结合动态行为特征的Android未知恶意软件检测方法技术

本发明专利技术涉及一种结合动态行为特征的Android未知恶意软件检测方法，属于计算机与信息科学技术领域。本发明专利技术首先将被检测软件输入到系统中；然后，系统会对软件包进行解压缩与反编译，并提取结果文件中的静态特征；同时，系统会在Android模拟器中运行该软件包，使用基于LKM(Loadable Kernel Module，可加载内核模块)的行为监控系统监控软件的动态行为，并记录日志，在日志中提取软件的动态行为特征；最后，将提取出的动静态特征进行归一化处理，输入到训练好分类算法分类检测模块中，该模块可根据输入的动静态特征数据自动判断出被检测软件是否为恶意软件。本发明专利技术具有较高的检测效率及准确率，可应用于Android应用市场等软件平台的安全检测中。

Android malicious malware detection method based on dynamic behavior characteristics

The invention relates to a Android unknown malware detection method combining dynamic behavior characteristics, belonging to the computer and information science and technology fields. The present invention first detection software will be entered into the system; then, the system of software package for decompression and decompile, and extract the results of static feature files; at the same time, the system will run the software package in the Android simulator, based on the use of LKM (Loadable Kernel Module, LKM) dynamic behavior the monitoring software behavior monitoring system, and log, dynamic behavior feature extraction software in the log; finally, the extracted static and dynamic features are normalized, the input to the trained classifiers detection module, the module can be input according to the static and dynamic characteristics of data automatically determine whether the software is tested malicious software. The invention has high detection efficiency and accuracy, and can be applied to the security detection of software platforms such as Android application market, etc..

【技术实现步骤摘要】
结合动态行为特征的Android未知恶意软件检测方法
本专利技术涉及一种结合动态行为特征的Android未知恶意软件检测方法，属于计算机与信息科学

技术介绍
自1999年3月Symbian5.0系统诞生以来，十几年间，智能手机操作系统得到了蓬勃的发展。近年来，诸如Android、WindowsPhone、iOS等新一代操作系统逐渐占据了智能手机操作系统的大部分市场。其中，Android系统作为一款开源操作系统，发展最为迅速。Android系统的快速发展不仅为广大智能手机用户带来了便利，其巨大的市场及商业价值更是吸引了全球黑客的目光。据腾讯移动安全实验室《2016年上半年手机安全报告》显示2016年上半年新增Android病毒包918.25万个，同比增长53.90％，是2014年全年新增病毒包(100.33万个)的9.15倍。其中新增支付病毒包32.33万个，同比增长986.14％，支付病毒形式严峻。2016年上半年手机病毒感染用户数超2亿，是英国总人口数的3.12倍，同比增长42.35％。其中支付病毒感染用户数1670.33万，同比增长45.82％。综观现有恶意软件检测方法本文档来自技高网...

【技术保护点】
结合动态行为特征的Android未知恶意软件检测方法，其特征在于所述方法包括如下步骤：步骤1，将Android软件的apk包作为输入，提取其静态文件特征；步骤2，使用基于LKM(Linux可加载内核模块)的应用软件行为监控方法监控软件的动态行为，提取软件的动态行为特征；步骤3，将步骤1和步骤2二者结果的并集作为初始特征集；步骤4，采用特征选择算法从初始特征集里选择出对分类最有价值的特征，降低特征的维度，筛选出关键特征集；步骤5，将选择出关键特征集作为输入，采用分类算法进行分类器训练，最终生成恶意软件检测模型，并对待检测样本进行检测。

【技术特征摘要】
1.结合动态行为特征的Android未知恶意软件检测方法，其特征在于所述方法包括如下步骤：步骤1，将Android软件的apk包作为输入，提取其静态文件特征；步骤2，使用基于LKM(Linux可加载内核模块)的应用软件行为监控方法监控软件的动态行为，提取软件的动态行为特征；步骤3，将步骤1和步骤2二者结果的并集作为初始特征集；步骤4，采用特征选择算法从初始特征集里选择出对分类最有价值的特征，降低特征的维度，筛选出关键特征集；步骤5，将选择出关键特征集作为输入，采用分类算法进行分类器训练，最终生成恶意软件检测模型，并对待检测样本进行检测。2.根据权利要求1所述的一种结合动态行为特征的...

【专利技术属性】
技术研发人员：潘丽敏，张笈，杨静雅，罗森林，
申请(专利权)人：北京理工大学，
类型：发明
国别省市：北京,11