一種安卓系統(tǒng)惡意應(yīng)用檢測(cè)方法及系統(tǒng)技術(shù)方案

本發(fā)明專(zhuān)利技術(shù)公開(kāi)了一種安卓系統(tǒng)惡意應(yīng)用檢測(cè)方法及系統(tǒng)，包括：通過(guò)逆向工程反編譯應(yīng)用程序得到權(quán)限特征；通過(guò)動(dòng)態(tài)行為采集和定義的行為鏈模型匹配得到行為特征。將大量的權(quán)限特征和行為特征組合生成特征數(shù)據(jù)樣本集；機(jī)器學(xué)習(xí)算法利用特征數(shù)據(jù)樣本集生成分類(lèi)器；將未知應(yīng)用程序的特征輸入分類(lèi)器，得出未知應(yīng)用是否為惡意應(yīng)用的結(jié)論。本發(fā)明專(zhuān)利技術(shù)提出基于逆向工程和動(dòng)態(tài)行為采集的行為鏈模型，然后通過(guò)機(jī)器學(xué)習(xí)算法對(duì)未知應(yīng)用的進(jìn)行檢測(cè)，從而實(shí)現(xiàn)對(duì)惡意應(yīng)用的有效識(shí)別，準(zhǔn)確率高，可見(jiàn)本發(fā)明專(zhuān)利技術(shù)提供的檢測(cè)方法及系統(tǒng)效率高且不需要修改系統(tǒng)源代碼可用性好。

Malicious application detection method and system for Android system

The invention discloses a Android system and a malicious application system, the method includes: through reverse engineering anti compile the application permission through behavior characteristics; chain model dynamic behavior of acquisition and definition of matching behavior. The combination of characteristics of authority characteristics and behavior of a large number of samples generated feature data sets; machine learning algorithm using feature data set for generating classifier; feature classifier input unknown applications, the unknown application whether the malicious application conclusion. The invention proposes behavior chain model of reverse engineering and dynamic behavior acquisition based on machine learning algorithm, and then through the application of the detection of the unknown, so as to effectively identify malicious applications, high accuracy, the invention provides the detecting method and system of high efficiency and no need to modify the source code of the system availability.

【技術(shù)實(shí)現(xiàn)步驟摘要】
一種安卓系統(tǒng)惡意應(yīng)用檢測(cè)方法及系統(tǒng)
本專(zhuān)利技術(shù)涉及移動(dòng)互聯(lián)網(wǎng)信息安全領(lǐng)域，特別是指一種安卓系統(tǒng)惡意應(yīng)用檢測(cè)方法及系統(tǒng)。
技術(shù)介紹
