应用程序行为特征选择方法及装置制造方法及图纸

本发明专利技术实施例提供一种应用程序行为特征选择方法及装置，所述方法包括：对预先获取的各恶意应用程序样本和各安全应用程序样本进行行为特征提取，根据所有安全应用程序样本和所有所述恶意应用程序样本的行为特征构建行为特征库；获取行为特征库中的各行为特征在所有恶意应用程序样本的行为特征中出现的第一概率和在所有所述安全应用程序样本的行为特征中出现的第二概率；获取所述第一概率和所述第二概率之间的差值，将大于预设阈值的差值对应的行为特征作为关键行为特征。本发明专利技术实施例选择出能有效区分恶意应用程序样本和安全应用程序样本的行为特征，减少不相关特征或者噪声特征对检测的干扰，使得后续的恶意应用程序检测更加快速和精确。

Application Behavior Feature Selection Method and Device

The embodiment of the present invention provides an application behavior feature selection method and device. The method includes: extracting behavior features of malicious application samples and security application samples obtained in advance, constructing a behavior feature library according to the behavior characteristics of all security application samples and all malicious application samples, and acquiring rows in the behavior feature library. The difference between the first probability and the second probability is obtained, and the behavior characteristic corresponding to the difference greater than the preset threshold is taken as the key behavior characteristic. The embodiments of the present invention select the behavior characteristics that can effectively distinguish malicious application samples and secure application samples, reduce the interference of irrelevant features or noise features on detection, and make subsequent malicious application detection faster and more accurate.

【技术实现步骤摘要】
应用程序行为特征选择方法及装置
本专利技术实施例属于软件应用安全
，更具体地，涉及一种应用程序行为特征选择方法及装置。
技术介绍
Android恶意应用检测技术大体可以分为两个步骤，第一步分析应用程序，提取相关信息；第二步分析第一步提取的信息，判断应用的安全性。根据第一步获取应用信息的方式，以是否需要运行应用作为标准，可以将恶意应用检测技术分为静态检测技术和动态检测技术。静态检测技术在不实际执行应用程序的情况下，通过分析应用程序源代码和二进制文件，提取应用权限和API调用等信息实现检测。因为不需要实际运行应用程序，在检测的过程中应用不会隐藏其恶意行为，因此代码覆盖率较高。然而，如果恶意应用采取代码混淆或加密等技术，静态分析无法实现检测。除此之外，静态检测技术对木马的检测往往基于应用层，即仅对于应用程序进行扫描和判别，对框架层和操作系统层的注入攻击往往无能为力。动态检测技术需要真实执行应用程序，获取其输出或内部状态等信息进行分析。动态检测通常是在真实或虚拟的测试环境，即沙箱当中进行。借助各种条件对恶意木马样本进行激活，通过对运行过程中样本产生的所有行为模式监控，观察其执行流程及数据变化，从而判断其安全性。尽管动态检测技术能够有效降低恶意木马程序代码混淆和加密造成的干扰，但是动态检测需要捕获大量的数据，占用存储空间。同时，部分行为特征频繁地同时出现在安全应用和恶意应用中。例如：无论是安全应用还是恶意应用，都会频繁地读取设备ID并通过LOG记录。另外部分行为特征在安全应用和恶意应用中出现的频率都很低。这类行为特征作为不相关的特征或者噪声特征，会对检测的结果和性能造成干扰。可见，仅仅利用特征是否出现来检测恶意应用存在明显的不足。因此，在恶意应用中出现的行为特征可能是重复、无意义甚至是干扰特征，使用这些行为特征无法准确区分出安全应用和恶意应用。如何选择动态行为特征用于恶意应用检测成为亟待解决的问题。
技术实现思路
为克服上述现有的恶意应用检测方法使用恶意应用中出现的行为特征进行恶意应用检测导致检测不准确的问题或者至少部分地解决上述问题，本专利技术实施例提供一种应用程序行为特征选择方法及装置。根据本专利技术实施例的第一方面，提供一种应用程序行为特征选择方法，包括：对预先获取的各恶意应用程序样本和各安全应用程序样本进行行为特征提取，根据所有所述安全应用程序样本和所有所述恶意应用程序样本的行为特征构建行为特征库；获取所述行为特征库中的各行为特征在所有所述恶意应用程序样本的行为特征中出现的第一概率和在所有所述安全应用程序样本的行为特征中出现的第二概率；获取所述第一概率和所述第二概率之间的差值，将大于预设阈值的所述差值对应的行为特征作为关键行为特征。根据本专利技术实施例第二方面提供一种应用程序行为特征选择装置，包括：获取模块，用于对预先获取的各恶意应用程序样本和各安全应用程序样本进行行为特征提取，根据所有所述安全应用程序样本和所有所述恶意应用程序样本的行为特征构建行为特征库；计算模块，用于获取所述行为特征库中的各行为特征在所有所述恶意应用程序样本的行为特征中出现的第一概率和在所有所述安全应用程序样本的行为特征中出现的第二概率；选择模块，用于获取所述第一概率和所述第二概率之间的差值，将大于预设阈值的所述差值对应的行为特征作为关键行为特征。根据本专利技术实施例的第三个方面，还提供一种电子设备，包括：至少一个处理器；以及与所述处理器通信连接的至少一个存储器，其中：所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行第一方面的各种可能的实现方式中任一种可能的实现方式所提供的应用程序行为特征选择方法。根据本专利技术实施例的第四个方面，还提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行第一方面的各种可能的实现方式中任一种可能的实现方式所提供的应用程序行为特征选择方法。本专利技术实施例提供一种应用程序行为特征选择方法及装置，该方法通过将安全应用样本行为特征和恶意应用样本行为特征进行综合，统计综合的各行为特征在安全应用样本集合和恶意应用样本集合中出现的频率之差，将频率之差小于预设阈值的行为特征作为关键行为特征，从行为特征集中选择一个最优子集，一方面，实现对高维特征的降维，提高恶意应用程序检测检测速度；另一方面，选择出能有效区分恶意应用程序样本和安全应用程序样本的行为特征，减少不相关特征或者噪声特征对检测的干扰，同时保证对原始特征集的覆盖率，使得后续的恶意应用程序检测更加精确。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的应用程序行为特征选择方法整体流程示意图；图2为本专利技术实施例提供的应用程序行为特征选择装置整体结构示意图；图3为本专利技术实施例提供的电子设备整体结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。在本专利技术的一个实施例中提供一种应用程序行为特征选择方法，图1为本专利技术实施例提供的应用程序行为特征选择方法整体流程示意图，该方法包括：S101，对预先获取的各恶意应用程序样本和各安全应用程序样本进行行为特征提取，根据所有所述安全应用程序样本和所有所述恶意应用程序样本的行为特征构建行为特征库；其中，恶意应用程序样本为确定为恶意的应用程序样本，可以为某一恶意类别，即属于同一恶意应用家族，如为ADRD恶意类别，使得选择的行为特征为该类恶意应用程序区分于安全应用程序的行为特征，选择的行为特征用于该类恶意应用程序的检测。安全应用程序样本为确定为安全的应用程序样本。恶意应用程序样本和安全应用程序样本可以为Android应用程序样本。对预先获取的恶意应用样本库中的各恶意应用程序样本和预先获取的安全应用样本库中的各安全应用程序样本进行行为特征提取。本实施例不限于提取的恶意应用程序样本和安全应用程序样本的行为特征种类。将所有恶意应用程序样本的行为特征和所有安全应用程序样本的行为特征进行综合后作为初始行为特征集，使用初始行为特征集构建行为特征库。S102，获取所述行为特征库中的各行为特征在所有所述恶意应用程序样本的行为特征中出现的第一概率和在所有所述安全应用程序样本的行为特征中出现的第二概率；将行为特征库中的各行为特征在所有恶意应用程序样本的行为特征中出现的概率作为第一概率，将行为特征库中的各行为特征在所有安全应用程序样本的行为特征中出现的概率作为第二概率。S103，获取所述第一概率和所述第二概率之间的差值，将大于预设阈值的所述差值对应的行为特征作为关键行为特征。获取第一概率和第二概率之间的差值，行为特征库中的每个行为特征对应有一个差值。当预设阈值为一个时，直接将大于预设阈本文档来自技高网...

