The embodiment of the invention provides a malware detection method and device, belonging to the field of information security. The methods include: extracting static and dynamic features of each software sample from the set of software samples of known software types, effectively combining the static and dynamic features of the extracted software samples to form a mixed feature data set, and reducing the method of the principal component analysis and the selection of the feature weights. Feature dimension, remove the redundancy feature, get the optimized mixed feature data set, use support vector machine model to train the characteristics of the optimized mixed feature set, form the classification detection model, and detect the detection software according to the classification detection model. Using support vector machine model to form classification detection model not only improves the efficiency of classification, but also improves the accuracy of software detection.
【技术实现步骤摘要】
恶意软件的检测方法及装置
本专利技术涉及一种恶意软件的检测方法,属于信息安全领域,尤其涉及一种基于Android(安卓)系统的恶意软件的检测方法及装置。
技术介绍
随着智能终端的广泛流行和高速发展,智能终端的安全问题日益突出,大量的基于智能终端系统的恶意软件也随之而来。2010年之前的6年,塞班操作系统上的系统漏洞与恶意代码是智能手机终端的主要安全威胁,自2010之后,智能手机市场逐渐地成熟并普遍起来,先是苹果公司发布了iOS4(苹果公司发布的移动操作系统),随后谷歌公司的Android2.1、2.2和2.3版本也陆续发布。早在2009年底,iOS平台就发现了其首个蠕虫病毒Ikee,该蠕虫主要用于攻击越狱后的iOS设备;而对于Android平台,在2010年初也出现了敲诈软件与广告插件,FakePlayer(伪操作者)恶意代码是公认的Android平台上的首个恶意软件,其主要的恶意行为是发送扣费短信。随后Android系统上出现的第二个木马“给你米”家族,在不到两个月时间里,版本迅速变种多达十几种,感染近百万部手机,其作为首个国产的Android恶意木马,采用了主...
【技术保护点】
1.一种恶意软件的检测方法,其特征在于,所述方法包括:从已知软件类型的软件样本集合中,提取各个软件样本的静态特征和动态特征,将提取的各个软件样本的静态特征和动态特征有效结合,形成混合特征数据集;根据优化方法,对混合特征数据集中的特征评估,降低特征维度,去除冗余特征,得到优化后的混合特征数据集;运用支持向量机模型对优化后的混合特征集中的特征进行训练,形成分类检测模型;根据分类检测模型对待检测软件进行检测。
【技术特征摘要】
1.一种恶意软件的检测方法,其特征在于,所述方法包括:从已知软件类型的软件样本集合中,提取各个软件样本的静态特征和动态特征,将提取的各个软件样本的静态特征和动态特征有效结合,形成混合特征数据集;根据优化方法,对混合特征数据集中的特征评估,降低特征维度,去除冗余特征,得到优化后的混合特征数据集;运用支持向量机模型对优化后的混合特征集中的特征进行训练,形成分类检测模型;根据分类检测模型对待检测软件进行检测。2.根据权利要求1所述的恶意软件的检测方法,其特征在于,所述根据优化方法,对混合特征数据集中的特征评估,降低特征维度,去除冗余特征,得到优化后的混合特征数据集,具体包括:根据主成分分析的方法对混合特征数据集中的特征降维,得到降维后的特征数据集;根据降维后的混合特征数据集中的特征,运用特征权重选择算法,删除特征权重值低于设定阈值的特征,得到优化后的混合特征数据集。3.根据权利要求1所述的恶意软件的检测方法,其特征在于,所述运用支持向量机模型对优化后的混合特征集中的特征进行训练,形成分类检测模型,具体包括:将优化后的混合特征数据集中的静态特征向量化处理;将优化后的混合特征数据集中的动态特征标准化处理,将所述动态特征的值映射到[0,1]区间;将经向量化处理的静态特征和经标准化处理的动态特征形成混合特征向量文件并保存;运用支持向量机模型对混合特征向量文件进行训练,生成分类模型文件。4.根据权利要求3所述的恶意软件的检测方法,其特征在于,所述将优化后的混合特征数据集中的静态特征向量化处理,具体包括:提取优化后的混合特征集中的静态特征,建立特征集合T;将各个软件样本的静态特征与特征集合T一一比对;若在T里面匹配到相同的静态特征,则给所述各个软件样本的静态特征标记为1;否则,给所述各个软件样本中的静态特征标记为0;所述将优化后的混合特征数据集中的动态特征标准化处理,将所述动态特征的值映射到[0,1]区间,具体包括:提取优化后的混合特征集中的动态特征,设为mi;根据公式将所述动态特征映射到[0,1]区间内,min(mi)表示动态特征mi的最小值,max(mi)表示动态特征mi的最大值。5.根据权利要求1所述的恶意软件的检测方法,其特征在于,所述根据分类检测模型对待检测软件进行检测,具体包括:将提取待检测软件的静态特征和动态特征有效结合,生成混合特征数据集;将所述混合特征数据集转化成分类检测模型规定的格式存储,并输入分类检测模型;分类检测模型输出待检测软件的类型。6.一种恶意软件的检测装置...
【专利技术属性】
技术研发人员:薛菲,李俊韬,苏庆华,袁瑞萍,沙宗轩,阳樊,汪婷婷,王慧玲,
申请(专利权)人:北京物资学院,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。