基于能量消耗信息的勒索软件识别方法及相关设备技术

本申请提供一种基于能量消耗信息的勒索软件识别方法及相关设备，首先过滤掉待测试列表中的一些不含有勒索嫌疑的软件，并将这些软件直接判定为非勒索软件，得到可疑软件列表。避免那些完全不可能是勒索软件的应用软件流入动态检测流程，从而影响引擎整体的平均检测时长。然后采集并整合可疑软件运行过程中的能耗信息日志和WakeLock日志，得到整合日志，并通过基于能量消耗的二分类模型对可疑软件进行分类，得到识别结果。整个识别过程不依赖于系统ROOT权限，实用性强，应对新风险能力强，并且判别范围不针对某单一类别的勒索软件，覆盖了锁屏类与加密类两种勒索软件，识别范围更加广泛。广泛。广泛。

【技术实现步骤摘要】
基于能量消耗信息的勒索软件识别方法及相关设备


[0001]本申请涉及软件检测
，尤其涉及一种基于能量消耗信息的勒索软件识别方法及相关设备。

技术介绍

[0002]随着智能手机的普及，智能手机的功能从打电话发短信拓展到社交、娱乐、工作、购物等场景。搭载Android系统的智能手机市场占有率最高。但随着移动互联网发展，一些不法分子将他们的目标专项智能手机，各类恶意软件层出不穷，其中勒索软件是最常见的恶意软件之一。如果设备被这种恶意软件感染，用户一般需要向攻击者支付一笔勒索费用来解锁设备。勒索软件破坏性强、获利迅速，比其他恶意软件更易吸引不法分子。因此，针对Android勒索软件的新型检测方法展开研究，帮助用户在受到勒索软件侵害前检出勒索软件，具有重大意义。
[0003]Android勒索软件检测是一种对待勒索软件的预防性措施，该类措施往往在用户安装软件之前，通过对目标软件的静态分析或动态分析等手段来判别软件是否为勒索软件，力求在勒索软件对目标设备造成实质性损失之前告知用户或企业安装该应用所存在的风险，阻止勒索软件的安装与运行。Android平台勒索软件预防与检测研究成果较多，大体划分为四类方法：基于静态分析、动态分析、行为分析以及资源消耗分析。
[0004]基于不同原理对Android勒索软件的检测方法层出不穷，但普遍存在着对新型勒索软件的检出率不高、抗代码混淆能力差、依赖设备ROOT权限、检测无法覆盖全两类勒索软件(加密类与锁屏类)等问题。随着研究的深入，发现过度依赖于系统ROOT权限的检测方法存在实用性较差的问题。部分方法需要ROOT权限来对程序的API调用进行实时监测，这些分析程序需要成为Android智能手机的超级管理员，以激活一些隐藏的Linux机制，从而修改Android上的文件访问控制模式或安卓的I/O响应模式。考虑到信息安全问题，大多数Android用户不选择ROOT他们的设备。但是，只有经过ROOT的设备才可能为分析程序赋予超级管理员权限，使得这些动态分析方法成功执行。加密勒索软件可以在没有管理员权限的情况下加密文件，但依赖于ROOT权限的检测手段却无法在未ROOT的设备上正常执行。随着安卓系统的不断升级以及各手机厂商对设备安全的逐渐重视，ROOT的成本也越来越高。在Android勒索软件检测领域，对设备ROOT权限依赖性弱且泛化能力较强的新型检测方法亟待提出。

