The embodiment of the present invention provides a family classification method, device and electronic device for Android malicious applications, which includes: pretreatment of APK files of Android malicious applications to obtain SmalI files corresponding to the APK files; based on the SmalI files, by counting different method blocks containing sensitive elements, and formalizing Opcode based on the semantic information of Opcode. The operation codes are uniformly represented to generate a sequence of sensitive operation codes; the text feature vectors are generated based on the sequence of sensitive operation codes, and the malicious Android applications are classified based on the text feature vectors. The embodiment of the invention can more accurately depict the behavior of malicious applications, thereby effectively improving the classification accuracy of malicious applications.
【技术实现步骤摘要】
Android恶意应用家族分类方法、装置与电子设备
本专利技术实施例涉及数据信息安全
,更具体地,涉及一种Android恶意应用家族分类方法、装置与电子设备。
技术介绍
移动互联网的发展和智能手机的大范围使用,使得恶意代码对智能手机的系统安全及信息安全的威胁日益增加。因此,对恶意代码的检测与识别对保障智能手机的系统安全及信息安全具有重要意义,有利于对恶意应用的有效识别与拦截,保障用户数据安全。目前,针对恶意代码和恶意应用的检测与识别受到越来越多的重视,其中在一种android恶意代码检测方法中,首先对dex文件格式解析,识别dex文件中的结构体,扫描各结构体中的类和函数,记录函数对应OpCode代码段内容;再对得到的OpCode代码段内容进行反汇编,获取有API调用或数据赋值行为的OpCode代码段的OP段数据及index段对应数据;最后计算OP段数据的特征码,和/或OP段数据及index段对应数据的特征码,将计算得到的特征码与恶意代码段特征库中的特征码匹配,若特征码匹配成功,且特征类型一致,则输出恶意代码名称。在上述检测方法中,需要获取有API调用或数据赋值行为的OpCode代码段的OP段数据及index段所对应的数据,这种方式很容易通过简单修改这些字段的数值而将检测方法绕过。更重要的是,单单获取有API调用和数据赋值的行为不能准确地刻画恶意应用的行为,在多分类的任务中出现较高的误报,且因为只使用简单的匹配算法作为后续的决策算法,容易因为过拟合导致分类精度的降低。
技术实现思路
为了克服上述问题或者至少部分地解决上述问题,本专利技术实施例提供一种And ...
【技术保护点】
1.一种Android恶意应用家族分类方法,其特征在于,包括:对Android恶意应用的APK文件进行预处理,获取所述APK文件对应的smali文件;基于所述smali文件,通过统计不同包含敏感元素的方法块,并基于Opcode的语义信息,将Opcode用形式化的操作码统一表示,生成敏感操作码序列;基于所述敏感操作码序列,生成文本特征向量,并基于所述文本特征向量,对所述Android恶意应用进行分类。
【技术特征摘要】
1.一种Android恶意应用家族分类方法,其特征在于,包括:对Android恶意应用的APK文件进行预处理,获取所述APK文件对应的smali文件;基于所述smali文件,通过统计不同包含敏感元素的方法块,并基于Opcode的语义信息,将Opcode用形式化的操作码统一表示,生成敏感操作码序列;基于所述敏感操作码序列,生成文本特征向量,并基于所述文本特征向量,对所述Android恶意应用进行分类。2.根据权利要求1所述的方法,其特征在于,在所述基于所述文本特征向量,对所述Android恶意应用进行分类的步骤之前,还包括:通过对比多种给定算法的分类结果,选取分类效果最好的分类算法,并对一定数量的Android恶意应用样本,执行所述预处理至所述生成文本特征向量的处理步骤,获取样本文本特征向量;利用所述样本文本特征向量,对所述分类效果最好的分类算法进行训练和测试,获取训练好的分类模型。3.根据权利要求1或2所述的方法,其特征在于,所述对Android恶意应用的APK文件进行预处理,获取所述APK文件对应的smali文件的步骤具体包括:将所述APK文件进行解压缩,提取dex文件,并利用反编译工具,将所述dex文件反编译成smali文件的集合。4.根据权利要求1或2所述的方法,其特征在于,所述基于所述smali文件,通过统计不同包含敏感元素的方法块,并基于Opcode的语义信息,将Opcode用形式化的操作码统一表示,生成敏感操作码序列的步骤具体包括:统计所述smali文件中的所述包含敏感元素的方法块,并提取所述包含敏感元素的方法块中的Opcode和敏感元素;基于Opcode的语义信息,将所有Opcode用形式化的操作码表示;基于所述敏感元素和所述操作码表示,生成所述敏感操作码序列。5.根据权利要求4所述的方法,其特征在于,所述统计所述smali文件中的所述包含...
【专利技术属性】
技术研发人员:刘超,喻民,李松,姜建国,黄伟庆,朱大立,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。