The embodiment of the present invention provides an application behavior feature selection method and device. The method includes: extracting behavior features of malicious application samples and security application samples obtained in advance, constructing a behavior feature library according to the behavior characteristics of all security application samples and all malicious application samples, and acquiring rows in the behavior feature library. The difference between the first probability and the second probability is obtained, and the behavior characteristic corresponding to the difference greater than the preset threshold is taken as the key behavior characteristic. The embodiments of the present invention select the behavior characteristics that can effectively distinguish malicious application samples and secure application samples, reduce the interference of irrelevant features or noise features on detection, and make subsequent malicious application detection faster and more accurate.
【技术实现步骤摘要】
应用程序行为特征选择方法及装置
本专利技术实施例属于软件应用安全
,更具体地,涉及一种应用程序行为特征选择方法及装置。
技术介绍
Android恶意应用检测技术大体可以分为两个步骤,第一步分析应用程序,提取相关信息;第二步分析第一步提取的信息,判断应用的安全性。根据第一步获取应用信息的方式,以是否需要运行应用作为标准,可以将恶意应用检测技术分为静态检测技术和动态检测技术。静态检测技术在不实际执行应用程序的情况下,通过分析应用程序源代码和二进制文件,提取应用权限和API调用等信息实现检测。因为不需要实际运行应用程序,在检测的过程中应用不会隐藏其恶意行为,因此代码覆盖率较高。然而,如果恶意应用采取代码混淆或加密等技术,静态分析无法实现检测。除此之外,静态检测技术对木马的检测往往基于应用层,即仅对于应用程序进行扫描和判别,对框架层和操作系统层的注入攻击往往无能为力。动态检测技术需要真实执行应用程序,获取其输出或内部状态等信息进行分析。动态检测通常是在真实或虚拟的测试环境,即沙箱当中进行。借助各种条件对恶意木马样本进行激活,通过对运行过程中样本产生的所有行为模式监控,观察其执行流程及数据变化,从而判断其安全性。尽管动态检测技术能够有效降低恶意木马程序代码混淆和加密造成的干扰,但是动态检测需要捕获大量的数据,占用存储空间。同时,部分行为特征频繁地同时出现在安全应用和恶意应用中。例如:无论是安全应用还是恶意应用,都会频繁地读取设备ID并通过LOG记录。另外部分行为特征在安全应用和恶意应用中出现的频率都很低。这类行为特征作为不相关的特征或者噪声特征,会对检测的结果 ...
【技术保护点】
1.一种应用程序行为特征选择方法,其特征在于,包括:对预先获取的各恶意应用程序样本和各安全应用程序样本进行行为特征提取,根据所有所述安全应用程序样本和所有所述恶意应用程序样本的行为特征构建行为特征库;获取所述行为特征库中的各行为特征在所有所述恶意应用程序样本的行为特征中出现的第一概率和在所有所述安全应用程序样本的行为特征中出现的第二概率;获取所述第一概率和所述第二概率之间的差值,将大于预设阈值的所述差值对应的行为特征作为关键行为特征。
【技术特征摘要】
1.一种应用程序行为特征选择方法,其特征在于,包括:对预先获取的各恶意应用程序样本和各安全应用程序样本进行行为特征提取,根据所有所述安全应用程序样本和所有所述恶意应用程序样本的行为特征构建行为特征库;获取所述行为特征库中的各行为特征在所有所述恶意应用程序样本的行为特征中出现的第一概率和在所有所述安全应用程序样本的行为特征中出现的第二概率;获取所述第一概率和所述第二概率之间的差值,将大于预设阈值的所述差值对应的行为特征作为关键行为特征。2.根据权利要求1所述的方法,其特征在于,对预先获取的各恶意应用程序样本的行为特征和预先获取的各安全应用程序样本的行为特征进行提取的步骤具体包括:基于CopperDroid和DroidBox对各所述恶意应用程序样本进行监测分析,将CopperDroid和DroidBox对各所述恶意应用程序样本的行为特征分析结果进行综合,获取各所述恶意应用程序样本的行为特征;基于CopperDroid和DroidBox对各所述安全应用程序样本进行监测分析,将CopperDroid和DroidBox对各所述安全应用程序样本的行为特征分析结果进行综合,获取各所述安全应用程序样本的行为特征。3.根据权利要求1所述的方法,其特征在于,获取所述行为特征库中的各行为特征在所有所述恶意应用程序样本的行为特征中出现的第一概率和在所有所述安全应用程序样本的行为特征中出现的第二概率的步骤具体包括:对于所述行为特征库中的任一行为特征,统计具有该行为特征的所述恶意应用程序样本的数量,将具有该行为特征的所述恶意应用程序样本的数量除以所述恶意应用程序样本的总数量,获取该行为特征对应的第一概率;统计具有该行为特征的所述安全应用程序样本的数量,将具有该行为特征的所述安全应用程序样本的数量除以所述安全应用程序样本的总数量,获取该行为特征对应的第二概率。4.根据权利要求1所述的方法,其特征在于,将大于预设阈值的所述差值对应的行为特征作为关键行为特征的步骤具体包括:将所述行为特征库中各行为特征对应的差值与多个预设阈值进行比较,将大于各所述预设阈值的差值对应的行为特征作为各所述预设阈值对应的关键行为特征;相应地,将大于预设阈值的所述差值对应的行为特征作为关键行为特征的步骤之后还包括:根据各所述预设阈值对...
【专利技术属性】
技术研发人员:朱大立,金昊,杨莹,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。