apk病毒特征库构建方法、装置及apk病毒检测系统制造方法及图纸

本发明专利技术实施例公开了一种apk病毒特征库构建方法、装置及apk病毒检测系统，该方法包括：获得给定样本集，样本集由N个正常apk文件样本和N个病毒apk文件样本组成；针对给定样本集中任意样本，根据预设的M条特征，分别得到该样本的M个特征值；对M条特征的特征值进行组合，根据排列结果将给定样本集划分为2

【技术实现步骤摘要】
apk病毒特征库构建方法、装置及apk病毒检测系统
本专利技术涉及信息安全应用
，特别涉及一种apk病毒特征库构建方法、装置及apk病毒检测系统。
技术介绍
安卓操作系统，是由Google公司和开放手机联盟开发的一种开源操作系统，主要应用于智能移动终端(如智能手机、平板电脑等等)。系统的开源性使安卓系统受到了众多手机厂商和用户的青睐，也让更多的开发者加入安卓系统应用的开发行列。开发者对安卓系统应用程序的代码进行编译处理，然后将编译好的源代码打包成为一个能被安卓操作系统识别、安装、并运行的文件。这种文件的格式就是apk(androidapplicationpackage，安卓应用程序安装包)格式。用户将apk格式的文件直接传到安卓模拟器或安卓手机等安卓设备上执行，即可完成安装。然而，同样是因为系统的开源性，病毒作者可以将病毒代码直接植入安卓系统应用程序的源代码中，达到扣话费、走流量、窃取用户隐私等目的。例如，一些病毒制造者对安卓系统应用程序进行反编译，获得相应的程序代码，并将病毒代码植入原本安全的程序代码中，之后将含有病毒代码的程序代码重新进行打包处理，最后，通过各种渠道将携带病毒代码的apk发送给手机用户。现有技术中，通过hash算法提取大量病毒apk文件的hash值，构建包含多个hash值的病毒特征库，对目标apk文件进行检测，如果目标apk文件的hash值与病毒特征库中的任意一个hash值相同，就确定该目标apk文件含有病毒。然而，病毒作者修改含有病毒的目标apk文件的一个字符，修改后的目标apk文件的hash值就会改变，这样也就绕过了现有技术方法的检测。
技术实现思路
为达到上述目的，本专利技术实施例公开了一种apk病毒特征库构建方法、装置及apk病毒检测系统，具体技术方案如下：一种apk病毒特征库构建方法，包括：获得给定样本集，所述样本集由N个正常apk文件样本和N个病毒apk文件样本组成，其中，所述apk文件为安卓系统应用程序安装包文件，N>1；针对所述给定样本集中的任意样本，根据预设的M条特征，分别得到该样本的M个特征值，其中，每条特征分别对应2种特征值；对M条特征的特征值进行组合，根据排列结果将给定样本集划分为2M个样本子集；对于任意样本子集i(i＝1,2,3,…,2M)，判断该样本子集是否满足：该子集的样本总数Ci总与所述给定样本集的样本总数2N的比值大于预设的第一阈值、且病毒样本总数Ci病毒与Ci总的比值大于预设的第二阈值，如果是，则将该样本子集i所对应的M条特征的特征值的组合确定为病毒特征；生成包含多条病毒特征的apk病毒特征库，所述apk病毒特征库用于对apk文件进行检测。一种apk病毒特征库构建装置，包括：样本集获得模块，用于获得给定样本集，所述样本集由N个正常apk文件样本和N个病毒apk文件样本组成，其中，所述apk文件为安卓系统应用程序安装包文件，N>1；特征值提取模块，用于针对所述给定样本集中的任意样本，根据预设的M条特征，分别得到该样本的M个特征值，其中，每条特征分别对应2种特征值；样本子集划分模块，用于对M条特征的特征值进行组合，根据排列结果将给定样本集划分为2M个样本子集；判断模块，用于对于任意样本子集i(i＝1,2,3,…,2M)，判断该样本子集是否满足：该子集的样本总数Ci总与所述给定样本集的样本总数2N的比值大于预设的第一阈值、且病毒样本总数Ci病毒与Ci总的比值大于预设的第二阈值，如果是，则将该样本子集i所对应的M条特征的特征值的组合确定为病毒特征；病毒特征库生成模块，用于生成包含多条病毒特征的apk病毒特征库，所述apk病毒特征库用于对apk文件进行检测。一种apk病毒检测系统，包括：文件获取模块，用于获得目标apk文件；文件检测模块，用于根据所述apk病毒特征库构建装置构建的apk病毒特征库，对所述目标apk文件进行检测；文件识别模块，用于当所述目标apk文件中的子文件中包含所述apk病毒特征库中的任意一条病毒特征时，确定所述目标apk文件含有病毒。应用上述技术方案，本专利技术实施例通过将大量apk文件样本的多个特征进行排列组合，得到多条病毒特征，构建包含多条病毒特征的apk病毒特征库，用于对目标apk文件进行检测。本专利技术实施例中，含有病毒的目标apk文件的字符被修改后，目标apk文件的多个特征不会完全改变，这样也就不能绕过本专利技术实施例的检测。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种apk病毒特征库构建方法的流程图；图2为本专利技术实施例提供的一种利用二叉树算法划分样本子集的示意图；图3为本专利技术实施例提供的一种apk病毒检测方法的流程图；图4为本专利技术实施例提供的另一种apk病毒检测方法的流程图；图5为本专利技术实施例提供的一种apk病毒特征库构建装置的结构示意图；图6为本专利技术实施例提供的一种apk病毒检测系统的结构示意图；图7为本专利技术实施例提供的另一种apk病毒检测系统的结构示意图。具体实施方式首先对本专利技术实施例所提供的一种apk病毒特征库构建方法进行说明，该方法可以包括以下步骤：获得给定样本集，所述样本集由N个正常apk文件样本和N个病毒apk文件样本组成，其中，所述apk文件为安卓系统应用程序安装包文件，N>1；针对所述给定样本集中的任意样本，根据预设的M条特征，分别得到该样本的M个特征值，其中，每条特征分别对应2种特征值；对M条特征的特征值进行组合，根据排列结果将给定样本集划分为2M个样本子集；对于任意样本子集i(i＝1,2,3,…,2M)，判断该样本子集是否满足：该子集的样本总数Ci总与所述给定样本集的样本总数2N的比值大于预设的第一阈值、且病毒样本总数Ci病毒与Ci总的比值大于预设的第二阈值，如果是，则将该样本子集i所对应的M条特征的特征值的组合确定为病毒特征；生成包含多条病毒特征的apk病毒特征库，所述apk病毒特征库用于对apk文件进行检测。应用上述技术方案，本专利技术实施例通过将大量apk文件样本的多个特征进行排列组合，得到多条病毒特征，构建包含多条病毒特征的apk病毒特征库，用于对目标apk文件进行检测。在实际的检测过程中，当含有病毒的目标apk文件的字符被修改后，目标apk文件的多个特征不会完全改变，利用本专利技术实施例构建的apk病毒特征库对目标apk文件进行检测，仍然能够识别目标apk文件的病毒特性。为了使本领域技术人员更好地理解本专利技术中的技术方案，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行详细地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员所获得的所有其他实施例，都应当属于本专利技术保护的范围。图1所示，为本专利技术实施例所提供的一种apk病毒特征库构建方法的流程图，该方法可以包括以下步骤：S101，获得给定样本集，所述样本集由N个正常apk文件样本和N个病毒apk文件样本本文档来自技高网...

