一种Android恶意应用在线检测方法技术

本发明专利技术提供一种Android恶意应用在线检测方法，在检测Android恶意软件的过程中，使用API函数字符串，提取8组特征信息，并映射为特征向量，而特征向量采用稀疏表示的形式；并且进一步分析API之间的不同关系并创建更高层次的关联分析；以图的方式来表示相关API作为结构化程序之间的关系；将API字符特征与关系图构成特征矩阵；采用多核学习方法训练出分类模型；部署在通用的Web架构中，实现Android应用软件的在线检测。本发明专利技术具有良好的分类效果，并且使用方便，快捷。

【技术实现步骤摘要】
一种Android恶意应用在线检测方法
本专利技术涉及一种Android恶意应用在线检测方法。
技术介绍
Android智能终端已被广泛应用于人们的日常生活中，如网络支付，智能家居等。不断扩展的功能，智能终端的使用近年来经历了指数级增长。但是，由于Android开放源代码开发的生态系统和较大的市场份额，Android开发人员不仅制作合法的Android应用程序而且还会传播恶意应用软件，故意将恶意行为付诸于智能终端用户。由于缺乏可靠的审查方法，开发者可以在谷歌Android市场上传他们的Android应用程序，其中甚至包含勒索病毒或特洛伊木马。这对智能终端用户构成严重威胁，尤其是移动支付用户，个人的隐私信息都有可能被窃取。通常使用基于签名的方法来识别威胁。然而，攻击者可以使用如代码混淆，重新打包等技术轻易躲避检测。而攻击者日趋增强的反检测意识带来的是日益复杂的Android恶意软件，这时就需要新的检测技术保护用户免受新的恶意应用带来的新威胁。传统的基于API的检测方法只是表面上的API字符串构建特征向量，而忽视了API之间的关联这一更高层次的分析。
技术实现思路
本专利技术的目的，是要提供本文档来自技高网...

【技术保护点】
1.一种Android恶意应用在线检测方法，其特征在于，包括以下步骤：1）用于判断恶意应用的特征包含以下几类：S1：硬件类：APP在运行时所需要的硬件信息，Camera，Touchscreen，GPS；S2：权限请求类：由于权限是Android里最重要的安全机制，恶意代码在运行时经常会请求权限，如SEND_SMS Permission；S3： APP组件类：每个APP都包含4组：Activities，Services，Content Providers，Broadcast Receivers ；S4：Intents类：Android下的Inter‑Process以及Intra‑Process通...

【技术特征摘要】
1.一种Android恶意应用在线检测方法，其特征在于，包括以下步骤：1）用于判断恶意应用的特征包含以下几类：S1：硬件类：APP在运行时所需要的硬件信息，Camera，Touchscreen，GPS；S2：权限请求类：由于权限是Android里最重要的安全机制，恶意代码在运行时经常会请求权限，如SEND_SMSPermission；S3：APP组件类：每个APP都包含4组：Activities，Services，ContentProviders，BroadcastReceivers；S4：Intents类：Android下的Inter-Process以及Intra-Process通信；2）反汇编字节码提取下列特征信息：S5：受限API调用类：Android权限系统限制访问一系列关键的API调用；搜索这些调用发生时的反汇编代码，没有申请权限就调用关键API，正在使用ROOT以绕过Android平台限制恶意行为；S6：已用权限类：包含了已请求的权限和正在执行的权限，并把API和其申请的权限对应匹配；S7：可疑API调用类：某些API要用敏感数据和资源，...

【专利技术属性】
技术研发人员：冯超，李汉波，黄联芬，叶超林，林英，叶国华，吴卫东，王威，
申请(专利权)人：厦门大学，
类型：发明
国别省市：福建,35