【技术实现步骤摘要】
一种安卓应用恶意性、恶意种族检测模型构建方法及应用
本专利技术属于移动恶意应用检测领域,更具体地,涉及一种安卓应用恶意性、恶意种族检测模型构建方法及应用。
技术介绍
Android应用市场的持续发展以及Android应用数量的持续快速增长,涌现出很多第三方应用市场,然而Android应用内包含着Android用户的个人隐私数据,吸引来一些攻击者将恶意应用传播到用户的移动智能手机上,以窃取用户的隐私和财产,严重威胁着Android用户的隐私数据安全。安全厂商360公司发布的一份Android恶意软件专题报告显示,仅2019年度,360安全大脑共截获移动端恶意应用约180.9万个,累计为全国手机用户拦截Android恶意程序攻击约9.5亿次,这些恶意应用会窃取用户信息、自动拨打电话、未经许可发送短信等,对智能手机用户造成极大的威胁。为了检测Android恶意应用,一些研究者采用规则匹配或机器学习的方法,对Android应用内代码进行分析,提取API、数据流、签名等特征,达到了不错的检测效果。然而,近期一项研究表明,攻击者可以利用代码混淆技术,如API反射、控制流切分、字符串加密等,破坏代码的特征,极大地降低现有方法中代码分析的效果,绕过许多Android恶意应用检测系统。专利CN108280348A所属方法公开了一种基于RGB图像映射的安卓恶意应用识别方法,该方法对Android应用集内应用进行反编译,提取应用内操作码、敏感API调用及高风险API特征,并将特征转化为RGB图像,采用深度学习模型进行训练, ...
【技术保护点】
1.一种安卓应用恶意性检测模型的构建方法,其特征在于,包括:/n采集安卓良性应用和恶意应用样本,构成原始样本集,采用多种安卓应用混淆方法对原始样本集内各样本混淆,构成对应多个混淆变种样本集;/n提取每个样本各种粒度的操作码特征,计算每种粒度下原始样本集以及该种粒度混淆方法集所对应的所有混淆变种样本内各种操作码特征权重,以从该各种操作码特征中选取用于加强原始样本集检测效果并降低混淆前后样本差异性的操作码特征,作为该种粒度的抗混淆特征集;/n从每个原始样本的粗粒度操作码特征中,按照粗粒度到细粒度顺序过滤不在各抗混淆特征集的操作码特征,得到该样本操作码特征序列;/n将各样本的所述操作码特征序列转化为灰度图,基于各样本的灰度图及其恶意性标签,训练得到安卓应用恶意性检测模型。/n
【技术特征摘要】
1.一种安卓应用恶意性检测模型的构建方法,其特征在于,包括:
采集安卓良性应用和恶意应用样本,构成原始样本集,采用多种安卓应用混淆方法对原始样本集内各样本混淆,构成对应多个混淆变种样本集;
提取每个样本各种粒度的操作码特征,计算每种粒度下原始样本集以及该种粒度混淆方法集所对应的所有混淆变种样本内各种操作码特征权重,以从该各种操作码特征中选取用于加强原始样本集检测效果并降低混淆前后样本差异性的操作码特征,作为该种粒度的抗混淆特征集;
从每个原始样本的粗粒度操作码特征中,按照粗粒度到细粒度顺序过滤不在各抗混淆特征集的操作码特征,得到该样本操作码特征序列;
将各样本的所述操作码特征序列转化为灰度图,基于各样本的灰度图及其恶意性标签,训练得到安卓应用恶意性检测模型。
2.根据权利要求1所述的一种安卓应用恶意性检测模型的构建方法,其特征在于,各种粒度混淆方法集的确定方法为:提取每个样本各种粒度的操作码特征,分析所述多种安卓应用混淆方法中各混淆方法对原始样本集混淆前后操作码特征的影响程度,确定各混淆方法的特征混淆粒度,以对所述多种安卓应用混淆方法分类,得到各种粒度混淆方法集;
所述转化为灰度图的具体方式为:根据操作码编码规则,将所述操作码特征序列中的每个操作码特征转化为一个八位二进制整数编码,按照相邻两个操作码特征构成一个像素点的规则,对操作码编码序列按一行预设像素点数进行分片、分行,末尾行若操作码编码不足预设像素点数,则用零补齐,从而将所述操作码特征序列转化为灰度图。
3.根据权利要求1或2所述的一种安卓应用恶意性检测模型的构建方法,其特征在于,所述计算每种粒度下原始样本集以及该种粒度混淆方法集所对应的所有混淆变种样本内各种操作码特征的权重,具体为:
从原始样本集以及每种粒度混淆方法集所对应的所有混淆变种样本中提取该种粒度的操作码特征;
计算原始样本集的该种粒度操作码特征频数矩阵、该种粒度混淆方法集对应的各混淆变种样本集的该种粒度操作码特征频数矩阵;
基于所有所述频数矩阵,计算原始样本集内第j个原始样本中该种粒度第k种操作码特征的TFIDF值,并计算原始样本集内第j个原始样本中该种粒度第k种操作码特征的频数与各混淆方法混淆后对应的频数的差值的第一加和;
计算所有原始样本对应的所述TFIDF值的加和与原始样本集中所有原始样本对应的所述第一加和的第二加和的比值,作为该种粒度第k种操作码特征的权重。
4.根据权利要求3所述的一种安卓应用恶意性检测模型的构建方法,其特征在于,所述该种粒度下第k种操作码特征的权重wk表示为:
其中,TFIDFjk表示原始样本集内第j个原始样本中该种粒度第k种操作码特征的TFIDF值,ajk(i)为第i号混淆方法对应的混淆变种样本集内第j个样本中该种粒度第k种操作码特征的频数,当i为0时,...
【专利技术属性】
技术研发人员:李瑞轩,江钰,辜希武,李玉华,汤俊伟,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。