【技术保护点】
1.一种应用程序行为特征选择方法，其特征在于，包括：对预先获取的各恶意应用程序样本和各安全应用程序样本进行行为特征提取，根据所有所述安全应用程序样本和所有所述恶意应用程序样本的行为特征构建行为特征库；获取所述行为特征库中的各行为特征在所有所述恶意应用程序样本的行为特征中出现的第一概率和在所有所述安全应用程序样本的行为特征中出现的第二概率；获取所述第一概率和所述第二概率之间的差值，将大于预设阈值的所述差值对应的行为特征作为关键行为特征。

【技术特征摘要】
1.一种应用程序行为特征选择方法，其特征在于，包括：对预先获取的各恶意应用程序样本和各安全应用程序样本进行行为特征提取，根据所有所述安全应用程序样本和所有所述恶意应用程序样本的行为特征构建行为特征库；获取所述行为特征库中的各行为特征在所有所述恶意应用程序样本的行为特征中出现的第一概率和在所有所述安全应用程序样本的行为特征中出现的第二概率；获取所述第一概率和所述第二概率之间的差值，将大于预设阈值的所述差值对应的行为特征作为关键行为特征。2.根据权利要求1所述的方法，其特征在于，对预先获取的各恶意应用程序样本的行为特征和预先获取的各安全应用程序样本的行为特征进行提取的步骤具体包括：基于CopperDroid和DroidBox对各所述恶意应用程序样本进行监测分析，将CopperDroid和DroidBox对各所述恶意应用程序样本的行为特征分析结果进行综合，获取各所述恶意应用程序样本的行为特征；基于CopperDroid和DroidBox对各所述安全应用程序样本进行监测分析，将CopperDroid和DroidBox对各所述安全应用程序样本的行为特征分析结果进行综合，获取各所述安全应用程序样本的行为特征。3.根据权利要求1所述的方法，其特征在于，获取所述行为特征库中的各行为特征在所有所述恶意应用程序样本的行为特征中出现的第一概率和在所有所述安全应用程序样本的行为特征中出现的第二概率的步骤具体包括：对于所述行为特征库中的任一行为特征，统计具有该行为特征的所述恶意应用程序样本的数量，将具有该行为特征的所述恶意应用程序样本的数量除以所述恶意应用程序样本的总数量，获取该行为特征对应的第一概率；统计具有该行为特征的所述安全应用程序样本的数量，将具有该行为特征的所述安全应用程序样本的数量除以所述安全应用程序样本的总数量，获取该行为特征对应的第二概率。4.根据权利要求1所述的方法，其特征在于，将大于预设阈值的所述差值对应的行为特征作为关键行为特征的步骤具体包括：将所述行为特征库中各行为特征对应的差值与多个预设阈值进行比较，将大于各所述预设阈值的差值对应的行为特征作为各所述预设阈值对应的关键行为特征；相应地，将大于预设阈值的所述差值对应的行为特征作为关键行为特征的步骤之后还包括：根据各所述预设阈值对...

【专利技术属性】
技术研发人员：朱大立，金昊，杨莹，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11