面向种群的安卓恶意软件检测模型库方法技术

本发明专利技术公开了一种面向种群的安卓恶意软件检测模型库方法，包括以下步骤：1)收集应用文件，提取应用权限使用情况并整合成权限信息矩阵，并根据类别标签形成应用的种群信息；2)根据提取的应用权限集合训练分类器；3)对待检测的应用，采集其权限信息矩阵，并使用分类器确定待检测应用程序的所属类别，将待检测应用程序的种群信息作为模型库的输入；在模型库中找到该种群对应的识别器池，根据约束条件，用最符合约束条件的识别器对应用进行检测，判断应用的恶意性。本发明专利技术方法借鉴生物种群的思想，通过对应用的权限特征进行处理，将应用划分为不同种群，并通过约束在模型库中找到对应的识别算法模型，最终得到更优的识别结果。

【技术实现步骤摘要】
面向种群的安卓恶意软件检测模型库方法
本专利技术涉及恶意软件检测技术，尤其涉及一种面向种群的安卓恶意软件检测模型库方法。
技术介绍
Android应用的恶意性检测是个不确定性问题。迄今，恶意软件检测方法可以分为静态检测、动态检测与动静结合检测。但是随着机器学习和数据挖掘的兴起，越来越多的研究人员选择将之前的动静态检测方法与机器学习技术结合起来。目前，应用于Android应用恶意检测的检测器主要由支持向量机，随机森林，K-means等机器学习方法训练而成。各种不同的检测方法，为Android检测奠定了基础，但是也存在一些不足：由于Android应用的多样性，对隐私权限的使用是个典型的不确定性问题，很难去区分正常权限与隐私权限之间的关系。用同一个检测器去实现所有种类应用的检测仍然存在着一定的不足。不同类型的应用对权限的需求不同，不应只针对权限本身或某一应用个体，而是应该结合app的功能考虑应用的用途。例如读取通讯录权限，对于社交类应用来说，由于用户大多是通过手机号码来注册账号，应用可以通过用户的通讯录为用户进行好友关联，拥有此类权限才能保持应用功能完整性，而对于手电筒、阅读器等工具类应用则并非必须，否则便违反了“最小特权原则”。因此同一种权限对于不同功能类型的应用，所造成的风险性是不同的。相似用途的应用具有相似的功能，从而形成相似的权限需求。因此借鉴生物学中种群的概念，本专利技术提出了一种基于种群角度适用于大规模Android恶意应用检测的方法。同一类型的应用实现的功能相似，需要的系统权限也是类似的。因此，我们将相同功能类型的应用划分为一个种群，并为他们设定种群标签，以种群为单位来进行Android应用的恶意检测研究。
技术实现思路
本专利技术要解决的技术问题在于针对现有技术中的缺陷，提供一种面向种群的安卓恶意软件检测模型库方法。本专利技术解决其技术问题所采用的技术方案是：一种面向种群的安卓恶意软件检测模型库方法，包括以下步骤：1)收集应用文件，提取应用权限使用情况并整合成权限信息矩阵，并根据类别标签形成应用的种群信息；所述种群的信息包括各应用对应的类别标签和该应用经过权限预处理后的权限信息矩阵；2)根据提取的应用权限集合训练分类器；将提取的应用权限集合分为训练集与测试集，训练集作为SMO算法分类器的输入，使分类器通过不断学习能够通过权限将应用分类；测试集则对分类器进行测试，验证分类器的分类效果；3)对待检测的应用，采集其权限信息矩阵，并使用分类器确定待检测应用程序的所属类别，将相同功能类型的应用划分为一个种群，并为其设定种群的类别标签，将待检测应用程序的种群信息作为模型库的输入；所述模型库封装了多个种群的识别器池，每个识别器池均由SVM，随机森林和神经网络全连接三种算法经过训练生成的识别器构成；在模型库中找到该种群对应的识别器池，根据约束条件，用最符合约束条件的识别器对应用进行检测，判断应用的恶意性。按上述方案，所述步骤2)中使用Weka的SMO函数对数据集训练建立分类模型。按上述方案，所述步骤3)中对应用进行检测，判断应用的恶意性，具体如下：3.1)根据应用的种群的类别标签，在模型库中找到对应类型的种群识别器池；所述种群识别器池中包括：SVM识别器，随机森林识别器和神经网络全连接识别器；3.2)根据约束条件，在种群识别器池中找到最符合条件的识别器Classfier；所述识别器Classfier为SVM识别器，随机森林识别器和神经网络全连接识别器中的一个；所述约束条件为检测准确率与检测运行时间；3.3)将应用的种群信息作为输入，提供给Classfier进行识别，输出结果R，R为良性应用或恶性应用。本专利技术产生的有益效果是：本专利技术借鉴生物种群的思想，通过对应用的权限特征进行处理，将应用划分为不同种群，并通过约束在模型库中找到对应的识别算法模型，最终得到更优的识别结果。本专利技术具有以下特点：(1)在对应用程序进行分类时，采用具有较高效率的序列最小优化算法对应用程序进行分类，每个类别的分类结果准确率到达85％以上；(2)在对应用程序检测时，依据应用程序的类别，自动在模型库中找到对应的识别器种群，使识别效果提升；(3)通过增加约束条件，筛选出最符合条件的识别器，使识别效果变成用户期望的结果。本专利技术方法不仅可以同时检测大量的应用程序，且易于实现，使用起来简单方便，还能通过修改约束，得到用户想要的结果。为解决安卓恶意软件的识别提供了一种新思路。附图说明下面将结合附图及实施例对本专利技术作进一步说明，附图中：图1是本专利技术实施例的方法流程图；图2是本专利技术实施例的种群信息的示意图；图3是本专利技术实施例的分类器训练示意图；图4是本专利技术实施例的检测模型架构图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本专利技术，并不用于限定本专利技术。如图1所示，一种面向种群的安卓恶意软件检测模型库方法，包括以下步骤：1)收集应用文件，提取应用权限使用情况并整合成权限信息矩阵，并根据类别标签形成应用的种群信息；所述种群的信息包括各应用对应的类别标签和该应用经过权限预处理后的权限信息矩阵；通过编写的python程序从网上爬取应用APK文件作为正样本，恶意应用样本则是从VirusShare获取，提取出应用的权限使用情况并整合成权限矩阵；本实施例选择了360应用市场和安智应用市场作为数据来源，使用python语言编写了爬虫程序，利用网站提供的应用类别标签将应用按类别爬取存储，实现从应用市场上不间断批量下载应用。通过爬虫获取的源数据还需要进行进一步的权限特征提取，才能作为实验的基础数据。特征提取主要分为三个阶段：反编译，解析XML文件，构造特征向量，具体如下：(1)反编译阶段，采用Apktool结合python脚本程序，完成应用的反编译，得到应用程序安装时候的清单文件AndroidManifest.xml；(2)解析XML文件阶段，本实施例中结合AAPT(AndroidAssetPackgingTool)工具，利用python程序编写了AndroidManifest.xml文件解析代码，提取“uses-permission”标签来获得应用程序权限信息；(3)应用权限提取后，以种群为单位存储在云端数据库中。由于权限信息为标量，因此采用“0-1”矩阵的形式进行存储，“1”表示包含该权限特征，“0”则表示不包含；至此，可以得到按种群划分的特征数据集DataSet。种群作为本专利技术的基础，是最为必要的一环。将apk文件转换为种群信息数据，成为模型库检测的统一输入格式。一个样本中如果该维特征存在就标记为1，如果没有就标记为0，如图2所示。malicious字段表示该应用是否为恶意软件，1表示是，0本文档来自技高网...