隨著智能手機(jī)的快速普及，人們進(jìn)入了移動(dòng)互聯(lián)網(wǎng)的時(shí)代。基于應(yīng)用商店的發(fā)布模式成為移動(dòng)應(yīng)用的重要模式，移動(dòng)應(yīng)用產(chǎn)業(yè)得到了快速的增長(zhǎng)。由于移動(dòng)應(yīng)用可從移動(dòng)終端獲得大量的敏感信息，且其本身能通過(guò)移動(dòng)市場(chǎng)及廣告商產(chǎn)生高利潤(rùn)，移動(dòng)應(yīng)用頻頻遭到了黑客的攻擊，移動(dòng)應(yīng)用安全事件頻發(fā)。魚(yú)龍混雜的第三方應(yīng)用市場(chǎng)，海量的移動(dòng)應(yīng)用缺乏集中有效的安全審查等，都導(dǎo)致大量的惡意移動(dòng)應(yīng)用被發(fā)布在移動(dòng)應(yīng)用市場(chǎng)。如何從海量的移動(dòng)應(yīng)用中精確地識(shí)別出可能會(huì)給移動(dòng)終端帶來(lái)安全隱患的惡意應(yīng)用，成為移動(dòng)應(yīng)用安全研究的重要問(wèn)題之一。現(xiàn)階段惡意應(yīng)用檢測(cè)的主要手段可以分為靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)。靜態(tài)檢測(cè)方法：FlowDroid通過(guò)分析目標(biāo)程序字節(jié)碼文件和組件的生命周期，可以實(shí)現(xiàn)靜態(tài)的污點(diǎn)分析，并生成函數(shù)調(diào)用圖。TaintDroid提出了系統(tǒng)級(jí)的動(dòng)態(tài)污點(diǎn)分析工具，通過(guò)標(biāo)記敏感信息，實(shí)現(xiàn)對(duì)隱私數(shù)據(jù)的信息流實(shí)時(shí)監(jiān)控；但是靜態(tài)檢測(cè)方法需要不斷的更新惡意應(yīng)用的特征庫(kù)，且僅能識(shí)別已知的惡意應(yīng)用程序。動(dòng)態(tài)檢測(cè)方法：Kynoid在TaintDroid的基礎(chǔ)上，可以實(shí)現(xiàn)對(duì)應(yīng)用與數(shù)據(jù)之間的信息流的動(dòng)態(tài)檢測(cè)，提供實(shí)時(shí)的監(jiān)控，防止隱私的泄露；基于TaintDroid動(dòng)態(tài)檢測(cè)方法需要修改安卓操作系統(tǒng)源代碼，導(dǎo)致該方法難以推廣應(yīng)用。
技術(shù)實(shí)現(xiàn)思路
有鑒于此，本專(zhuān)利技術(shù)的目的在于提出一種高效率、低開(kāi)銷(xiāo)且不需要修改安卓系統(tǒng)源代碼的安卓系統(tǒng)惡意應(yīng)用檢測(cè)方法及系統(tǒng)。基于上述目的本專(zhuān)利技術(shù)提供的安卓系統(tǒng)惡意應(yīng)用檢測(cè)方法，包括：通過(guò)逆向工程反編譯應(yīng)用程序的安裝文件，得到權(quán)限特征；通過(guò)動(dòng)態(tài)行為捕獲技術(shù)得到所述應(yīng)用程序的行為記錄，將所述行為記錄與定義的行為鏈模型進(jìn)行匹配得到行為特征；將行為特征與所述權(quán)限特征組合成最終特征；將多個(gè)已知應(yīng)用程序的最終特征生成特征數(shù)據(jù)樣本集，機(jī)器學(xué)習(xí)算法利用所述特征數(shù)據(jù)樣本集生成分類(lèi)器；將得到未知應(yīng)用程序的最終特征輸入生成的分類(lèi)器，得出所述未知應(yīng)用是否為惡意應(yīng)用的結(jié)論。進(jìn)一步的，所述將多個(gè)已知應(yīng)用程序的最終特征生成特征數(shù)據(jù)樣本集，機(jī)器學(xué)習(xí)算法利用所述特征數(shù)據(jù)樣本集化生成分類(lèi)器的方法包括：將多個(gè)已知正常應(yīng)用程序和惡意應(yīng)用程序的最終特征生成特征數(shù)據(jù)樣本集；將所述特征數(shù)據(jù)樣本集化分為特征訓(xùn)練樣本集和特征測(cè)試樣本集；所述機(jī)器學(xué)習(xí)算法利用所述特征訓(xùn)練樣本集生成分類(lèi)器，所述特征測(cè)試樣本集測(cè)試評(píng)估生成的分類(lèi)器。