一种基于并行集成学习的安卓恶意应用检测方法及系统技术方案

本发明专利技术公开了一种基于并行集成学习的安卓恶意应用检测方法及其系统，该方法包括通过对待检测安卓应用进行逆向工程获取所述待检测安卓应用的源码文件和配置文件，并从所述源码文件和配置文件中提取静态行为特征；对静态行为特征进行筛选；根据筛选后的静态行为特征构建行为特征向量；根据所述行为特征向量和机器学习算法构建并行集成学习模型以及根据所述并行集成学习模型对安卓恶意应用进行检测。本发明专利技术提供的系统包括：提取模块、过滤模块、第一处理模块、第二处理模块和检测模块。本发明专利技术提供方法和系统，通过全面提取静态行为特征以及对静态行为特征进行筛选以及构建并行集成学习模型能够全面、高效、准确的对安卓恶意应用进行检测。

An Android Malicious Application Detection Method and System Based on Parallel Integrated Learning

【技术实现步骤摘要】
一种基于并行集成学习的安卓恶意应用检测方法及系统
本专利技术涉及网络安全
，尤其涉及一种基于并行集成学习的安卓恶意应用检测方法及其系统。
技术介绍
安卓平台及其应用凭借着功能多样、使用灵活等特点逐渐取代PC成为人们日常工作、生活、娱乐首选的电子设备。然而，由于安卓智能手机上存储了大量的用户隐私数据，比如机密文档、联系人信息、银行卡账户等，以及安卓平台的开源性，使得制造恶意应用的技术门槛降低，安卓恶意应用的数量急剧增长，类型也呈多样化。全球领先的网络安全公司McAfee(迈克菲)2017年11月公布的《McAfee实验室威胁报告》中显示上一年有超过1200万Android恶意样本，包括250万新的恶意样本被检测出来。360烽火实验室在《2017年安卓恶意软件专题报告》中指出2017年全年网络安全中心新增收录757.3万个安卓恶意程序，平均每天出现2.1万个恶意样本。虽然相比2016年的1403.3万恶意软件下降了46.0％，但安卓设备感染恶意应用数目庞大，不容小觑。安卓恶意应用通过一些恶意行为、比如隐私信息窃取、恶意扣费、流氓行为等，给政府、企业、个人用户带来危害，甚至会造成巨大的经济损失。已有的研究工作为安卓恶意应用检测奠定了坚实的基础，然而在具体的模型应用中，大多数研究往往集中于使用单类型行为特征对安卓恶意应用进行分析和检测，或者仅考虑使用几种静态行为特征结合进行分析，缺乏全面的、有效的分析，导致检测准确率不高。同时，一些研究工作虽然使用了动态行为特征结合的安卓恶意应用检测方法，但是动态行为特征的获取需要消耗大量的时间，精力，存在一定的困难。专利技术内容为解决上述技术问题，本专利技术的目的在于提供一种能够全面、高效、准确的安卓恶意应用的检测方法。第一方面，本专利技术实施例提供一种基于并行集成学习的安卓恶意应用检测方法，包括：通过对待检测安卓应用进行逆向工程获取所述待检测安卓应用的源码文件和配置文件，并从所述源码文件和配置文件中提取静态行为特征；对静态行为特征进行筛选；根据筛选后的静态行为特征构建行为特征向量；根据所述行为特征向量和机器学习算法构建并行集成学习模型；根据所述并行集成学习模型对安卓恶意应用进行检测。优选的，所述静态行为特征包括基于平台定义的静态行为特征和应用独立的静态行为特征，所述对静态行为特征进行筛选的步骤包括：采用信息增益算法对应用独立的静态行为特征进行筛选；采用基于使用频次的特征选择算法对基于平台定义的静态行为特征进行筛选；其中，所述基于平台定义的静态行为特征包括请求的权限、硬件信息、API调用、受保护的API、使用的权限、源码模式和负载信息，应用独立的静态行为特征包括应用组件、Intents、认证信息和字符串。优选的，所述根据筛选后的静态行为特征构建行为特征向量的步骤，包括:将所述每个筛选后的静态行为特征作为一个维度加入到特征向量中，如果待检测安卓应用具备所述筛选后的静态行为特征，则所述特征向量中的对应位置置1，反之置0；其中，0表示待检测安卓应用为安卓恶意应用或非恶意应用两者中的一种，1表示待检测安卓应用为安卓恶意应用或非恶意应用两者中的另一种。