本发明专利技术提供的Android恶意软件检测系统及方法,采用特征提取模块提取API特征提取及权限特征,根据特征选择模块计算每个API特征和权限特征的TF-SFD,并根据TF-SFD的数值从大到小排序,选择前M1个API特征,前M2个权限特征组成特征矩阵,再通过类鉴别模块对所述特征矩阵进行训练,得到分类模型,并对所述分类模块进行鉴别,上述检测方法简单,计算量小,检测效果较高。
【技术实现步骤摘要】
一种Android恶意软件检测系统及方法
本专利技术涉及软件检测
,尤其涉及一种Android恶意软件检测系统和方法。
技术介绍
移动恶意软件是指所有能够在智能手机或者平板计算机上执行恶意操作的应用程序,会导致系统崩溃、用户机密信息的损失或泄漏。智能终端和云计算运用加速推进信息技术和通信技术的融合,促进了移动互联网高速发展。随着移动互联网的发展,移动终端用户群体日益庞大。但是在经济利益的驱使下,移动恶意软件的数量呈爆炸式增长,各种移动恶意软件家族更是千变万化,严重威胁着移动互联网的健康发展,给用户和智能终端带来了不可忽视的危害。Android平台的安全隐患尤为突出,报告显示96%移动恶意软件针对Android系统,当前超过50亿个被下载的Android应用处在黑客攻击的威胁之下。此外,旨在窃取Android用户财务信息的恶意应用数量也在迅猛增长。目前研究比较广泛的Android恶意软件检测包括动态分析和静态分析。动态分析主要是分析程序运行时的特征,包括系统调用序列和数据流等。这些方法需要修改安卓系统的内核,而且带来了大量的实时计算。静态检测方法通过分析应用程序的源代码,并不运行应用程序。安卓平台恶意软件常见的静态特征有:API特征和权限特征。Aafer等人提取了API,package和API参数特征,使用不同的分类器,包括ID3,C4.5,k-NN和支持向量机对特征进行分类。Cen等人提取了API特征,并使用概率辨别模型进行鉴别。他们使用信息增益、卡方检验对原始特征进行赋值,选择数值高的特征组成新的特征向量,然后进行检测。TF-IDF是一种信息处理技术,主要用于特征的选取。IDF的数值在正常软件和恶意软件中,常常相等,因此没有区分能力。
技术实现思路
本专利技术的目的在于,解决传统Android恶意软件检测时间长及检测精度低等技术问题。本专利技术的目的及解决其技术问题是采用以下技术方案来实现的。一种Android恶意软件检测系统,包括:特征提取模块,用于提取API特征提取及权限特征;特征选择模块,用于计算每个API特征和权限特征的TF-SFD,并根据TF-SFD的数值从大到小排序,选择前M1个API特征,前M2个权限特征组成特征矩阵;分类鉴别模块:对所述特征矩阵进行训练,得到分类模型,并对所述分类模块进行鉴别。在本专利技术一较佳实施方式中,所述特征提取模块包括API特征提取模块及权限特征提取模块。在本专利技术一较佳实施方式中,所述API特征提取模块基于Dedexer工具,通过命令“java-jarDedexer.jar-d<directory><dexfile>”将classes.dex文件反编译成smali文件,在smali文件中提取Android应用软件的API特征。在本专利技术一较佳实施方式中,所述权限特征提取模块通过反编译AndroidManifest.xml文件提取权限特征,并通过权限特征向量来表示该软件,若软件申请了该权限,置为1;未申请该权限,则置为0。在本专利技术一较佳实施方式中,所述特征选择模块通过下述算法计算每个API特征和权限特征的TF-SFD,TF-SFDi,j=TFi,j*SFDi其中:Wi,j是指第i个特征,在第j个类中出现的次数,N是指特征的总数,NiMal是指包含第i个特征的恶意软件数量,NMAL是指恶意软件总数,NiBen是包含第i个特征的正常软件数量,NBen是正常软件总数。在本专利技术一较佳实施方式中,所述分类鉴别模块通过随机森林算法对所述特征矩阵进行训练,得到分类模型,并对所述分类模块进行鉴别。在本专利技术一较佳实施方式中,所述类鉴别模块通过朴素贝叶斯算法或支持向量机算法或神经网络算法或决策树算法对所述特征矩阵进行训练,得到分类模型,并对所述分类模块进行鉴别。此外,本专利技术还提供了一种Android恶意软件检测方法,包括下述步骤:提取API特征提取及权限特征;计算每个API特征和权限特征的TF-SFD,并根据TF-SFD的数值从大到小排序,选择前M1个API特征,前M2个权限特征组成特征矩阵;对所述特征矩阵进行训练,得到分类模型,并对所述分类模块进行鉴别。在本专利技术一较佳实施方式中,提取API特征提取具体为:基于Dedexer工具,通过命令“java-jarDedexer.jar-d<directory><dexfile>”将classes.dex文件反编译成smali文件,在smali文件中提取Android应用软件的API特征;提取权限特征具体为:通过反编译AndroidManifest.xml文件提取权限特征,并通过权限特征向量来表示该软件,若软件申请了该权限,置为1;未申请该权限,则置为0。