本發明請求保護一種Android惡意軟件檢測的方法、系統及介質，本發明引入智能代理模型的概念來動態認定應用程序。該方法首先提取Android系統清單文件存在的風險屬性，通過詞頻計算轉化為數值，再由等距分箱處理將數值劃分為三類集合X_LR、X_HR和X_MR，進而確定樣本集類型并加入到模型中，其次對提取的權限屬性，API屬性等根據不同類別采用并行化的特征選擇和特征融合方式，使得最大程度地去除相關性和冗余性屬性，最后對處理后的特征集進行歸一化處理，構建支持向量機分類器。本發明的優點在于，根據分類結果對智能代理模型進行動態調整，進而提高了檢測過程中的可識別性，并通過對特征的分類處理，更加有效的利用了特征數據，提高了分類模型的準確性。

技術領域

本發明屬于通信領域軟件檢測方法，尤其涉及一種針對安卓惡意軟件的檢測方法。

背景技術

以谷歌公司為首的OHA(Open Handset Alliance)在2008年推出了基于Linux平臺的開源的Android操作系統，帶動了整個手機行業。由于功能的豐富多樣、交互便捷等眾多優勢，智能手機的發展越來越迅速，已經成為我們日常生活中不可或缺的一部分，隨之Android應用程序數量也相繼在各大平臺上迅速增長，由此Android平臺上的安全問題就成了我們關注的焦點。智能手機中收集、存儲的一些個人數據就屬于高度隱私和敏感的，Android使用信息系統來控制應用程序訪問敏感數據和數據存儲等，為了確保安全性和隱私性，Android系統使用多重的安全模型來對敏感數據進行訪問。Android系統一直以來是一個縱向的結構，在整個系統中，聚焦于程序的設計、安裝以及運行。進而展望整個Android系統的安全發展，總體在惡意程序的檢測上，取得了相當多的成績，但很多新的惡意應用程序還不能很好的應對。所以從用戶角度上來看，Android系統并沒有變得更加安全，惡意應用程序的檢測是還處于發展階段。

靜態檢測方法的檢測技術是程序在不運行的情況下，分析程序指令與結構來確定功能的過程，通過對程序進行反編譯以及各種逆向工具，對其中的權限、敏感函數調用等進行詳細分析，了解該應用程序的意圖。

通過對Android應用程序進行反編譯等處理，能夠知道里面存在大量的屬性，屬性的個數越多，分析屬性和分類模型所需要的時間就越長，而其中維度過高容易引起模型復雜，導致分類效果下降，對于分類模型來說，可能會因為樣本中的特征屬性微小的變化，產生巨大的波動，能剔除冗余的、不相關的、一部分弱相關的屬性，就能減少訓練時間，提高模型精確度，所以從中找到有效的特征就尤為重要，通過對特征的改進，就能識別問題區域，改進數據而不是直接刪除數據，使得經過特征選擇后的屬性能更好的反應出潛在的問題，而現有的靜態檢測技術對屬性的篩選存在很大的偏差，忽略了Android應用程序本身存在的風險屬性和惡意的性質是代碼導致的。若缺乏對Android應用程序本身存在的屬性分析，則會影響檢測模型對Android應用軟件的鑒別效率和精確度。

發明內容

本發明旨在解決以上現有技術的問題。提出了一種更加有效的利用了特征數據，提高了支持向量機檢測模型的準確性的android惡意軟件的靜態檢測方法。

本發明的技術方案如下：

一種android惡意軟件的靜態檢測方法，其包括以下步驟：

步驟1、對獲取的Android應用程序進行逆向得到數據集，再對數據集進行樣本分析，提取數據集中明顯存在風險的數據；

步驟2、提取AndroidManifest文件中的exported屬性值、debuggable屬性值和allowBackup屬性值，采用基于詞頻算法對屬性值進行計算；

步驟3、提取AndroidManifest文件中的權限屬性和smali文件中的API屬性，采用相關性計算方法，首先去除與類別不相關的屬性，然后對采用余弦相似度和杰卡德系數對各類別屬性進行分別處理并去取出共同屬性，最后融合各類別特征，得到融合后的特征集；