优选的，所述构建并行集成学习模型的步骤包括:使用基于GPU的并行算法来创建多分类器模型；创建分类算法，构建并行集成学习模型，所述分类算法包括K个最近邻(KNN)、决策树(J48)和随机森林(RandomForest)三种机器学习算法。优选的，所述根据所述并行集成学习模型对安卓恶意应用进行检测的步骤包括:使用多线程并行的算法对所述集成学习模型中的多个分类器进行并行训练和分类，得到不同分类器的结果；使用基于概率分析的集成方法和基于DS证据理论的集成方法来对所述不同分类器的结果进行集成得到最终分类结果，实现对安卓恶意应用的检测。第二方面，本专利技术实施例提供一种基于并行集成学习的安卓恶意应用检测系统，包括：提取模块，用于通过对待检测安卓应用进行逆向工程后获取所述待检测安卓应用的源码文件和配置文件，并从所述源码文件和配置文件中提取静态行为特征；过滤模块，用于对静态行为特征进行筛选；第一处理模块，用于根据筛选后的静态行为特征构建行为特征向量；第二处理模块，用于根据所述行为特征向量和机器学习算法构建并行集成学习模型；检测模块，根据所述并行集成学习模型对安卓恶意应用进行检测。优选的，所述静态行为特征包括基于平台定义的静态行为特征和应用独立的静态行为特征，所述过滤模块包括：第一提取模块，用于采用信息增益算法对应用独立的静态行为特征进行筛选；第二提取模块，用于采用基于使用频次的特征选择算法对基于平台定义的静态行为特征进行筛选；其中，所述基于平台定义的静态行为特征包括请求的权限、硬件信息、API调用、受保护的API、使用的权限、源码模式和负载信息，应用独立的静态行为特征包括应用组件、Intents、认证信息和字符串。优选的，所述第一处理模块包括:转化模块，用于将所述每个筛选后的静态行为特征作为一个维度加入到特征向量中；判断模块，用于判断待检测安卓应用是否具备所述筛选后的静态行为特征，如果是则所述特征向量中的对应位置置1，反之置0；其中，0表示待检测安卓应用为安卓恶意应用或非恶意应用两者中的一种，1表示待检测安卓应用为安卓恶意应用或非恶意应用两者中的另一种。优选的，所述第二处理模块包括:分类模型创建模块，用于使用基于GPU的并行算法来创建多分类器模型；学习模型创建模块，用于创建分类算法并构建并行集成学习模型，所述分类算法包括K个最近邻(KNN)、决策树(J48)和随机森林(RandomForest)三种机器学习算法。优选的，所述检测模块包括:训练模块，用于使用多线程并行的算法对所述集成学习模型中的多个分类器进行并行训练和分类，得到不同分类器的结果；判定模块，使用基于概率分析的集成方法和基于DS证据理论的集成方法来对所述不同分类器的结果进行集成得到最终分类结果，实现对安卓恶意应用的检测。因此，本专利技术实施例提供的方法和系统，通过全面提取静态行为特征以及对静态行为特征进行筛选能够剔除掉无价值的与安卓恶意应用无关的静态行为特征，全面保留与安卓恶意应用有关的静态行为特征，节约了计算机资源，提高了效率；通过将筛选后的静态行为特征构建行为特征向量，能够使机器学习算法自动识别并学习，降低了内存的使用率；通过构建并行集成学习模型使其能够同时适用不同的静态行为特征，提高了对安卓恶意应用检测的效率和准确率。此外，通过使用基于GPU的并行算法来创建多分类器模型，能够进一步提高对安卓恶意应用检测的效率和速度，且能够适应大数据环境下数据量大，训练集规模大的需求。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术基于并行集成学习的安卓恶意应用检测方法的一种实施方式的流程图；图2为并行集成学习模型；图3为本专利技术基于并行集成学习的安卓恶意应用检测系统的一种实施方式的结构图。具体实施方式为了使本领域技术人员更好地理解本专利技术的技术方案，下面结合附图对本专利技术进行详细本文档来自技高网...

