技術領域

本發明涉及軟件檢測領域，尤指一種基于混合特征的Android惡意軟件檢測方法及系統。

背景技術

智能終端和云計算運用加速推進信息技術和通信技術的融合，促進了移動互聯網高速發展。隨著移動互聯網的發展，移動終端用戶群體日益龐大。在經濟利益的驅使下，近幾年移動惡意軟件的數量呈爆炸式增長，各種移動惡意軟件家族更是千變萬化，嚴重威脅著移動互聯網的健康發展，給用戶和智能終端帶來了不可忽視的危害。然而，由于我國目前尚無針對移動應用商店安全的要求準則出臺，這使得一些應用程序商店安全門檻過低，大量的惡意應用軟件可以很輕易進駐應用商店并提供下載，移動互聯網安全已經成為制約移動互聯網發展的瓶頸。移動惡意軟件是指所有能夠在智能手機或者平板計算機上執行惡意操作的應用程序，會導致系統崩潰、用戶機密信息的損失或泄漏。

目前，很多安全公司都已經開發出移動惡意軟件鑒別的技術。例如，Kaspersky，McAfee，奇虎360、騰訊等都在推出安全軟件。Kaspersky實驗室推出了卡巴斯基手機安全軟件，該軟件結合了傳統的特征碼技術和主動的啟發式分析技術，并提供云安全掃描的實時保護，確保智能手機不受惡意軟件的的侵害。McAfee通過掃描文件、內存卡、應用程序、Internet下載項、文本消息和附件并清除其中的惡意軟件來保護移動設備。360手機衛士采用本地和云查殺的方法，本地查殺調用手機衛士內置的殺毒功能，本地掃描已安裝軟件的信息(包括包名、UID、版本號以及軟件證書等)，根據軟件的包名，UID，版本號和證書，以及特征碼，與病毒庫進行比對，判斷軟件的安全性，以便完成查殺。騰訊手機管家采用多引擎查殺，具備雙引擎的本地查殺功能和云查殺功能。本地查殺引擎使用QQ手機管家查殺病毒引擎和卡巴斯基查殺病毒引擎，在無需聯網的情況下，可以快速的對本地已安裝軟件和即將安裝軟件進行病毒查殺。云查殺引擎在用戶允許的前提下，終端會聯網將本地的軟件信息及行為特征上傳到云端服務器，服務器根據所上傳的信息進行精準的病毒掃描，將最終精確的查殺結果返回給終端。

另外，有很多學者提出了Android惡意軟件檢測的技術，包括動態分析和靜態分析。動態分析是指在安裝程序執行的過程中，對軟件行為進行分析，靜態分析是指在安裝程序執行之前，抽取程序的特征，如API和權限特征。靜態行為檢測通過逆向工程手段，與動態行為檢測相比，因無須使用沙盒、虛擬機，靜態行為檢測能耗更低，風險更小，對實時性要求更低。但是，目前Android惡意軟件的靜態分析主要對API與權限特征的分類，分類精度不高。

綜上來看，由于移動惡意軟件的數量呈爆炸式增長，變種層出不窮，給用戶和智能終端帶來了不可忽視的危害，Android平臺由于其開放性成為了攻擊者首選的攻擊對象，需要一種有效的技術以檢測惡意軟件。

發明內容

針對分類精度問題，本發明采用靜態分析技術，通過混合特征對Android惡意軟件進行鑒別。具體來講，是通過Android惡意軟件的多種特征，包括Dalvik，API與權限特征，分別采用極限學習機進行分類，然后使用線性組合方法鑒別惡意軟件，相較現有技術可以提高鑒別精度，降低誤報率。

為達到上述目的，本發明提出了一種基于混合特征的Android惡意軟件檢測方法，包括：獲取Dalvik特征數據、API特征數據、權限特征數據；利用Dalvik指令分類器、API分類器、權限分類器，分別對Dalvik特征數據、API特征數據、權限特征數據采用極限學習機的算法進行分類，建立分類模型，并根據該分類模型計算獲得預測標簽；基于預測標簽及Dalvik指令分類器、API分類器、權限分類器的分類精度，利用線性組合方式進行融合，計算獲得預測值，根據該預測值進行惡意軟件的判斷。

為達到上述目的，本發明還提出了一種基于混合特征的Android惡意軟件檢測系統，包括：數據提取模塊，用于獲取Dalvik特征數據、API特征數據、權限特征數據；分類模塊，用于通過Dalvik指令分類器、API分類器、權限分類器，分別對Dalvik特征數據、API特征數據、權限特征數據采用極限學習機的算法進行分類，建立分類模型，并根據該分類模型計算獲得預測標簽；預測值計算模塊，用于基于預測標簽及Dalvik指令分類器、API分類器、權限分類器的分類精度，利用線性組合方式進行融合，計算獲得預測值，根據該預測值進行惡意軟件的判斷。