【技术实现步骤摘要】
移动终端恶意行为检测方法、系统、介质、设备及应用
本专利技术属于移动终端恶意行为信息检测
,尤其涉及一种移动终端恶意行为检测方法、系统、介质、设备及应用。
技术介绍
目前,随着移动互联网的飞速发展,智能手机已成为本专利技术日常生活中不可或缺的工具。社交、娱乐、金融,各种各样的移动应用为用户提供了便捷的服务。这些移动应用在为用户生活带来便利的同时,也为用户的隐私和财产安全带来威胁。2019年1月,腾讯移动安全实验室发布的《2018年手机安全报告》显示,2018年新增恶意移动应用数量达到800.62万个,中国Android手机病毒感染用户数近1.13亿;恶意应用的主要类型是资费消耗和隐私窃取,仅暗扣话费类的恶意行为每天就会造成数千万元的经济损失。2015年中国网民因个人信息泄露、垃圾信息、诈骗信息等现象导致总体损失就达805亿元。正因为如此,早在2015年,我国网络安全,包括移动安全就已上升到国家战略层面。和发展网络安全,包括移动安全保护技术和方法是国家急需。机器学习内容和应用范围十分广泛。而支持向量机SVM与深度学习的是机器学习的重要内容。而且支持向量机与深度学习的应用取得机器学习(人工智能)应用的多个突破。因此这里只简单综述SVM与深度学习与应用国内外现状及发展动态。支持向量机SVM思想是将所有特征向量映射到一个很高维的空间里,在这个空间里建立有一个最大间隔超平面,该超平面对应的原始空间曲面就是分类决策面。在分开两类特征向量(数据)的超平面的两边建有两个互相平行的超平面。分隔超平面使两个平行超平面的距离...
【技术保护点】
1.一种移动终端恶意行为检测方法,其特征在于,所述移动终端恶意行为检测方法包括:/n验证同类行为特征集合的紧密覆盖集的存在性,提出同类行为特征集合的紧密覆盖集构造算法和同类行为特征区域紧密覆盖面模型和求解算法;/n分别实现动静态分析相结合的程序行为特征提取方法、融合独立性、连续性分析的移动终端恶意行为特征提取方法,并训练样本的鲁棒化;/n构建基于紧密覆盖学习的移动终端恶意行为检测模型。/n
【技术特征摘要】
1.一种移动终端恶意行为检测方法,其特征在于,所述移动终端恶意行为检测方法包括:
验证同类行为特征集合的紧密覆盖集的存在性,提出同类行为特征集合的紧密覆盖集构造算法和同类行为特征区域紧密覆盖面模型和求解算法;
分别实现动静态分析相结合的程序行为特征提取方法、融合独立性、连续性分析的移动终端恶意行为特征提取方法,并训练样本的鲁棒化;
构建基于紧密覆盖学习的移动终端恶意行为检测模型。
2.如权利要求1所述的移动终端恶意行为检测方法,其特征在于,验证同类行为特征集合的紧密覆盖集的存在性的方法包括:在致密凸集、致密S—β星凸集定义基础上,可获得关于致密凸集的以下定理:C是N维特征空间RN的一致密单连通点集;且C是致密凸集;令C的致密边界点个数为Γ;对于任意点X=(x1,…,xi,…,xN)∈C,定义2N个点(x1±ε,x2,…,xi,…,xN),......,(x1,…,xi-1,xi±ε,xi+1,…,xN),......,(x1,…,xi,…,xN-1,xN±ε);设—ε紧密覆盖集为则当时,I(C)至少有Γ个点,且对应于每一个C的边界点,至少有上述2N个点中一个点在I(C)中;而且X=(x1,…,xi,…,xN)∈C到内的一立体表面距离大于
X=(x1,…,xi,…,xN)是C的一个致密边界点,它到边界的而距离为X=(x1,…,xi,…,xN)∈C为原点的新坐标系,记过X=(x1,…,xi,…,xN)和(x1,…,xi+ε,…,xN)的坐标轴记为XXi,i=1,…,N;再以(x1,…,xi-1,xi±ε,xi+1,…,xN)为中心,作半径为的球B(x1,…,xi-1,xi±ε,xi+1,…,xN),则该球B与坐标轴有等交点;由的定义知,一定有C中点(x1',…,xi-1',(xi'±ε)',xi+1',…,xN')包含在球B(x1,…,xi-1,xi±ε,xi+1,…,xN)中;当作垂直于坐标面XiXXj…,i,j=1,…,N的球B(x1,…,xi-1,xi+ε,xi+1,…,xN)和B(x1,…,xj-1,xj+ε,xj+1,…,xN)切平面Πij…,i,j=1,…,N时,则Πij…与坐标轴分别有和两交点;
