【技术实现步骤摘要】
基于正则极限学习机的安卓恶意apk检测方法
[0001]本专利技术涉及恶意应用程序检测
,具体的说,涉及了一种基于正则极限学习机的安卓恶意apk检测方法。基于正则极限学习机的安卓恶意apk检测方法及介质
技术介绍
[0002]随着移动(智能)终端的普及与发展,各种APP应用程序成为人们工作、生活不可缺少的一部分,由此衍生而来的数据安全问题层出不穷。比如恶意扣费、隐私盗取、远程控制等多类问题,严重威胁移动终端的信息安全。恶意应用程序可以获取手机号、搜集用户手机IMEI码、系统版本号、发送短信、采集个人照片、访问位置信息等隐私数据,并将隐私数据上传到网络,造成隐私数据的泄露,使得Android系统信息安全技术的研究变得至关重要。
[0003]在网络安全日益严峻的今天,移动终端的安全问题更是广受关注,移动终端在带来便利的同时,也带来了极大的安全威胁,所以针对移动终端的信息安全研究刻不容缓。为了保障移动终端信息安全,面对层出不穷的恶意应用程序,国内外研究人员对Android应用程序开展了一系列的研究工作,主要采用静态分 ...
【技术保护点】
【技术特征摘要】
1.一种基于正则极限学习机的安卓恶意apk检测方法,其特征在于,包括以下步骤:步骤1,获取样本应用程序集apk,按照功能类别对所述样本应用程序集apk进行分类,得到M个不同功能类别的样本子集;步骤2,从所述样本子集的应用清单AndroidManifest.xml文件中提取出第一类特征属性,从所述样本子集的.smali文件中提取出第二类特征属性,基于所述第一类特征属性和所述第二类特征属性构造出基础特征矩阵R;其中,所述第一类特征属性包括硬件组件、系统权限、应用组件和意图过滤器,所述第二类特征属性为API调用特征标识符;步骤3,使用信息增益算法对所述基础特征矩阵R进行评分,得到所述基础特征矩阵的第一评分结果;根据所述第一评分结果对所述基础特征矩阵R进行筛选,得到第一特征矩阵F;通过Fisher Score算法对所述基础特征矩阵进行评分,得到所述基础特征矩阵的第二评分结果;根据所述第二评分结果对所述基础特征矩阵R进行筛选,得到第二特征矩阵I;对所述第一特征矩阵F和所述第二特征矩阵I进行交集处理,筛选出共有特征作为特征子集X;步骤4,以所述特征子集X为输入向量,以各个样本子集对应的样本应用程序标识符为输出向量,基于极限学习机算法进行模型训练得到初始分类检测模型;其中,所述样本应用程序标识符用于表示样本应用程序是否为恶意应用程序;使用正则项对所述初始分类检测模型进行优化,得到第一分类检测模型;通过五折交叉验证法对所述第一分类检测模型进行重复训练,得到分类检测模型;步骤5,提取待检测应用程序apk,利用步骤4得到的分类检测模型,检测所述待检测应用程序是恶意应用程序还是安全应用程序。2.根据权利要求1所述的基于正则极限学习机的安卓恶意apk检测方法,其特征在于,所述步骤2包括以下步骤:步骤2.1,使用反编译工具apktool分别对各个样本子集进行批量处理,得到各个样本子集的AndroidManifest.xml文件和.smali文件;步骤2.2,采用DOM方式解析样本子集的AndroidManifest.xml文件,根据所述AndroidManifest.xml文件的结构层次,依次从第二层节点、第三层节点、第四层节点获取第一类特征属性的属性值;依次访问样本子集的.smali文件,提取出第二类特征属性的属性值;步骤2.3,将所述第一类特征属性的属性值和所述第二类特征属性的属性值加入预设的特征属性集合AttrsList,作为基础特征矩阵R;其中,所述基础特征矩阵n为所述样本应用程序集apk中的样本应用程序总数,每行对应一个样本应用程序,每列对应一种特征属性;步骤2.4,获取各个样本子集对应的样本应用程序标识符,并存放在预设的应用程序集
合apkList中;其中,所述应用程序集合t
n,1
为样本应用程序标识符,表示第n个样本应用程序是否为恶意应用程序。3.根据权利要求1所述的基于正则极限学习机的安卓恶意apk检测方法,其特征在于,所述步骤2包括以下步骤:步骤201,使用反编译工具apktool分别对各个样本子集进行批量处理,得到各个样本子集的AndroidManifest.xml文件和.smali文件;步骤202,采用DOM方式解析样本子集的AndroidManifest.xml文件,根据所述AndroidManifest.xml文件的结构层次,依次从第二层节点、第三层节点、第四层节点获取第一类特征属性的属性值,并将所述第一类特征属性的属性值分别标记为属性向量R1、属性向量R2、属性向量R3和属性向量R4;依次访问样本子集的.smali文件,提取出第二类特征属性的属性值,并将所述第二类特征属性的属性值标记为属性向量S5;其中,n为所述样本应用程序集apk中的样本应用程序总数;步骤203,基于所述属性向量R1、所述属性向量R2、所述属性向量R3、所述属性向量R4和所述属性向量S5求并集,构造出基础特征矩阵R;其中,所述基础特征矩阵所述基础特征矩阵R的第一列为属性向量R1,所述基础特征矩阵R的第二列为属性向量R2,所述基础特征矩阵R的第三列为属性向量R3,所述基础特征矩阵R的第四列为属性向量R4,所述基础特征矩阵R的第五列为属性向量S5;步骤204,获取各个样本子集对应的样本应用程序标识符,并标记为属性向量T,其中,t
n,1
为样本应用程序标识符,表示第n个样本应用程序是否为恶意应用程序。4.根据权利要求3所述的基于正则极限学习机的安卓恶意apk检测方法,其特征在于,所述步骤3包括以下步骤:步骤3.1,采用以下公式使用信息增益算法对所述基础特征集R中的属性值进行评分:Ig(R
i
,R
ij
)=H(R
i
)
‑
H(R
i
|R
ij
)
其中,H(R
i
)表示所述基础特征集R的第i个特征集的信息熵,H(R
i
|R
ij
...
【专利技术属性】
技术研发人员:张有为,葛方丽,薛兵,王祎飞,陈思,郭赵飞,耿政,
申请(专利权)人:郑州信大先进技术研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。