[發明專利]基于SVM的Android移動網絡終端惡意代碼的動靜結合檢測方法在審
| 申請號: | 201910959635.7 | 申請日: | 2019-10-10 |
| 公開(公告)號: | CN110795732A | 公開(公告)日: | 2020-02-14 |
| 發明(設計)人: | 顧晶晶;莊毅;喬塨哲 | 申請(專利權)人: | 南京航空航天大學 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06K9/62 |
| 代理公司: | 32203 南京理工大學專利中心 | 代理人: | 馬魯晉 |
| 地址: | 210000*** | 國省代碼: | 江蘇;32 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 惡意軟件 特征向量 樣本 構建 支持向量機分類器 隨機森林分類器 訓練樣本數據 待測軟件 靜態特征 向量 動態行為特征 惡意行為檢測 移動網絡終端 標記字段 動靜結合 動態特征 惡意代碼 家族分類 類別標記 檢測 字段 | ||
1.基于SVM的Android移動網絡終端惡意代碼的動靜結合檢測方法,其特征在于,包括以下步驟:
步驟1、獲取Android移動智能終端嵌入式惡意軟件樣本,并標記各樣本所屬的Android惡意軟件家族,然后獲取非惡意軟件樣本,從而構建包含惡意軟件和非惡意軟件的訓練樣本數據集;
步驟2、使用反編譯工具處理Android軟件樣本,構建軟件的靜態特征向量;
步驟3、創建Android虛擬設備,使用Android軟件動態分析工具,構建軟件的動態特征向量;
步驟4、獲取訓練樣本數據集中每個樣本的靜態特征與動態行為特征,構建每個軟件樣本的特征向量;
步驟5、對所有軟件樣本的特征向量增加惡意軟件標記字段,指明該樣本是否為惡意軟件,利用帶惡意軟件標記字段的特征向量訓練支持向量機分類器;
步驟6、對惡意軟件樣本的特征向量增加惡意軟件類別標記字段,指明該樣本所屬的Android惡意軟件家族,利用帶惡意軟件類別標記字段的特征向量訓練隨機森林分類器;
步驟7、提取待測軟件的靜態特征向量和動態特征向量,構建待測軟件的特征向量;
步驟8、利用支持向量機分類器進行惡意軟件檢;若檢測為惡意的軟件,則進一步利用隨機森林分類器判斷其所屬的惡意軟件家族。
2.根據權利要求1所述的Android移動網絡終端惡意代碼的動靜結合檢測方法,其特征在于,步驟2中,使用APKParser處理Android軟件樣本,解析AndroidManifest.xml文件,根據xml中的標記字段,提取軟件申請的權限列表、聲明的組件以及軟件監控的系統事件,構建軟件靜態特征向量Fstatic,將其表示為下列三元組:
Fstatic=<Per,Cpt,Act>
其中,Per為軟件申請的所有權限的集合,Cpt為軟件聲明的所有組件集合,Act為軟件監聽的所有事件集合。
3.根據權利要求1所述的Android移動網絡終端惡意代碼的動靜結合檢測方法,其特征在于,步驟3中,使用Android SDK工具創建Android虛擬設備,使用DroidBox作為Android軟件動態分析工具,通過構建的MonkeyRunner腳本安裝待檢測的軟件,模擬用戶交互行為并仿真系統事件,收集監控到的軟件動態行為,構建軟件的動態特征;
其中仿真系統事件使用adb shell命令實現,關注的系統事件為Android惡意軟件通常監聽的10種系統事件,包括:收到基于數據的短信、收到基于文本的短信、系統啟動完成、有電話呼入、有電話呼出、手機電量低、時區發生改變、電話狀態改變、信號強度改變和關機;
構建的軟件動態特征Fdynamic為:
Fdynamic=<DCL,SS,RN,FRW,ON,CN,SN,DL-N,DL-F,DL-S,SSMS,PC,CU>
其中,DCL為動態加載,SS為啟動服務,RN為接收網絡數據,FRW為文件讀寫,ON為開啟網絡連接,CN為關閉網絡連接,SN為發送網絡數據,DL-N為數據泄露(通過網絡),DL-F為數據泄露(通過文件),DL-S為數據泄露(通過短信),SSMS為發送短信,PC為打電話,CU加密算法使用。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于南京航空航天大學,未經南京航空航天大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910959635.7/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種頁面檢測方法及裝置
- 下一篇:管理主機中文件方法和裝置