進(jìn)一步的，所述通過(guò)逆向工程反編譯應(yīng)用程序的安裝文件，得到權(quán)限特征的方法包括：使用反編譯工具對(duì)所述應(yīng)用程序的安裝文件進(jìn)行反編譯，得到所述權(quán)限特征；定義權(quán)限特征向量P＝(μ1,μ2…μi…μk)，其中，k表示安卓操作系統(tǒng)中系統(tǒng)權(quán)限的總個(gè)數(shù)，μi表示該應(yīng)用是否申請(qǐng)了第i個(gè)權(quán)限，i＜1，μi∈{0,1}，0表示沒(méi)有申請(qǐng)權(quán)限，1表示申請(qǐng)了權(quán)限。進(jìn)一步的，所述將所述行為記錄與定義的行為鏈模型進(jìn)行匹配得到行為特征的方法包括：將得到的所述行為記錄與定義的所述行為鏈模型做匹配，可以得到每一個(gè)行為鏈的觸發(fā)次數(shù)；將所有行為鏈的觸發(fā)次數(shù)做歸一化處理，可以得到行為特征向量S＝(σ1,σ2…σi…σm)，其中，m表示行為鏈模型的總個(gè)數(shù)，σi表示第i個(gè)行為鏈模型的每千條行為記錄中的觸發(fā)次數(shù)，所示將行為特征與所述權(quán)限特征組合成最終特征包括：將權(quán)限特征向量P與行為特征向量S組合成一個(gè)最終的特征向量F：F＝(μ1,μ2…μi…μk，σ1,σ2…σi…σm)。進(jìn)一步的，所述通過(guò)動(dòng)態(tài)行為捕獲技術(shù)得到所述應(yīng)用程序的行為記錄的方法包括：將本地動(dòng)態(tài)庫(kù)文件注入到目標(biāo)應(yīng)用程序的進(jìn)程空間內(nèi)；加載所述本地動(dòng)態(tài)庫(kù)；修改Java層API(ApplicationProgrammingInterface,應(yīng)用程序編程接口)在Dalvik虛擬機(jī)實(shí)例中的對(duì)應(yīng)的Method結(jié)構(gòu)體；通過(guò)動(dòng)態(tài)綁定，攔截API(ApplicationProgrammingInterface應(yīng)用程序編程接口)調(diào)用，即獲取所述應(yīng)用程序的行為記錄。另一方面本專(zhuān)利技術(shù)還提供安卓系統(tǒng)惡意應(yīng)用檢測(cè)系統(tǒng)，包括：獲取權(quán)限特征單元，用于通過(guò)逆向工程反編譯應(yīng)用程序的安裝文件，得到權(quán)限特征；獲取行為特征單元，用于通過(guò)動(dòng)態(tài)行為捕獲技術(shù)得到所述應(yīng)用程序的行為記錄，將所述行為記錄與定義的行為鏈模型進(jìn)行匹配得到行為特征；生成最終特征單元，用于將匹配的行為特征與所述權(quán)限特征組合成最終特征；生成分類(lèi)器單元，用于將多個(gè)已知正常應(yīng)用程序和惡意應(yīng)用程序的最終特征生成特征數(shù)據(jù)樣本集，將所述特征數(shù)據(jù)樣本集化分為特征訓(xùn)練樣本集和特征測(cè)試樣本集，機(jī)器學(xué)習(xí)算法利用所述特征訓(xùn)練樣本數(shù)據(jù)集生成分類(lèi)器，所述特征測(cè)試樣本集用于測(cè)試評(píng)估生成的分類(lèi)器；檢測(cè)單元，用于將未知應(yīng)用程序的最終特征輸入生成的分類(lèi)器，檢測(cè)所述未知應(yīng)用是否為惡意應(yīng)用。進(jìn)一步的，所述生成分類(lèi)器單元包括：生成特征數(shù)據(jù)樣本集模塊，用于將多個(gè)已知正常應(yīng)用程序和惡意應(yīng)用程序的最終特征生成特征數(shù)據(jù)樣本集；劃分樣本集模塊，用于將所述特征數(shù)據(jù)樣本集化分為特征訓(xùn)練樣本集和特征測(cè)試樣本集；訓(xùn)練分類(lèi)器模塊，用于所述機(jī)器學(xué)習(xí)算法利用所述特征訓(xùn)練樣本集生成分類(lèi)器，所述特征測(cè)試樣本集用于測(cè)試評(píng)估生成的分類(lèi)器。