一種利用隨機(jī)森林分類器實(shí)時(shí)檢測安卓惡意軟件的方法，包括(1)收集網(wǎng)絡(luò)數(shù)據(jù)；(2)應(yīng)用程序接口調(diào)用數(shù)據(jù)流分組；(3)提取數(shù)據(jù)流最小單元；(4)提取調(diào)用序列特征；(5)訓(xùn)練隱馬爾科夫模型；(6)訓(xùn)練隨機(jī)森林模型；(7)提取待檢測樣本的應(yīng)用程序接口數(shù)據(jù)流特征；(8)將待檢測樣本的特征向量輸入隨機(jī)森林檢測模型，判斷字段網(wǎng)絡(luò)特征檢測模型的輸出是否為惡意軟件類別；(9)輸出待檢測樣本對應(yīng)的惡意軟件類別。本發(fā)明能夠?qū)崟r(shí)檢測惡意軟件以及對網(wǎng)絡(luò)中傳輸?shù)能浖M(jìn)行檢測具有良好的檢測準(zhǔn)確率。

技術(shù)領(lǐng)域

本發(fā)明屬于通信技術(shù)領(lǐng)域，更進(jìn)一步涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域中的一種利用隨機(jī)森林分類器實(shí)時(shí)檢測安卓惡意軟件的方法。本發(fā)明可用于實(shí)時(shí)檢測安卓軟件中是否存在惡意軟件，以便其他網(wǎng)絡(luò)安全技術(shù)對安卓軟件中所存在的惡意軟件進(jìn)行處理，從而保障安卓軟件的信息安全。

背景技術(shù)

安卓惡意軟件檢測技術(shù)用于發(fā)現(xiàn)移動設(shè)備上存在的惡意軟件，以便于其他網(wǎng)絡(luò)安全技術(shù)阻止惡意軟件對移動設(shè)備的危害活動。利用隨機(jī)森林分類器的安卓惡意軟件檢測技術(shù)在近些年受到了學(xué)者的關(guān)注，這種方法通常是對應(yīng)用程序產(chǎn)生的特征數(shù)據(jù)進(jìn)行分析，從中提取出能夠區(qū)分正常軟件和惡意軟件的特征，作為惡意軟件的檢測依據(jù)。目前基于分類器分析的安卓惡意軟件檢測技術(shù)有：

董航在其發(fā)表的博士論文“移動應(yīng)用程序檢測與防護(hù)技術(shù)研究”(北京郵電大學(xué)，中國知網(wǎng))中提出一種基于HMMs-SVM模型的移動惡意行為動態(tài)分析方法。該方法分兩個(gè)階段，首先，通過將所有應(yīng)用程序按照功能分類，分別運(yùn)行各個(gè)分類中的所有學(xué)習(xí)樣本，對其運(yùn)行時(shí)行為進(jìn)行捕獲，對捕獲的運(yùn)行時(shí)行為數(shù)據(jù)進(jìn)行預(yù)處理和特征提取，作為隱馬爾可夫模型的觀測值輸入，使用Baum-Welch算法進(jìn)行訓(xùn)練建模，得到每一類應(yīng)用的隱馬爾可夫模型，并將HMM的輸出結(jié)果組成最大似然向量；然后，將最大似然向量作為最終決策分類的依據(jù)，輸入SVM，學(xué)習(xí)得到訓(xùn)練好的SVM，建立HMMS-SVM分類器檢測模型的訓(xùn)練過程；最后，使用建立的分類器模型進(jìn)行惡意軟件的檢測。該方法存在的不足之處是：該方法以支持向量機(jī)作為最后檢測依據(jù)，這種處理方式使得非常多的參數(shù)需要調(diào)整，導(dǎo)致調(diào)整周期長，如選擇最合適的核函數(shù)，正則懲罰等。

電子科技大學(xué)在其擁有的專利技術(shù)“基于隨機(jī)森林分類方法的Android平臺惡意應(yīng)用檢測方法”(申請?zhí)朇N 201510969901.6公開號CN 105550583A)中提出了一種利用隨機(jī)森林分類方法來檢測Android平臺惡意軟件行為的方法。該方法針對Android應(yīng)用樣本的多類特征，設(shè)計(jì)相應(yīng)的隨機(jī)森林決分類器，包括以下幾種：Android應(yīng)用樣本的靜態(tài)特征、權(quán)限集和API集構(gòu)建樣本庫。該檢測方法存在的不足之處是：該方法設(shè)計(jì)的隨機(jī)森林分類器所有提取的特征均來自樣本的靜態(tài)特征，并不能檢測Android應(yīng)用樣本在運(yùn)行時(shí)數(shù)據(jù)。該方法對于所有Android應(yīng)用程序進(jìn)行特征提取，降低了安卓惡意檢測成功率，不能充分利用隨機(jī)森林分類器對特征進(jìn)行分類?，F(xiàn)階段的一些基于分類器的安卓惡意軟件檢測方法存在以下不足之處：第一，現(xiàn)有的基于分類器的安卓惡意軟件檢測方法通常是對不同Android樣本分類之后進(jìn)行分析，或者是對樣本逐個(gè)進(jìn)行靜態(tài)分析的處理方式使得惡意軟件檢測的實(shí)時(shí)性不能得到保障；第二，現(xiàn)有的基于應(yīng)用程序接口數(shù)據(jù)流分析的安卓惡意軟件檢測方法使用的調(diào)用序列特征比較單一，沒有充分利用應(yīng)用程序接口數(shù)據(jù)流的各種類型的特征，使得惡意軟件檢測的檢測準(zhǔn)確率不能得到保障；第三，現(xiàn)有的基于應(yīng)用程序接口數(shù)據(jù)流分析的安卓惡意軟件檢測方法中使用的應(yīng)用程序接口數(shù)據(jù)流調(diào)用序列特征，通?，F(xiàn)有的基于聚類算法的安卓惡意軟件檢測方法是對具有相同家族安卓樣本進(jìn)行分析，或者是對樣本逐個(gè)進(jìn)行靜態(tài)分析的處理方式使得惡意軟件檢測的樣本之間的內(nèi)在關(guān)聯(lián)性不能得到保障；第四，現(xiàn)有的基于隨機(jī)森林分類器分析的安卓惡意軟件檢測方法中使用的靜態(tài)特征，通常是Android應(yīng)用標(biāo)識符、申請權(quán)限、所調(diào)用的API等特征，在面對使用安卓應(yīng)用樣本進(jìn)行運(yùn)行時(shí)數(shù)據(jù)分析之時(shí)便不能有效進(jìn)行檢測；第五，現(xiàn)有的基于分類器的安卓惡意軟件檢測方法使用的運(yùn)行時(shí)數(shù)據(jù)特征比較單一，沒有充分利用Android應(yīng)用樣本運(yùn)行時(shí)的各種類型的特征，降低了惡意軟件檢測的準(zhǔn)確率。

發(fā)明內(nèi)容