本發明涉及一種基于頻繁項集描述的移動互聯網惡意應用檢測方法，屬于移動互聯網網絡安全技術領域，該方法通過全面采集移動互聯網中的各類數據，包括網絡數據包、業務日志、安全設備事件等，構建大數據分析環境，利用大數據分析技術，構建移動端應用的特征數據，描述應用，解決同一樣本在不同的移動終端上抽取得到的樣本數據差異問題；本方法不需要移動設備客戶端應用的支持，便于調整和部署；本方法分析的數據對象針對惡意應用的網絡行為，不受惡意應用加殼、加密、動態加載執行等技術的影響。

技術領域

本發明屬于移動互聯網網絡安全技術領域，具體涉及一種基于頻繁項集描述的移動互聯網惡意應用檢測方法。

背景技術

隨著移動互聯網的迅速發展，移動終端的使用數量也在急劇增長，并在2011年超過了PC端上網用戶數量。4G網絡的部署、智能手機操作系統的普及(當前主流智能操作系統為Android和ios)以及各類移動應用的快速出現和普及，能夠快捷和方便的滿足用戶的大多生活及工作需要，大大推動了移動端上網用戶數量和移動互聯網上網流量的急劇增加。

手機移動終端的方便使用使得越來越多的個人業務轉移到移動終端，很多傳統互聯網端惡意應用開始向移動端移植，且數量呈現急劇增長的態勢。與PC相比，受限于制造及硬件水平，當前手機智能操作系統在資源方面有較大的限制，如電池容量、內存及CPU等，使得其無法像PC那樣充分利用本地資源對惡意應用進行檢測和分析。此外，不同的操作系統和硬件架構，使得傳統互聯網下的一些安全機制無法完全移植應用到移動互聯網。

對移動端應用的分析，相關檢測技術主要包括靜態樣本分析和動態行為分析。靜態樣本分析技術通過分析應用的靜態特征，如文件占用、源碼依賴、特定字符串等確定應用的分類；動態行為分析技術通過對應用的行為進行監控，檢測其行為是否具有惡意傾向判斷是否為惡意應用。對移動端惡意應用的描述，一般需要利用靜態或動態技術對特定惡意移動樣本的特征進行抽取，并保存為特征向量組。利用這些特征向量數據作為訓練依據，可對后續的樣本進行檢測。靜態分析技術的輸出主要包括：樣本文件的相關信息，如文件大小、hash、需要的權限、文件類型和結構等；樣本的函數調用，如組件間的調用關系，函數依賴序列；動態分析技術對樣本的輸出數據主要包括：樣本的執行日志，如執行調用函數系列、樣本執行輸出文件、訪問的外部資源、對隱私數據的訪問、向外發出的數據等；樣本資源的占用，如內存的使用，cpu執行事件以及電池的消耗等。

在靜態特征分析技術中，基于惡意樣本簽名匹配技術的檢測相對比較簡單，主要針對已知的惡意應用，有很高的準確率，但對未知樣本和使用了混淆及加密技術的樣本檢測能力不足。權限機制是Android系統安全的核心組成部分之一，其本質上是一種對資源的訪問控制機制。一些研究人員針對移動應用運行所需要申請的權限信息，從大量的應用程序包中提取該程序的權限聲明，分析這些應用的權限特征，如應用是否存在權限過度申請、不同應用的權限申請傾向。部分研究工作針對惡意應用中的API調用關系，基于采用靜態分析的方法抽取API調用，將惡意應用的行為邏輯抽象為代表所屬威脅模式的向量序列，標記為特定的行為序列圖。對新增應用，采用機器學習的方法，用與其最為接近的威脅模式序列所屬的分類標記應用。

應用動態分析系統一般采用在應用層或內核層動態監控應用執行的方式，記錄和保存應用的動作及輸出。在應用層主要依賴于特定客戶端，在內核層則主要通過對關鍵內核API函數的劫持實現。

當前已有研究成果中所提出和實現的方法，主要基于客戶端應用，依賴于客戶端應用對特定基礎資源數據的收集，這導致依賴客戶端應用的架構方式無法覆蓋全部的移動端用戶；基于單個終端抽取得到的應用特征及行為描述具有較大的隨機性。

發明內容

針對現有技術的不足，本發明提出一種基于頻繁項集描述的移動互聯網惡意應用檢測方法，該方法不需要移動設備客戶端應用的支持，便于調整和部署，其分析的數據對象針對惡意應用的網絡行為，不受惡意應用加殼、加密、動態加載執行等技術的影響。