所述獲取權(quán)限特征單元，進(jìn)一步用于使用反編譯工具對(duì)所述應(yīng)用程序的安裝文件進(jìn)行反編譯；以及用于得到所述權(quán)限特征后，定義權(quán)限特征向量P＝(μ1,μ2…μi…μk)，其中，k表示安卓操作系統(tǒng)中系統(tǒng)權(quán)限的總個(gè)數(shù)，μi表示該應(yīng)用是否申請(qǐng)了第i個(gè)權(quán)限，i＜1，μi∈{0,1}，0表示沒(méi)有申請(qǐng)權(quán)限，1表示申請(qǐng)了權(quán)限。進(jìn)一步的，所述獲取行為特征單元，進(jìn)一步用于將得到的所述行為記錄與定義的所述行為鏈模型做匹配，可以得到每一個(gè)行為鏈的觸發(fā)次數(shù)；以及用于將所有行為鏈的觸發(fā)次數(shù)做歸一化處理，可以得到行為特征向量S＝(σ1,σ2…σi…σm)，其中，m表示行為鏈模型的總個(gè)數(shù)，σi表示第i個(gè)行為鏈模型的每千條行為記錄中的觸發(fā)次數(shù)，所述生成最終特征單元，進(jìn)一步用于將權(quán)限特征向量P與行為特征向量S組合成一個(gè)最終的特征向量F：F＝(μ1,μ2…μi…μk，σ1,σ2…σi…σm)。進(jìn)一步的，所述獲取行為特征單元包括：獲取行為記錄模塊，用于將本地動(dòng)態(tài)庫(kù)文件注入到目標(biāo)應(yīng)用程序的進(jìn)程空間內(nèi)；進(jìn)一步用于加載所述本地動(dòng)態(tài)庫(kù)；修改Java層API在Dalvik虛擬機(jī)實(shí)例中的對(duì)應(yīng)的Method結(jié)構(gòu)體；以及用于通過(guò)動(dòng)態(tài)綁定，攔截API調(diào)用，即獲取所述應(yīng)用程序的行為記錄。從上面可以看出本專(zhuān)利技術(shù)提供的安卓系統(tǒng)惡意應(yīng)用檢測(cè)方法通過(guò)提出基于逆向工程和動(dòng)態(tài)行為采集的行為鏈模型，從移動(dòng)應(yīng)用中獲得數(shù)據(jù)；通過(guò)機(jī)器學(xué)習(xí)算法對(duì)未知應(yīng)用的進(jìn)行檢測(cè)，從而實(shí)現(xiàn)對(duì)惡意應(yīng)用的有效識(shí)別，準(zhǔn)確率較高，彌補(bǔ)了傳統(tǒng)靜態(tài)檢測(cè)方法難以檢測(cè)未知應(yīng)用的不足；且本專(zhuān)利技術(shù)提供的安卓系統(tǒng)惡意應(yīng)用檢測(cè)方法不需要修改安卓系統(tǒng)源代碼，克服了動(dòng)態(tài)檢測(cè)方法需要修改安卓操作系統(tǒng)源代碼的缺陷，可用性好，并且本方法通過(guò)云端檢測(cè)有效降低移動(dòng)終端性能開(kāi)銷(xiāo)。附圖說(shuō)明圖1為本專(zhuān)利技術(shù)提供的安卓系統(tǒng)惡意應(yīng)用檢測(cè)方法的一個(gè)實(shí)施例流程圖；圖2為本專(zhuān)利技術(shù)提供的安卓系統(tǒng)惡意應(yīng)用檢測(cè)方法的另一個(gè)實(shí)施例流程圖；圖3為本專(zhuān)利技術(shù)提供的安卓系統(tǒng)惡意應(yīng)用檢測(cè)系統(tǒng)的一個(gè)實(shí)施例示意圖。具體實(shí)施方式為使本專(zhuān)利技術(shù)的目的、技術(shù)方案和本文檔來(lái)自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種安卓系統(tǒng)惡意應(yīng)用檢測(cè)方法，其特征在于，包括：通過(guò)逆向工程反編譯應(yīng)用程序的安裝文件，得到權(quán)限特征；通過(guò)動(dòng)態(tài)行為捕獲技術(shù)得到所述應(yīng)用程序的行為記錄，將所述行為記錄與定義的行為鏈模型進(jìn)行匹配得到行為特征；將行為特征與所述權(quán)限特征組合成最終特征；將多個(gè)已知應(yīng)用程序的最終特征生成特征數(shù)據(jù)樣本集，機(jī)器學(xué)習(xí)算法利用所述特征數(shù)據(jù)樣本集生成分類(lèi)器；將得到未知應(yīng)用程序的最終特征輸入生成的分類(lèi)器，得到所述未知應(yīng)用是否為惡意應(yīng)用的結(jié)論。