技术实现思路

[0005]有鉴于此，本申请的目的在于提出一种基于能量消耗信息的勒索软件识别方法及相关设备，已解决上述问题。
[0006]基于上述目的，本申请的第一方面提供了一种基于能量消耗信息的勒索软件识别方法，包括：
[0007]利用预先构建的软件过滤器对待测试列表中的全部待测软件进行筛选，得到可疑
软件列表；
[0008]对于所述可疑软件列表中的任意一个可疑软件：
[0009]利用自动化测试组件运行所述可疑软件；
[0010]采集所述可疑软件运行过程中的能耗信息日志和WakeLock日志；
[0011]整合所述能耗信息日志和所述WakeLock日志，得到整合日志；
[0012]基于所述整合日志，通过预先训练好的基于能量消耗的二分类模型对所述可疑软件进行分类，得到识别结果；
[0013]将所述识别结果发送至目标移动端；
[0014]响应于确定所述可疑列表中的全部所述可疑软件识别完毕，结束识别。
[0015]本申请的第二方面提供了一种基于能量消耗信息的勒索软件识别装置，包括：
[0016]过滤模块，被配置为：利用预先构建的软件过滤器对待测试列表中的全部待测软件进行筛选，得到可疑软件列表；
[0017]信息提取模块，被配置为：利用自动化测试组件运行所述可疑软件；
[0018]采集所述可疑软件运行过程中的能耗信息日志和WakeLock日志；
[0019]整合所述能耗信息日志和所述WakeLock日志，得到整合日志；
[0020]模型分类模块，被配置为：基于所述整合日志，通过预先训练好的基于能量消耗的二分类模型对所述可疑软件进行分类，得到识别结果；
[0021]响应于确定所述可疑列表中的全部所述可疑软件识别完毕，结束识别；
[0022]交互模块，被配置为：将所述识别结果发送至目标移动端。
[0023]本申请的第三方面提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如本申请第一方面提供的所述的方法。
[0024]本申请的第四方面提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使计算机执行本申请第一方面提供的所述方法。
[0025]从上面可以看出，本申请提供的基于能量消耗信息的勒索软件识别方法及相关设备，首先会执行静态检测过程，过滤掉待测试列表中的一些不含有勒索嫌疑的软件，并将这些软件直接判定为非勒索软件，得到可疑软件列表。该过滤过程处于识别流程的前半部分，避免那些完全不可能是勒索软件的应用软件流入动态检测流程，从而影响引擎整体的平均检测时长。然后基于可疑软件列表执行动态检测过程，在利用自动化测试组件运行可疑软件的同时，采集并整合可疑软件运行过程中的能耗信息日志和WakeLock日志，得到整合日志，并通过预先训练好的基于能量消耗的二分类模型对可疑软件进行分类，得到识别结果，将识别结果发送至目标移动端，当可疑软件列表中的软件全部检测完毕，结束识别过程。整个识别过程不依赖于系统ROOT权限，实用性强，应对新风险能力强，并且判别范围不针对某单一类别的勒索软件，覆盖了锁屏类与加密类两种勒索软件，识别范围更加广泛。
附图说明
[0026]为了更清楚地说明本申请或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的
实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0027]图1为本申请实施例的基于能量消耗信息的勒索软件识别方法的流程图；
[0028]图2为本申请实施例的基于能量消耗信息的勒索软件识别方法的总体执行流程示意图；
[0029]图3为本申请实施例的二分类模型的训练流程图；
[0030]图4为本申请实施例的勒索软件与非勒索软件能耗对比分析条形柱状图；
[0031]图5为本申请实施例的构建待测试列表的流程图；
[0032]图6为本申请实施例的Web页面上传APK文件的展示示意图；
[0033]图7为本申请实施例的获取可疑软件列表的流程图；
[0034]图8为本申请实施例的勒索软件权限申请频率统计图；
[0035]图9为本申请实施例的通过自动化运行组件运行可疑软件的流程图；
[0036]图10为本申请实施例的日志采集的流程图；
[0037]图1本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于能量消耗信息的勒索软件识别方法，其特征在于，包括：利用预先构建的软件过滤器对待测试列表中的全部待测软件进行筛选，得到可疑软件列表；对于所述可疑软件列表中的任意一个可疑软件：利用自动化测试组件运行所述可疑软件；采集所述可疑软件运行过程中的能耗信息日志和WakeLock日志；整合所述能耗信息日志和所述WakeLock日志，得到整合日志；基于所述整合日志，通过预先训练好的基于能量消耗的二分类模型对所述可疑软件进行分类，得到识别结果；将所述识别结果发送至目标移动端；响应于确定所述可疑列表中的全部所述可疑软件识别完毕，结束识别。2.根据权利要求1所述的方法，其特征在于，训练所述基于能量消耗的二分类模型，具体包括：通过分析勒索软件和非勒索软件的能量消耗信息，确定能量消耗指标；构建样本集；基于所述样本集和所述能量消耗指标，利用HIVE
‑
COTE集成学习算法训练所述基于能量消耗的二分类模型；响应于确定所述基于能量消耗的二分类模型的模型查准率、召回率为和F1
‑
Score均达到预设的标准值，训练完毕。3.根据权利要求1所述的方法，其特征在于，在利用预先构建的软件过滤器对待测试列表中的全部待测软件进行筛选，得到可疑软件列表之前，还包括：响应于确定目标移动端执行软件下载行为，唤醒检测引擎；将下载到目标移动端的全部软件上传至所述检测引擎的待测试列表。4.根据权利要求1所述的方法，其特征在于，所述利用预先构建的软件过滤器对待测试列表中的全部待测软件进行筛选，得到可疑软件列表，具体包括：利用所述软件过滤器提取所述待测试列表中的每个待测试软件的全部权限；响应于确定所述待测试软件的所述全部权限中不含有可疑权限组，该待测试软件为非勒索软件；响应于确定所述待测试软件的所述全部权限中含有可疑权限组，该待测试软件为可疑软件，全部的所述可疑软件构成所述可疑软件列表。5.根据权利要求4所述的方法，其特征在于，所述利用自动化测试组件运行可疑软件，具体包括：通过运行所述自动化测试组件中的计算器应用，得到重复次数；利用所述自动化测试组件开通所述可疑软...

【专利技术属性】
技术研发人员：张华，高飞，侯俊杰，涂腾飞，周雨晨，金培源，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：