本發明公開了一種基于行為特征的安卓惡意應用分類方法及系統，方法包括：對輸入的安卓應用樣本進行反編譯，得到反編譯后的源文件；對反編譯后的源文件進行語法分析和特征提取，得到安卓惡意應用的靜態特征和行為特征；根據得到的靜態特征和行為特征采用支持向量機分類器對待分類安卓應用進行分類，以將待分類安卓應用劃分為安卓惡意應用或安卓非惡意應用。系統包括反編譯模塊、語法分析和特征提取模塊以及分類模塊。本發明引入了具有語義的行為特征，綜合應用了靜態分析法、語義分析法和支持向量機分類方法進行安卓惡意應用分類，不僅降低了安卓惡意應用分類的時間和效率，而且提升了安卓惡意應用分類的準確率。本發明可廣泛應用于數據挖掘領域。

技術領域

本發明涉及數據挖掘領域，尤其是一種基于行為特征的安卓惡意應用分類方法及系統。

背景技術

近年來，隨著移動端硬件設備和軟件的快速發展，手機平臺快速地在人們的生活中普及起來。移動互聯網的快速發展導致了智能手機的數量急劇增加，移動手機的用戶數量、Android應用層次、市場規模等均展現了爆發性的增長趨勢。手機及ipad等移動網民規模的快速增長促進了市場發展。據國內權威第三方咨詢平臺艾瑞咨詢統計，2012年中國整體網民的規模有5.6個億，移動終端的網民規模有4.2億，移動手機的網民滲透率接近74％。移動互聯網的網民規模的飛速增長為移動互聯網的發展奠定了堅實的用戶基石。在受到Android平臺上低端智能手機的推動后，很多人在去年將手機從低端的功能機換成了廉價的智能機。據中國互聯網絡信息中心的數據顯示，截至去年12月底，國內智能終端的出貨量達到了2.24億。并且，去年中國移動互聯網市場的市場規模接近549.7億。

受到智能手機和移動互聯網網民規模快速增長的推動，移動互聯網仍然繼續保持著較快的發展速度。但作為移動互聯網業務基石的智能手機卻面臨著很多安全威脅，智能手機的隱私及安全問題也越來越明顯，如垃圾消息訂購、自動撥打扣費電話、未經允許連接惡意網站等造成手機用戶的經濟損失、手機木馬應用控制用戶的手機設備和盜取銀行卡等等。隨著移動終端快速融入人們的日常生活，人們的生活和移動終端變得緊密相連，這也導致Android平臺的惡意應用日益猖獗。如何區分惡意和非惡意應用也變得非常重要，并且具有比較大的挑戰性。如何結合大數據分析技術，應對當前大量Android平臺應用和變化多樣的攻擊手段，構建出輕量級、高效的惡意應用分類器，具有非常重要的意義。

對Android平臺的惡意檢測，一般有2種思路：一種是靜態分析，一種是動態分析。

靜態分析是指，通過還原Android應用以對源代碼進行語義分析。與Java程序的運行原理相似，Android使用Dalvik Virtual Machine虛擬機運行所有平臺應用和系統應用，其架構如圖1所示。靜態分析的對象有三種，按照圖1由上往下分別是Android平臺的Java程序本身，Dalvik Virtual Machine自身的虛擬機指令Smali和Linux Kernel層與驅動相接的匯編層代碼。對于這三種分析對象的選擇，涉及兩個要素：一個是代碼的完整性，另一個是代碼的語義是否豐富。最上層的Java程序雖然具有最豐富的語義，但是對于應用反編譯成的Java源代碼完整性較低。而最底層的匯編代碼，雖然能得到比較完整的程序代碼，但是由于匯編程序的語義缺失比較大，只能通過模式識別算法對程序塊進行挖掘。

動態分析則通過對Linux kernel或者Android Runtime進行修改，在設備底層對惡意行為或者特征進行收集。隨著設備的快速發展，動態分析代碼規模的上升，程序覆蓋率和時間消耗之間的矛盾會更加凸顯。以阿努比斯Anubis為例，其能夠粗粒度地確保程序覆蓋率，但是時間消耗卻非常嚴重。這對于大量以APP為目標的需求來說，可行性相對比較低。同時，隨著惡意類型的增長，檢查點的增加，同樣會增加動態分析時間的消耗。

綜上所述，如何在保證惡意應用分類正確率的同時最大限度地降低分類的時間就成了業內亟待解決的技術難題。

發明內容