【技術(shù)特征摘要】
1.一種安卓系統(tǒng)惡意應(yīng)用檢測(cè)方法，其特征在于，包括：通過(guò)逆向工程反編譯應(yīng)用程序的安裝文件，得到權(quán)限特征；通過(guò)動(dòng)態(tài)行為捕獲技術(shù)得到所述應(yīng)用程序的行為記錄，將所述行為記錄與定義的行為鏈模型進(jìn)行匹配得到行為特征；將行為特征與所述權(quán)限特征組合成最終特征；將多個(gè)已知應(yīng)用程序的最終特征生成特征數(shù)據(jù)樣本集，機(jī)器學(xué)習(xí)算法利用所述特征數(shù)據(jù)樣本集生成分類(lèi)器；將得到未知應(yīng)用程序的最終特征輸入生成的分類(lèi)器，得到所述未知應(yīng)用是否為惡意應(yīng)用的結(jié)論。2.根據(jù)權(quán)利要求1所述的安卓系統(tǒng)惡意應(yīng)用檢測(cè)方法，其特征在于，所述將多個(gè)已知應(yīng)用程序的最終特征生成特征數(shù)據(jù)樣本集，機(jī)器學(xué)習(xí)算法利用所述特征數(shù)據(jù)樣本集生成分類(lèi)器的方法包括：將多個(gè)已知正常應(yīng)用程序和惡意應(yīng)用程序的最終特征生成特征數(shù)據(jù)樣本集；將所述特征數(shù)據(jù)樣本集化分為特征訓(xùn)練樣本集和特征測(cè)試樣本集；所述機(jī)器學(xué)習(xí)算法利用所述特征訓(xùn)練樣本集生成分類(lèi)器，所述特征測(cè)試樣本集用于測(cè)試評(píng)估生成的分類(lèi)器。3.根據(jù)權(quán)利要求2所述的安卓系統(tǒng)惡意應(yīng)用檢測(cè)方法，其特征在于，所述通過(guò)逆向工程反編譯應(yīng)用程序的安裝文件，得到權(quán)限特征的方法包括：使用反編譯工具對(duì)所述應(yīng)用程序的安裝文件進(jìn)行反編譯；得到所述權(quán)限特征，定義權(quán)限特征向量P＝(μ1,μ2…μi…μk)，其中，k表示安卓操作系統(tǒng)中系統(tǒng)權(quán)限的總個(gè)數(shù)，μi表示該應(yīng)用是否申請(qǐng)了第i個(gè)權(quán)限，i＜1，μi∈{0,1}，0表示沒(méi)有申請(qǐng)權(quán)限，1表示申請(qǐng)了權(quán)限。4.根據(jù)權(quán)利要求3所述的安卓系統(tǒng)惡意應(yīng)用檢測(cè)方法，其特征在于，所述將所述行為記錄與定義的行為鏈模型進(jìn)行匹配得到行為特征的方法包括：將得到的所述行為記錄與定義的所述行為鏈模型做匹配，可以得到每一個(gè)行為鏈的觸發(fā)次數(shù)；將所有行為鏈的觸發(fā)次數(shù)做歸一化處理，可以得到行為特征向量S＝(σ1,σ2…σi…σm)，其中，m表示行為鏈模型的總個(gè)數(shù)，σi表示第i個(gè)行為鏈模型的每千條行為記錄中的觸發(fā)次數(shù)，所示將行為特征與所述權(quán)限特征組合成最終特征包括：將權(quán)限特征向量P與行為特征向量S組合成一個(gè)最終的特征向量F：F＝(μ1,μ2…μi…μk，σ1,σ2…σi…σm)。5.根據(jù)權(quán)利要求1-4任意一項(xiàng)所述的安卓系統(tǒng)惡意應(yīng)用檢測(cè)方法，其特征在于，所述通過(guò)動(dòng)態(tài)行為捕獲技術(shù)得到所述應(yīng)用程序的行為記錄的方法包括：將本地動(dòng)態(tài)庫(kù)文件注入到目標(biāo)應(yīng)用程序的進(jìn)程空間內(nèi)；加載所述本地動(dòng)態(tài)庫(kù)；修改Java層API在Dalvik虛擬機(jī)實(shí)例中的對(duì)應(yīng)的Method結(jié)構(gòu)體；通過(guò)動(dòng)態(tài)綁定，攔截API調(diào)用，即獲取所述應(yīng)用程序的行為記錄。6.一...

【專(zhuān)利技術(shù)屬性】
技術(shù)研發(fā)人員：劉元安，范文浩，桑耀輝，吳帆，張洪光，
申請(qǐng)(專(zhuān)利權(quán))人：北京郵電大學(xué)，
類(lèi)型：發(fā)明
國(guó)別省市：北京,11