在本专利技术一较佳实施方式中,通过下述算法计算每个API特征和权限特征的TF-SFD,TF-SFDi,j=TFi,j*SFDi其中:Wi,j是指第i个特征,在第j个类中出现的次数,N是指特征的总数,NiMal是指包含第i个特征的恶意软件数量,NMAL是指恶意软件总数,NiBen是包含第i个特征的正常软件数量,NBen是正常软件总数。本专利技术采用上述技术方案具有下述有益效果:本专利技术提供的Android恶意软件检测系统及方法,采用特征提取模块提取API特征提取及权限特征,根据特征选择模块计算每个API特征和权限特征的TF-SFD,并根据TF-SFD的数值从大到小排序,选择前M1个API特征,前M2个权限特征组成特征矩阵,再通过类鉴别模块对所述特征矩阵进行训练,得到分类模型,并对所述分类模块进行鉴别,上述检测方法简单,计算量小,检测效果较高。此外,本专利技术提供的Android恶意软件检测系统及方法根据TF-SFD特征选择技术,可以有效地减少API特征与权限特征数量,从而减少训练与识别的时间;同时,可以删除无效特征,从而提高分类精度。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。附图说明图1是本专利技术实施例提供的Android恶意软件检测系统的功能模块图。图2是本专利技术一较佳实施例提供的Android恶意软件检测系统的原理示意图。图3为本专利技术实施例提供的Android恶意软件检测方法的步骤流程图。图4为本专利技术提出的TF-SFD与原始的TF-IDF对比示意图。图5为本专利技术采用TF-SFD进行API特征提取示意图。具体实施方式为了便于理解本专利技术,下面将参照相关附图对本专利技术进行更全面的描述。附图中给出了本专利技术的较佳实施方式。但是,本专利技术可以以许多不同的形式来实现,并不限于本文所描述的实施方式。相反地,提供这些实施方式的目的是使对本专利技术的公开内容理解的更加透彻全面。除非另有定义,本文所使用的所有的技术和科学术语与属于本专利技术的
的技术人员通常理解的含义相同。本文中在本专利技术的说明书中所使用的术语只是为了描述具体的实施方式的目的,不是旨在于限制本专利技术。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。请参考图1及图2,其中,图1是本专利技术实施例提供的Android恶意软件检测系统的功能模块图本文档来自技高网...
【技术保护点】
一种Android恶意软件检测系统,其特征在于,包括:特征提取模块,用于提取API特征提取及权限特征;特征选择模块,用于计算每个API特征和权限特征的TF‑SFD,并根据TF‑SFD的数值从大到小排序,选择前M1个API特征,前M2个权限特征组成特征矩阵;分类鉴别模块,对所述特征矩阵进行训练,得到分类模型,并对所述分类模块进行鉴别。
【技术特征摘要】
1.一种Android恶意软件检测系统,其特征在于,包括:特征提取模块,用于提取API特征提取及权限特征;特征选择模块,用于计算每个API特征和权限特征的TF-SFD,并根据TF-SFD的数值从大到小排序,选择前M1个API特征,前M2个权限特征组成特征矩阵;分类鉴别模块,对所述特征矩阵进行训练,得到分类模型,并对所述分类模块进行鉴别。2.如权利要求1所述的Android恶意软件检测系统,其特征在于,所述特征提取模块包括API特征提取模块及权限特征提取模块。3.如权利要求2所述的Android恶意软件检测系统,其特征在于,所述API特征提取模块基于Dedexer工具,通过命令“java-jarDedexer.jar-d<directory><dexfile>”将classes.dex文件反编译成smali文件,在smali文件中提取Android应用软件的API特征。4.如权利要求2所述的Android恶意软件检测系统,其特征在于,所述权限特征提取模块通过反编译AndroidManifest.xml文件提取权限特征,并通过权限特征向量来表示该软件,若软件申请了该权限,置为1;未申请该权限,则置为0。5.如权利要求1所述的Android恶意软件检测系统,其特征在于,所述特征选择模块通过下述算法计算每个API特征和权限特征的TF-SFD,TF-SFDi,j=TFi,j*SFDi其中:wi,j是指第i个特征,在第j个类中出现的次数,N是指特征的总数,NiMal是指包含第i个特征的恶意软件数量,NMAL是指恶意软件总数,NiBen是包含第i个特征的正常软件数量,NBen是正常软件总数。6.如权利要求1所述的Android恶意软件检测系统,其特征在于,...
【专利技术属性】
技术研发人员:张巍,樊春玲,姜青山,任环,蔡芷铃,
申请(专利权)人:深圳先进技术研究院,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。