本發明公開了一種對安卓惡意程序進行檢測的方法，屬于軟件安全檢測領域，解決現有基于異構信息網絡的安卓惡意程序檢測方法由于只使用一種類型特征而容易被特定類型惡意程序繞過，從而導致檢測準確率低等問題。本發明對安卓應用程序進行反編譯后獲得清單文件和smali文件；分別從清單文件和smali文件中提取出應用程序申請的權限和調用的API；構建起包含APK、API和權限三種實體類型以及它們之間五種關系類型的異構信息網絡，這五種關系分別為API與權限的映射關系、權限的同組關系、API的共現關系、APK對API的包含關系和APK對權限的包含關系；使用Metapath2vec算法基于多種元路徑對異構網絡中的APK節點進行嵌入；將基于不同元路徑獲得的APK特征矩陣作為不同的內核輸入到多核學習模型中進行訓練和分類。

技術領域

本發明屬于軟件安全檢測領域，公開了一種對安卓惡意程序進行檢測的方法，用于惡意安卓應用程序的檢測及分類。

背景技術

如今，諸如智能手機之類的移動設備已廣泛應用于我們的日常生活中。安卓系統開源的特性讓更多的開發者投身到安卓應用開發和生態建設中，同時也帶來了更多的惡意程序。安卓惡意軟件的泛濫給其龐大的用戶群體帶來不可估量的損失，不僅會造成用戶的隱私泄露和財產損失，甚至會威脅到用戶的生命安全。因此，檢測安卓惡意程序是當今網絡安全的一個種重要研究方向。

隨著機器學習算法的快速發展和硬件性能的提升，基于機器學習的安卓惡意程序檢測方法成為了熱門的研究方法。基于機器學習的安卓惡意軟件檢測方法首先需要提取特征，隨后使用特征選擇、特征降維或者特征抽象等特征分析技術對特征進行處理。經過特征工程處理后，每個應用程序會被表述為特定維度的特征向量，這也是機器學習模型的輸入信息。基于機器學習的安卓惡意軟件檢測方法的性能取決于提取的特征代表不同類型的惡意程序與良性程序之間的差異的程度。現有Android惡意軟件檢測方法使用的特征通常過于簡單，特征之間相互孤立，沒有考慮這些特征之間的豐富關系，因此限制了檢測的準確性。異構信息網絡的應用可以應對這一問題。但現有基于異構信息網絡的安卓惡意軟件檢測方法中往往只包含APK和另外一種特征實體，丟失了很多其他類型信息，而且容易被特定類型的惡意軟件繞過。

部分技術術語說明如下：

1.異構信息網絡

信息網絡是一個帶有對象類型映射函數τ：V→A和鏈接類型映射函數φ：ε→R的有向圖G＝(V，ε)，其中每個對象v∈V屬于一個特定的對象類型τ(v)∈A，每個鏈接e∈ε屬于一個特定的關系φ(e)∈R。如果對象類型滿足|A|＞1或者關系類型滿足|R|＞1時，那么該信息網絡則被稱為異構信息網絡。

2.元路徑

元路徑是在網絡模式T_G＝(A，R)的圖上的一條路徑，它的形式是定義了類型A₁和類型A_l+1間的復合關系/其中/代表關系上的復合運算。

發明內容

針對上述現有技術問題，本發明的目的在于提供一種對安卓惡意程序進行檢測的方法，用于解決現有基于異構信息網絡的安卓惡意程序檢測方法由于只使用一種類型特征而容易被特定類型惡意程序繞過，從而導致檢測準確率低等問題。

為了達到上述目的，本發明采用如下技術方案：

一種對安卓惡意程序進行檢測的方法，包括以下步驟：

步驟1：使用反編譯工具對安卓應用程序進行反編譯處理，獲得的反編譯文件，反編譯文件包括安卓清單文件和smali代碼文件；

步驟2：對于每個安卓應用程序，分別從清單文件和smali代碼文件中提取出聲明的權限和調用的API；

步驟3：提取APK、API和權限這三種實體間的五種類型的關系，用得到的實體和關系構建安卓異構信息網絡，其中APK是指安卓應用程序包；