[发明专利]一种基于行为建模的恶意软件检测方法

说明书

本发明揭示了一种基于行为建模的恶意软件检测方法，该方法包括以下步骤：S1：采集恶意软件和良性软件调用的权限、API和产生的行为数据，按照软件的类型进行分类；S2：将S1步骤中采集到的数据进行预处理，并将采集到的行为根据时间排序，将每条行为与所调用的权限和API进行关联，形成一个数据集，利用机器学习算法训练模型；S3：根据S2步骤中得到的模型来检测当前软件产生的行为，判断行为是否为恶意行为，并对每个软件设置信任值，通过行为检测结果维护信任值。该方法通过采集智能手机软件运行过程中的行为序列，能够及时地制止恶意软件的恶意行为，保护用户在使用软件过程中的安全性，提高智能手机系统的可靠性。

技术领域

本发明涉及一种基于行为建模的恶意软件检测方法，可用于软件检测技术领域。

背景技术

随着网络互联网的发展，手机成为人们日常生活中不可缺少的社交工具。自2007年Google公司开发了Android操作系统并开放源代码以来，Android成为了目前占据全球市场份额第一的智能手机操作系统。Android操作系统主要具有三大优点，代码的开源性为开发者们提供了一个很好的发挥平台，丰富的硬件选择性促成了当下的手机品牌百花齐放，互相竞争，可选性很大，而Android也拥有着百万级别的App应用市场，比如谷歌应用商店。但由于其代码开源性和丰富的软件，导致其成为了恶意软件的主要攻击目标之一。恶意软件的开发者们开始试图在软件中写入恶意代码或者解析别的软件在里面植入恶意代码再打包发布在应用商城上，吸引用户点击下载。现如今，恶意软件的增长给移动智能手机用户带来了巨大的危害。这些恶意软件带来的危害轻则吸引用户点击链接骗取点击浏览量，重则盗取用户账户，窃取资金等重大恶劣行为。网络安全正面临着日益增长的威胁，为了应对这一问题，人们提出了许多检测方法，大致分为静态检测方法和动态检测方法。

静态检测方法主要是在软件安装之前对软件进行检测，主要是基于特征码通过将待检测的特征码与已知的恶意代码进行匹配识别，这种方式很容易被恶意代码识别出来做出变形从而逃过检测，后来人们在传统特征码的基础上开发了语义特征码，通过解析native里的代码等检测进行判断软件是否为恶意软件。静态检测方法一般在检测过程中扮演着重要的角色，它是用户操作系统安全防护的第一道门，但是随着技术的发展，开发者们为了防止他人反编译开发的软件，对软件打包进行了混淆加壳等技术加工，另一方面恶意软件也利用这些技术伪装自己逃脱静态检测，静态检测方法起到的作用也就日渐式微。

动态检测方法主要是通过对软件运行的环境进行模拟，并且检测在软件运行过程中的行为是否存在恶意行为。典型的恶意行为有隐私泄露、权限提升、软件描述与实际行为不一致。在研究过程中，研究人员发现如果在静态检测过程中提高检测效率，将有效缓解后期动态检测的时间开销。因为动态检测方法虽然检测效率比静态检测高，但是成本开销比较大。

由此可见，在恶意软件不断更新增长的现下，现有的恶意软件检测方式还不能很有效的检测出各类恶意软件，我们需要有一种新的软件检测方式来提高检测效率。

发明内容

本发明的目的就是为了解决现有技术中存在的上述问题，提出一种基于行为建模的恶意软件检测方法。

本发明的目的将通过以下技术方案得以实现：一种基于行为建模的恶意软件检测方法，该方法包括以下步骤：

S1：采集恶意软件和良性软件调用的权限、API和产生的行为数据，按照软件的类型进行分类；

S2：将S1步骤中采集到的数据进行预处理，并将采集到的行为根据时间排序，将每条行为与所调用的权限和API进行关联，形成一个数据集，利用机器学习算法训练模型；

S3：根据S2步骤中得到的模型来检测当前软件产生的行为，判断行为是否为恶意行为，并对每个软件设置信任值，通过行为检测结果维护信任值，当信任值低于阈值的时候，判断软件为恶意软件。

优选地，在所述S1步骤中，行为数据通过监测流量，数据包，后台信息进行综合判断。