技術領域

本發明涉及局部二值模式和主成分分析技術的安卓惡意軟件檢測方法。

背景技術

隨著信息時代的來臨，移動智能手機逐漸成為國民信息基礎設備。據國際數據中心(IDC)2016年第三季度發布的智能手機操作系統市場占比顯示，安卓操作系統占比86.8％，遠超iOS(12.5％)，Windows(0.3％)以及其他操作系統(0.4％)，安卓操作系統已成為當今最主流的智能手機操作系統。

由于安卓系統的流行，一系列安全問題的隨之涌現。據德國網絡安全公司GDATA最新公布的一份調查報告顯示，安卓惡意軟件數量逐年遞增，其中2017年第一季度發現了超過75萬個新的Android惡意軟件應用程序。每天都會有近8,400個新的惡意軟件樣本出現。這些惡意應用的惡意行為多種多樣，一旦被用戶將這些惡意應用安裝在手機中，用戶的隱私信息極有可能會被泄露，如用戶短信記錄被竊取、通信信息甚至是個人照片在用戶不知情的情況下會被上傳，更有甚者，會惡意吸取用戶話費，這些給用戶造成了精神和經濟上的損失。

面對如此大量的安卓惡意軟件的出現及其對互聯網安全的這種嚴重威脅。一些學者提出了靜態檢測安卓惡意軟件的方法，即通過反編譯提取應用軟件的操作碼或字符串等特征，再對這些特征進行分析。由于這些方法都需要使用反編譯工具來獲得特征，在這一過程中會占用大量的系統資源且要耗費大量時間開銷，此外，存在一些特殊場景無法使用反編譯工具，那么應用軟件的特征便無法獲得，對安卓軟件的檢測更無從談及了。

另一方面，有一些學者提出了動態檢測安卓惡意軟件的方法，該方法無需像靜態檢測那樣使用反編譯工具獲取特征，但需要在沙箱、虛擬機等環境下執行或者模擬安卓應用的安裝和運行等操作，然后監控記錄該應用在運行過程中的各項行為數據(比如網絡通信訪問、文件數據的讀寫、進程操作等)，通過與己知惡意軟件的特征比對，檢測出惡意軟件的變種。然而，動態檢測的這些方法仍需要在沙箱、虛擬機中模擬和監控安卓應用的行為，在這一過程中也會占用大量的系統資源，且監控和模擬安卓應用行為需要大量時間開銷。此外，存在一些特殊場景并不適合使用沙箱或虛擬機，此種情況下便無法對安卓應用進行檢測。

發明內容

本發明目的在于利用提取的二進制紋理特征，通過局部二值模式、主成分分析技術，使用K最近鄰算法來快速來識別安卓惡意軟件。通過比較未知樣本與安卓惡意軟件和非惡意軟件的相似性來檢測是否為惡意軟件。與現有的方法相比，本發明的優勢在于不需要任何反編譯工具或沙箱、虛擬機等，大大節省資源和時間開銷。

定義1，M為訓練集，M＝{m₁,m₂}，m₁代表安卓惡意樣本數據集，m₂代表非惡意樣本數據集。

定義2，x_j是一個二進制軟體實例，若x_j是從惡意樣本提取的二進制序列，則x_j∈m₁，否則x_j∈m₂。

定義3，Tex是從二進制灰度圖像中提取的二進制序列紋理特征。

定義4，T(x_j)是根據x_j通過局部二值模式計算得到的二進制序列紋理特征列向量，T(x_j)是一個由256行1列組成的向量。

本發明的工作流程圖如圖1所示。我們首先讀取安卓二進制文件，并將其直接轉換二進制畫像，通過使用局部二值模式(LBP)我們可以提取該畫像的紋理特征，為了在降低時間消耗的同時并保持準確度，我們使用主成分分析方法(PCA)來對安卓二進制紋理特征進行降維，最后，我們通過K最近鄰算法來對安卓惡意二進制軟件和非惡意二進制軟件進行分類。本發明的方法包括如下四個步驟：

1.構建安卓軟件二進制序列灰度圖像。本發明通過順序讀取安卓軟件的二進制序列生成二進制序列灰度圖像。

2.采用局部二值模式對安卓軟件灰度圖像進行紋理特征提取。本發明基于生成的安卓軟件二進制序列灰度圖像，采用局部二值模式提取該灰度圖像的紋理特征，形成紋理特征向量。

3.采用主成分分析技術對紋理特征向量進行降維。由于本發明提取的安卓灰度圖像的紋理特征向量維度較大，為了在降低維度的同時不失檢測精度和速度，本發明采用主成分分析方法降維。