技術領域

本發明涉及惡意軟件檢測及網絡安全技術領域，尤其涉及一種基于Dalvik指令和權限組合的安卓惡意軟件檢測方法。

背景技術

移動惡意軟件，是指在用戶不知情或未授權的情況下，在用戶手上安裝、運行，已達到不正當的目的，或具有違反國家相關法律法規行為的手機軟件。根據中國互聯網協會和中國反病毒聯盟聯合編寫的《移動互聯網惡意代碼描述規范》，安卓惡意軟件主要分為八種惡意類型：惡意扣費、隱私竊取、遠程控制、惡意傳播、資費消耗、系統破壞、誘騙欺詐、流氓行為。不斷增長的移動惡意軟件不僅給用戶帶來了嚴重的經濟損失，而且威脅到用戶的個人信息安全。

目前主流的惡意軟件檢測方案主要分為靜態檢測和動態檢測。動態分析主要是分析程序運行時的特征，包括系統調用序列和數據流等。這些方法需要修改安卓系統的內核，而且帶來了大量的實時計算。靜態檢測方法通過分析應用程序的源代碼，并不運行應用程序。安卓平臺惡意軟件常見的靜態特征有：APK申請的權限、API、APK簽名信息等。Zhou等人分析了惡意軟件與正常軟件權限之間的不同：惡意軟件更傾向于申請短信相關的權限和自啟動權限。童振飛抽取了classes.dex文件中類與API調用信息作為特征，運用機器學習算法，構建分類模型，檢測安卓惡意軟件。房鑫鑫發展了童振飛的工作，通過對比應用程序中的AndroidManifest.xml文件的簽名信息，判斷應用程序是否被惡意篡改。Peiravian等人分析了惡意軟件與正常軟件申請權限以及API的不同，綜合了權限和API特征，構建不同的分類器。Aafer等人結合了高危的API及其參數特征，來構建分類模型。目前的靜態檢測方法主要依賴于分析安卓應用軟件申請的權限和API特征，而權限特征已經被大量的應用軟件所濫用，API特征難以對抗混淆加密技術。

Kang等人利用了Dalvik指令頻率特征對安卓惡意軟件的家族進行分類，Kang等人提取并反編譯APK軟件包中的classes.dex文件，得到安卓匯編語言smali文件，然后統計smali文件中每個Dalvik指令出現的絕對頻率，構建特征向量來表示該安卓應用軟件。特征向量的第一維表示惡意軟件的家族，其余維表示Dalivk指令的絕對頻率特征。最后運用隨機森林算法構建分類器，對惡意軟件的家族之間進行分類。

現有流行的安卓惡意軟件檢測技術高度依賴于權限特征和API特征，而權限被大量的應用軟件所濫用，API及其參數是比較有效的檢測手段，但這種方法計算量較大，而且API的參數也是千變萬化。

因此，針對上述技術問題，有必要提供一種基于Dalvik指令和權限組合的安卓惡意軟件檢測方法。

發明內容

有鑒于此，本發明的目的在于提供一種基于Dalvik指令和權限組合的安卓惡意軟件檢測方法，以解決當前鑒別安卓惡意軟件的主要問題，包括：(1)特征單一，依賴于權限和API特征；(2)計算量大。

為了達到上述目的，本發明實施例提供的技術方案如下：

一種基于Dalvik指令和權限組合的安卓惡意軟件檢測方法，所述方法包括：

S1、使用解壓縮工具打開安卓應用軟件包，得到classes.dex文件和AndroidManifest.xml文件；

S2、反編譯classes.dex文件構建Dalvik指令的頻率特征，然后采用檢測模型對安卓應用軟件包進行正常軟件和惡意軟件的檢測；

S3、反編譯AndroidManifest.xml文件提取權限特征，并構建權限特征向量，由分類算法建立分類器，進行正常軟件和惡意軟件的檢測。

作為本發明的進一步改進，所述步驟S2中檢測模型的構建方法為：

Dalvik指令的頻率特征為：

absoluteFreq_i＝{C_i,freq_(i,1),freq_(i,2),…,freq_(i,j)|1≤j≤n}，

其中當且僅當C_i＝1時該軟件為惡意軟件，當且僅當C_i＝0時該軟件為正常軟件，n為Dalvik指令的個數，freq_(i,j)表示第i個應用軟件中出現第j個指令的絕對頻率；

將正常軟件與惡意軟件的樣本集合集制成一個特征矩陣FM，得到檢測模型。

作為本發明的進一步改進，所述步驟S2還包括：