【技术保护点】
1.一种面向种群的安卓恶意软件检测模型库方法，其特征在于，包括以下步骤：/n1)收集应用文件，提取应用权限使用情况并整合成权限信息矩阵，并根据类别标签形成应用的种群信息；所述种群的信息包括各应用对应的类别标签和该应用经过权限预处理后的权限信息矩阵；/n2)根据提取的应用权限集合训练分类器；/n将提取的应用权限集合分为训练集与测试集，训练集作为SMO算法分类器的输入，使分类器通过不断学习能够通过权限将应用分类；测试集则对分类器进行测试，验证分类器的分类效果；/n3)对待检测的应用，采集其权限信息矩阵，并使用分类器确定待检测应用程序的所属类别，将相同功能类型的应用划分为一个种群，并为其设定种群的类别标签，将待检测应用程序的种群信息作为模型库的输入；所述模型库封装了多个种群的识别器池，每个识别器池均由SVM，随机森林和神经网络全连接三种算法经过训练生成的识别器构成；/n在模型库中找到该种群对应的识别器池，根据约束条件，用最符合约束条件的识别器对应用进行检测，判断应用的恶意性。/n

【技术特征摘要】
1.一种面向种群的安卓恶意软件检测模型库方法，其特征在于，包括以下步骤：
1)收集应用文件，提取应用权限使用情况并整合成权限信息矩阵，并根据类别标签形成应用的种群信息；所述种群的信息包括各应用对应的类别标签和该应用经过权限预处理后的权限信息矩阵；
2)根据提取的应用权限集合训练分类器；
将提取的应用权限集合分为训练集与测试集，训练集作为SMO算法分类器的输入，使分类器通过不断学习能够通过权限将应用分类；测试集则对分类器进行测试，验证分类器的分类效果；
3)对待检测的应用，采集其权限信息矩阵，并使用分类器确定待检测应用程序的所属类别，将相同功能类型的应用划分为一个种群，并为其设定种群的类别标签，将待检测应用程序的种群信息作为模型库的输入；所述模型库封装了多个种群的识别器池，每个识别器池均由SVM，随机森林和神经网络全连接三种算法经过训练生成的识别器构成；
在模型库中找到该种群对应的识别器池，根据约束条件，用最符合约束...

【专利技术属性】
技术研发人员：余东豪，李涛，余鑫，张晏成，颜松，郑昊天，常远，贾志强，乐金祥，黄甫，谢君臣，
申请(专利权)人：武汉科技大学，
类型：发明
国别省市：湖北;42