技術領域

本發明涉及移動互聯網信息安全領域，特別是指一種安卓系統惡意應用檢測方法及系統。

背景技術

隨著智能手機的快速普及，人們進入了移動互聯網的時代。基于應用商店的發布模式成為移動應用的重要模式，移動應用產業得到了快速的增長。由于移動應用可從移動終端獲得大量的敏感信息，且其本身能通過移動市場及廣告商產生高利潤，移動應用頻頻遭到了黑客的攻擊，移動應用安全事件頻發。魚龍混雜的第三方應用市場，海量的移動應用缺乏集中有效的安全審查等，都導致大量的惡意移動應用被發布在移動應用市場。如何從海量的移動應用中精確地識別出可能會給移動終端帶來安全隱患的惡意應用，成為移動應用安全研究的重要問題之一。

現階段惡意應用檢測的主要手段可以分為靜態檢測和動態檢測。靜態檢測方法：FlowDroid通過分析目標程序字節碼文件和組件的生命周期，可以實現靜態的污點分析，并生成函數調用圖。TaintDroid提出了系統級的動態污點分析工具，通過標記敏感信息，實現對隱私數據的信息流實時監控；但是靜態檢測方法需要不斷的更新惡意應用的特征庫，且僅能識別已知的惡意應用程序。

動態檢測方法：Kynoid在TaintDroid的基礎上，可以實現對應用與數據之間的信息流的動態檢測，提供實時的監控，防止隱私的泄露；基于TaintDroid動態檢測方法需要修改安卓操作系統源代碼，導致該方法難以推廣應用。

發明內容

有鑒于此，本發明的目的在于提出一種高效率、低開銷且不需要修改安卓系統源代碼的安卓系統惡意應用檢測方法及系統。

基于上述目的本發明提供的安卓系統惡意應用檢測方法，包括：

通過逆向工程反編譯應用程序的安裝文件，得到權限特征；

通過動態行為捕獲技術得到所述應用程序的行為記錄，將所述行為記錄與定義的行為鏈模型進行匹配得到行為特征；

將行為特征與所述權限特征組合成最終特征；

將多個已知應用程序的最終特征生成特征數據樣本集，機器學習算法利用所述特征數據樣本集生成分類器；

將得到未知應用程序的最終特征輸入生成的分類器，得出所述未知應用是否為惡意應用的結論。

進一步的，所述將多個已知應用程序的最終特征生成特征數據樣本集，機器學習算法利用所述特征數據樣本集化生成分類器的方法包括：

將多個已知正常應用程序和惡意應用程序的最終特征生成特征數據樣本集；

將所述特征數據樣本集化分為特征訓練樣本集和特征測試樣本集；

所述機器學習算法利用所述特征訓練樣本集生成分類器，所述特征測試樣本集測試評估生成的分類器。

進一步的，所述通過逆向工程反編譯應用程序的安裝文件，得到權限特征的方法包括：

使用反編譯工具對所述應用程序的安裝文件進行反編譯，得到所述權限特征；

定義權限特征向量P＝(μ₁,μ2…μ_i…μ_k)，其中，k表示安卓操作系統中系統權限的總個數，μ_i表示該應用是否申請了第i個權限，i＜1，μ_i∈{0,1}，0表示沒有申請權限，1表示申請了權限。

進一步的，所述將所述行為記錄與定義的行為鏈模型進行匹配得到行為特征的方法包括：

將得到的所述行為記錄與定義的所述行為鏈模型做匹配，可以得到每一個行為鏈的觸發次數；

將所有行為鏈的觸發次數做歸一化處理，可以得到行為特征向量S＝(σ₁,σ₂…σ_i…σ_m)，其中，m表示行為鏈模型的總個數，σ_i表示第i個行為鏈模型的每千條行為記錄中的觸發次數，

所示將行為特征與所述權限特征組合成最終特征包括：

將權限特征向量P與行為特征向量S組合成一個最終的特征向量F：

F＝(μ₁,μ₂…μ_i…μ_k，σ₁,σ₂…σ_i…σ_m)。

進一步的，所述通過動態行為捕獲技術得到所述應用程序的行為記錄的方法包括：

將本地動態庫文件注入到目標應用程序的進程空間內；

加載所述本地動態庫；