[发明专利]基于特征匹配的Android平台恶意软件检测方法

说明书

本发明公开了一种基于特征匹配的Android平台恶意软件检测方法，主要解决现有技术对安卓恶意软件检测准确率低的问题。其实现是：1)获取安卓应用程序，构建安卓应用程序数据集，并对该数据集进行预处理；2)构建敏感应用程序编程接口数据集；3)获取安卓应用程序运行时trace文件；4)将trace文件转换成txt文件并解析；5)提取应用程序的频繁应用程序编程接口调用序列，获取各恶意软件家族的匹配特征及其权重，再构建安卓恶意软件特征库；6)提取待测安卓应用程序的调用序列与安卓恶意软件特征库进行匹配，检测该待测安卓应用程序的属性。本发明具有良好的检测准确率，可用于对安卓手机安装软件的检测。

技术领域

本发明属于信息安全技术领域，主要涉及一种Android平台恶意软件检测方法，用于对安卓手机安装软件的检测，保障安卓软件的信息安全。

背景技术

随着安卓系统在智能手机市场上的占有率不断地提高以及安卓系统的开放性，针对安卓系统的恶意软件也越来越多，严重威胁着安卓手机用户的信息安全，快速准确地检测安卓恶意软件来保护用户的信息安全变得十分迫切。安卓恶意软件检测技术用于发现移动设备上存在的恶意软件，以便于其他网络安全技术阻止恶意软件对移动设备的危害活动。利用特征匹配的安卓恶意软件检测技术在近些年受到了广大学者的关注，这种方法通常是对安卓应用程序的静态特征和运行时产生的动态特征进行提取分析，从中提取出能够区分良性软件和恶意软件的特征，作为恶意软件的检测依据。

目前基于特征匹配的安卓软件检测技术有：

杨欢在其发表的论文“基于权限频繁模式挖掘算法的Android恶意应用检测方法”中提出了一种基于权限频繁模式挖掘算法的Android恶意应用检测方法。该方法使用基于权限行为的静态分析方法，并结合频繁模式挖掘算法进行Android恶意应用检测。首先，使用基于行为的静态特征提取方法对Android应用进行自动分析，得出该应用程序所申请的权限信息，构建权限特征库；然后，对每个恶意应用家族使用权限频繁模式挖掘算法挖掘出权限之间的相互依赖性，即频繁模式构建多个恶意应用家族的权限关系特征库；最后，对待检测应用程序提取权限信息匹配权限关系特征库，来判断该应用程序是否为恶意应用。该方法存在的不足之处是：第一、在提取安卓应用程序的特征时，只提取其权限特征信息。虽然安卓应用程序所申请的权限可以反映出应用程序的行为模式，但是仅通过权限进行研究还是存在问题的，因为不一定申请了敏感权限就一定是恶意软件，仅通过权限信息进行研究会造成一定的误报率；第二、该方法对于那些只申请了一个权限的恶意软件家族无能为力，无法表示该恶意软件家族的权限关系；第三、在良性软件申请的权限和恶意软件家族申请的权限比较相似时，无法仅通过权限特征区分良性软件和恶意软件。

发明内容

本发明的目的在于针对上述技术的不足，提出一种基于特征匹配的安卓恶意软件检测方法，以减小检测的误报率，提高恶意软件检测的准确率。

为实现上述目的，本发明的实现方案包括如下：

(1)获取Android应用程序，该程序包括恶意软件样本集和正常软件样本集，并将正常软件样本集中的正常软件样本按照其功能进行分类，得到Android应用程序数据集；

(2)使用VirusTotal工具及杀毒软件对正常软件样本集进行查杀，确保其中的应用程序都是非恶意的，并将具有不同安全哈希算法SHA1值的应用程序视为是不同的，删除正常软件样本集中重复的应用程序，确保正常软件样本集中每一个应用程序都是唯一的；

(3)获取与需要申请相应敏感权限才能正常使用的敏感应用程序编程接口，并对这些应用程序编程接口进行格式转换，将其转换为Dalvik汇编代码格式表示，得到应用程序编程接口数据集；

(4)在安卓模拟器中运行Android应用程序，使用软件开发工具包SDK中的monkey工具模拟用户操作，使用Android调试工具DDMS中的“Method Profiling”获取应用程序运行时生成的trace文件；