【技术保护点】
一种apk病毒特征库构建方法，其特征在于，该方法包括：获得给定样本集，所述样本集由N个正常apk文件样本和N个病毒apk文件样本组成，其中，所述apk文件为安卓系统应用程序安装包文件，N>1；针对所述给定样本集中的任意样本，根据预设的M条特征，分别得到该样本的M个特征值，其中，每条特征分别对应2种特征值；对M条特征的特征值进行组合，根据排列结果将给定样本集划分为2

【技术特征摘要】
1.一种apk病毒特征库构建方法，其特征在于，该方法包括：获得给定样本集，所述样本集由N个正常apk文件样本和N个病毒apk文件样本组成，其中，所述apk文件为安卓系统应用程序安装包文件，N>1；针对所述给定样本集中的任意样本，根据预设的M条特征，分别得到该样本的M个特征值，其中，每条特征分别对应2种特征值；对M条特征的特征值进行组合，根据排列结果将给定样本集划分为2M个样本子集，具体为：利用二叉树算法，生成关于所述样本集的二叉树；该二叉树以所述给定样本集作为根节点，该根节点对应的样本数量为2N，对该根节点进行M次决策，形成叶子节点数为2M、深度为M+1的二叉树，其中，每次决策分别以第j(j＝1,2,3,…,M)条特征的特征值作为决策判别条件；对于任意样本子集i(i＝1,2,3,…,2M)，判断该样本子集是否满足：该子集的样本总数Ci总与所述给定样本集的样本总数2N的比值大于预设的第一阈值、且病毒样本总数Ci病毒与Ci总的比值大于预设的第二阈值，如果是，则将该样本子集i所对应的M条特征的特征值的组合确定为病毒特征；生成包含多条病毒特征的apk病毒特征库，所述apk病毒特征库用于对apk文件进行检测。2.根据权利要求1所述的方法，其特征在于，所述针对所述给定样本集中的任意样本，根据预设的M条特征，分别得到该样本的M个特征值，具体为：针对所述给定样本集中的任意样本，根据预设的M条特征，分别提取该样本的M条特征；对所提取到的特征进行处理，得到给定样本集中各个样本的M个特征值。3.根据权利要求2所述的方法，其特征在于，所述对所提取到的特征进行处理，得到给定样本集中各个样本的M个特征值，具体为：对所提取到的特征进行数值处理，得到给定样本集中各个样本的M个特征值，其中，特征值是整型数值。4.根据权利要求1所述的方法，其特征在于，所述对apk文件进行检测，具体包括：获得目标apk文件；根据所述apk病毒特征库，对所述目标apk文件进行检测；如果所述目标apk文件中的子文件中包含所述apk病毒特征库中的任意一条病毒特征，则确定所述目标apk文件含有病毒。5.根据权利要求4所述的方法，其特征在于，如果所述目标apk文件含有病毒，还包括：根据预设的M条特征，提取所述目标apk文件的M条特征；对所提取的目标apk文件的M条特征进行处理，得到所述目标apk文件的M个特征值；对所得到的目标apk文件的M个特征值进行保存。6.根据权利要求4所述的方法，其特征在于，所述对所述目标apk文件进行检测，具体为：对所述目标apk文件中以下类型的子文件进行检测：classes.dex、androidmanifest.xml和manifest.mf。7.根据权利要求1所述的方法，其特征在于，所述M条预设特征为给定样本集中2N个apk文件样本的通用检测特征。8.根据权利要求1所述的方法，其特征在于，所述预设的第一阈值为数值5％。9.根据权利要求1所述的方法，其特征在于，所述预设的第二阈值为数值95％。10.一种apk病毒特征库构建装置，其特征在于，该装置包括：样本集获得模块，用于获得给定样本集，所述样本集由N个正常a...

【专利技术属性】
技术研发人员：袁国庆，苏海峰，舒鑫，
申请(专利权)人：可牛网络技术北京有限公司，
类型：发明
国别省市：北京,11