由高维空间的超平面定义知,当N个点不共N-2维超平面时,他们一定决定一个N-1面维超平面且共该超平面;决定过等点的N-1维超平面;因此2N个点中有种N个点的组合方式,其中有些组合方式:N个点共一个N-1面维超平面且确定该超平面,即不共N-2维超平面;由排列组合公式知,不过原点X=(x1,…,xi,…,xN)∈C和不同时过的以上N-1维超平面的个数为个;且易知,这些超平面所围立体是凸多面体,该凸多面体是以2N个点为顶点的最小体积凸多面体Ω;X=(x1,…,xi,…,xN)∈C是凸多面体中心,是一内点;
用反证法反证,假设2N个点(x1±ε,x2,…,xi,…,xN),...,(x1,…,xi-1,xi±ε,xi+1,…,xN),...,(x1,…,xi,…,xN-1,xN±ε)全在中,推出矛盾;
最后证明当时,X=(x1,…,xi,…,xN)到Ω表面的距离大于
3.如权利要求1所述的移动终端恶意行为检测方法,其特征在于,所述同类行为特征集合的紧密覆盖集构造算法的构建方法包括:
(1)求致密性参数算法
设有从同类行为特征区域采集的同类行为特征点集合为C,该集合是致密凸集;在包含C的同类行为特征区域T固定的情况下,ε越小,C中点越多,C中点分布越紧密,从T中采集的样本越多;已知T是凸集和给定ε,构造满足致密凸集性质的C并不困难;反过来,已知点集C且假定C有某致密凸集性,要求出最小的ε十分困难;根据RN中不在同一超平面上N+1个点决定的单纯形是一个包含这N+1点的最小体积凸多面体的理论,给出一种估计ε的算法;设C有M个点,用X1,X2,…,XM表示;估计ε算法为:
第一步:计算Xj的第一近邻Xj1:
第二步:计算Xj的第二近邻Xj2:
......
第N+1步:计算Xj的第N+1近邻XjN+1:
第N+2步:计算Xj与近邻的最大距离:
第N+3步:计算ε的次优估计:
按照以上算法计算出来的ε,可以证明C是致密凸集;
(2)紧密覆盖集构造算法
构造—ε紧密覆盖集
第一步:构造M个点的超球邻域判别函数:
当fj(X)≥0时,判断X在以Xj为中心,为半径的超球邻域Π(Xj)内;
第二步:由每一个Xj=(xj1,…,xji,…,xjN),1≤j≤M派生出2N个点(xj1,…,xji±ε,…,xjN),1≤i≤N;
第三步:检测所有派生点(xj1,…,xji±ε,…,xjN),1≤i≤N,1≤j≤M是否在Π(Xj),1≤j≤M中,把不在任何一个超球邻域Π(Xj),1≤j≤M内的派生点集合起来就得—ε紧密覆盖集I(C);
I(C)中点的个数多于C的边界点个数。
4.如权利要求1所述的移动终端恶意行为检测方法,其特征在于,所述同类行为特征区域紧密覆盖面模型和求解算法的构建方法包括:作变换φ:RN→H,把特征空间映射为更高维空间;k:RN×RN→R是对应核函数;小超球半径为r,同心大超球半径为小超球内的*点是C中点变换到高维空间的对应点,大超球外的+点是I(C)中点变换到高维空间的对应点;找到合适变换φ:RN→H使小超球几乎包含所有*点且r最小,最大,即ρ2最大;这样对应于高维空间小超球面的原始空间曲面就是C的紧密覆盖曲面;
C中有m1个点,I(C)中有m2=n-m1个点,c是高维空间的球心;建立以下优化模型,通过求解优化解来构造同类行为特征区域紧密覆盖曲面:
s.t.||φ(Xi)-c||2≤r2+ξi,1≤i≤m1,
||φ(Xj)-c||2≥r2+ρ2-ξj,m1≤j≤n,
0≤ξk,1≤k≤n,
其中,ξi,ξj为松弛变量,为惩罚系数;
然后用二次规划求解方法,求解该...
【专利技术属性】
技术研发人员:杨国为,于腾,张青松,杨会渠,迟洁茹,
申请(专利权)人:青岛大学,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。