[发明专利]一种基于多类特征的Android恶意应用检测方法

摘要

本发明公开了一种基于多类特征的Android恶意应用检测方法，利用Android应用自身携带的应用特征，对各类特征进行分簇处理，得到各种典型应用的特征，结合多种机器学习的方法，提取Android应用的统计学特征，对Android应用的特征进行快速检测。选择最佳分簇数时，以各分簇数下所有簇的大小波动均值最小为依据，最小化android样本个体之间的差异性,极大的确保了分簇结果的准确度和最终检测的精确度；利用Android应用的融合特征进行检测，检测过程简单易行，准确度高，检测时间短。

主权项

1.一种基于多类特征的Android恶意应用检测方法，其特征在于，包括以下步骤：步骤1：采集样本数据；所述样本数据包括Android恶意应用APP样本和Android良性应用APP样本；步骤2：对每个样本进行反编译，得到各样本的标志文件；每个样本的标志文件包括包含在样本反编译后的文件AndroidManifest.xml以及所有后缀名为smali的文件；步骤3：从标志文件中提取特征数据；所述特征数据包括应用申请的权限个数、申请的组件个数以及smali文件特征；所述smali文件特征包括非静态域、保护域、公有域、私有域，方法数、静态方法数、保护方法、公有方法、私有方法、最大调用数，最小调用数、平均调用数、最大寄存器数、最小寄存器数及平均寄存器数；步骤4：基于特征数据构建特征文件；将所有Android恶意应用APP和Android良性应用APP的应用权限个数和申请的组件个数分别生成文件malicious_manifest.txt和文件benign_manifest.txt；将所有Android恶意应用APP和Android良性应用APP的smali文件特征信息分别生成文件malicious_smali.txt和文件benign_smali.txt；步骤5：从文件malicious_manifest.txt中随机选取N个Android恶意应用APP的应用权限个数和申请的组件个数作为分簇集，利用K‑means聚类方法对分簇集进行分簇，得到分簇结果；其中，分簇数设定为M，取值范围为3‑10；以一个Android恶意应用APP的应用权限个数和申请的组件个数作为分簇集中的元素；步骤6：基于分簇结果，构建各类Android恶意应用检测模型的训练集；基于分簇结果将Android恶意应用APP进行分类，得到M类Android恶意应用APP；所述训练集包括M个训练子集，一个训练子集包括一类Android恶意应用APP和与该类Android恶意应用APP数量相同的Android良性应用APP的特征数据，每个训练子集中的Android良性应用APP均从Android良性应用APP样本中随机选取；步骤7：构建各类Android恶意应用检测模型；依次利用每类初始训练子集中所有Android应用APP的特征数据和应用APP标记分别作为输入数据和输出数据，采用回归模型进行训练，获得各类Android恶意应用检测模型；步骤8：任意选取一类Android恶意应用检测模型对待检测的Android应用APP进行检测。