【技术保护点】
1.一种基于并行集成学习的安卓恶意应用检测方法，其特征在于，包括：通过对待检测安卓应用进行逆向工程获取所述待检测安卓应用的源码文件和配置文件，并从所述源码文件和配置文件中提取静态行为特征；对静态行为特征进行筛选；根据筛选后的静态行为特征构建行为特征向量；根据所述行为特征向量和机器学习算法构建并行集成学习模型；根据所述并行集成学习模型对安卓恶意应用进行检测。

【技术特征摘要】
1.一种基于并行集成学习的安卓恶意应用检测方法，其特征在于，包括：通过对待检测安卓应用进行逆向工程获取所述待检测安卓应用的源码文件和配置文件，并从所述源码文件和配置文件中提取静态行为特征；对静态行为特征进行筛选；根据筛选后的静态行为特征构建行为特征向量；根据所述行为特征向量和机器学习算法构建并行集成学习模型；根据所述并行集成学习模型对安卓恶意应用进行检测。2.根据权利要求1所述的基于并行集成学习的安卓恶意应用检测方法，其特征在于，所述静态行为特征包括基于平台定义的静态行为特征和应用独立的静态行为特征，所述对静态行为特征进行筛选的步骤包括：采用信息增益算法对应用独立的静态行为特征进行筛选；采用基于使用频次的特征选择算法对基于平台定义的静态行为特征进行筛选；其中，所述基于平台定义的静态行为特征包括请求的权限、硬件信息、API调用、受保护的API、使用的权限、源码模式和负载信息，应用独立的静态行为特征包括应用组件、Intents、认证信息和字符串。3.根据权利要求1所述的基于并行集成学习的安卓恶意应用检测方法，其特征在于，所述根据筛选后的静态行为特征构建行为特征向量的步骤，包括:将所述每个筛选后的静态行为特征作为一个维度加入到特征向量中，如果待检测安卓应用具备所述筛选后的静态行为特征，则所述特征向量中的对应位置置1，反之置0；其中，0表示待检测安卓应用为安卓恶意应用或非恶意应用两者中的一种，1表示待检测安卓应用为安卓恶意应用或非恶意应用两者中的另一种。4.根据权利要求1所述的基于并行集成学习的安卓恶意应用检测方法，其特征在于，所述构建并行集成学习模型的步骤包括:使用基于GPU的并行算法来创建多分类器模型；创建分类算法，构建并行集成学习模型，所述分类算法包括K个最近邻(KNN)、决策树(J48)和随机森林(RandomForest)三种机器学习算法。5.根据权利要求1所述的基于并行集成学习的安卓恶意应用检测方法，其特征在于，所述根据所述并行集成学习模型对安卓恶意应用进行检测的步骤包括:使用多线程并行的算法对所述集成学习模型中的多个分类器进行并行训练和分类，得到不同分类器的结果；使用基于概率分析的集成方法和基于DS证据理论的集成方法来对所述不同分类器的结果进行集成得到最终分类结果，实现对安卓恶意应用的检测。6.一种基于并行集成学习的安卓恶意应用检测系统，其特...

【专利技术属性】
技术研发人员：苏欣，刘绪崇，鄢喜爱，其他发明人请求不公开姓名，
申请(专利权)人：湖南警察学院，
类型：发明
国别省市：湖南,43