口的调用序列集；

(8)对调用序列集进行划分，得到各自包含相同敏感应用程序编程接口节点的子集；

(9)使用动态规划算法从(8)得到的各子集中分别提取各个子集的最长共同子序列，并将这些最长共同子序列作为该恶意软件家族中的匹配特征；

(10)统计各子集中敏感应用程序编程接口序列的个数，作为匹配特征的权重；

(11)利用匹配特征及权重，计算恶意软件家族中各恶意软件的相似匹配度M_j，并将最小的相似匹配度作为该恶意软件家族的最小相似度匹配阈值M_min；相似匹配度M_j按如下公式计算：

其中，seq_i为某恶意软件家族的第i个匹配特征；w_i为某恶意软件家族的第i个匹配特征所对应的权重；match(seq_i)为待测应用程序的调用序列与其所在恶意软件家族的第i个特征序列的匹配结果；为某恶意软件家族中所有权重的总和；N为某恶意软件家族中所有恶意软件的个数；

(12)利用匹配特征、权重以及最小相似度匹配阈值，构建Android恶意软件特征库；

(13)提取待测Android应用程序的频繁应用程序编程接口调用序列，使用动态规划算法将调用序列分别与Android恶意软件特征库中各恶意软件家族的匹配特征进行匹配，并从恶意软件特征库中取出该匹配特征对应的权重；将调用序列分别与Android恶意软件特征库中各恶意软件家族的匹配特征进行匹配，按如下步骤进行：

(13a)使用动态规划算法得到调用序列与Android恶意软件特征库中各恶意软件家族的匹配特征的最长公共子序列；

(13b)将最长公共子序列与Android恶意软件特征库中各恶意软件家族的匹配特征逐一进行字符比较，如果两者中的各字符比较结果相等，则两者匹配成功，否则两者匹配失败；

(14)利用(13)取出的权重分别计算待测应用程序与各恶意软件家族的相似匹配度M:

其中，seq_i为某恶意软件家族的第i个匹配特征；w_i为某恶意软件家族的第i个匹配特征所对应的权重；match(seq_i)为待测应用程序的调用序列与某恶意软件家族的第i个特征序列的匹配结果；为某恶意软件家族所有权重的总和；

(15)将(14)得到的相似匹配度与(11)得到各恶意软件家族的最小相似匹配度阈值进行比较，如果M＜M_min，则该待测应用程序是正常应用程序；否则该待测应用程序是恶意应用程序。