本發(fā)明公開了一種基于虛擬化的安卓惡意程序檢測方法，首先，確定敏感應(yīng)用程序接口的范圍，建立數(shù)據(jù)收集框架，設(shè)計基于虛擬平臺的插件，記錄應(yīng)用程序使用敏感應(yīng)用程序接口的情況；其次，在虛擬運行框架下運行正常程序與已知的惡意程序；再次，利用一種集成學習方法建立識別模型；最后，用戶在使用應(yīng)用程序時，將程序安裝在虛擬運行框架上，在程序運行一段時間后，給出應(yīng)用程序的安全指數(shù)。本發(fā)明可以使普通用戶在無風險的情況下檢驗應(yīng)用程序是否為惡意程序，提高了惡意程序檢測率，降低了誤報率。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其是一種基于虛擬化的安卓惡意程序檢測方法。

背景技術(shù)

當前常見的惡意程序檢測方法有靜態(tài)檢測和動態(tài)檢測。

靜態(tài)檢測主要是通過反編譯或反匯編技術(shù)，將應(yīng)用逆向還原為字節(jié)碼或其他人工可 讀代碼，對其進行掃描，根據(jù)安卓系統(tǒng)權(quán)限特征、安卓代碼特征以及其它靜態(tài)特征，檢查出惡意代碼，實現(xiàn)對應(yīng)用程序的安全檢測。傳統(tǒng)的靜態(tài)檢測方法主要采用基于簽名的 檢測方案，無法檢測未知的惡意軟件，而且，基于單一簽名的檢測方法容易被加保護殼、 代碼混淆與加密等技術(shù)所規(guī)避。

動態(tài)檢測通過監(jiān)控應(yīng)用程序在沙盒、虛擬機等執(zhí)行過程，獲取應(yīng)用程序在運行過程 中的各種行為，包括調(diào)用的系統(tǒng)API以及網(wǎng)絡(luò)訪問等。這類方法目前一般應(yīng)用在通用計算機上，如臺式機、筆記本電腦，各大應(yīng)用程序市場均采用此方法。但該方法難以應(yīng)用 到嵌入式系統(tǒng)上，如智能手機。當用戶安裝未知來源的應(yīng)用程序時，無法在本地檢測出 程序是否為惡意程序。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題在于，提供一種基于虛擬化的安卓惡意程序檢測方法， 普通用戶能夠在使用應(yīng)用程序的同時無風險檢測出該程序的安全性。

為解決上述技術(shù)問題，本發(fā)明提供一種基于虛擬化的安卓惡意程序檢測方法，包括 如下步驟：

(1)確定敏感應(yīng)用程序接口API的范圍，建立數(shù)據(jù)收集框架，在虛擬平臺上編寫 插件收集敏感API調(diào)用情況；

(2)采集來源于公開、正規(guī)應(yīng)用市場的應(yīng)用作為正樣本，采集公開已知的惡意軟件為負樣本，在數(shù)據(jù)收集框架下運行正負樣本，記錄敏感API調(diào)用情況作為正負樣本；

(3)訓練分配模型，樣本的屬性分為三類，分別為每兩個敏感API的組合、長度 為3的敏感API序列以及敏感API的調(diào)用頻率，每類屬性建立一個分類器，共計3個分 類器，最終訓練每個分類器的投票權(quán)重，采用加權(quán)求合的方式判斷應(yīng)用程序是否為惡意 程序。

(4)在線檢測和分類器調(diào)整，用戶在虛擬框架運行程序，監(jiān)聽應(yīng)用程序的運行并給出安全指數(shù)，收集到用戶的反饋后會進一步調(diào)整分類器。

優(yōu)選的，步驟(1)中，確定敏感應(yīng)用程序接口API的范圍，建立數(shù)據(jù)收集框架， 在虛擬平臺上編寫插件收集敏感API調(diào)用情況包括以下步驟：

(11)確定敏感API范圍時的原則是該API能夠影響到用戶的隱私安全；

(12)建立的數(shù)據(jù)收集框架能夠在智能終端上運行，并且不需要root。

優(yōu)選的，步驟(2)所述的公開、正規(guī)應(yīng)用市場包括百度應(yīng)用市場、華為應(yīng)用市場，所述公開已知的惡意軟件為看雪安全論壇、吾愛破解論壇所公開的惡意軟件。

優(yōu)選的，步驟(3)具體包括以下步驟：

(31)以每兩個敏感API的組合作為屬性時，屬性個數(shù)為(API個數(shù))*(API個 數(shù)-1)/2，以決策樹模型建立分類器；

(32)以長度為3的敏感API序列作為屬性時，屬性個數(shù)為(API個數(shù))的三次方， 以支持向量機作為分類器；

(33)以敏感API的調(diào)用頻率為屬性時，屬性個數(shù)等于API個數(shù)，以樸素貝葉斯分 類器為分類器；