專利名稱:一種移動(dòng)終端上的惡意應(yīng)用軟件的檢測方法
技術(shù)領(lǐng)域:
:本發(fā)明針對應(yīng)用軟件類別分布不均衡情況���,采用重復(fù)抽樣方法提高了對惡意應(yīng)用軟件的識(shí)別能力,避免用戶手機(jī)遭受惡意應(yīng)用軟件的攻擊���。屬于信息安全領(lǐng)域����。
背景技術(shù):
:手機(jī)惡意應(yīng)用軟件可能會(huì)導(dǎo)致用戶手機(jī)死機(jī)��、關(guān)機(jī)、資料被刪����、向外發(fā)送垃圾郵件、撥打電話等���,甚至還會(huì)損毀SM卡����、芯片等硬件���。隨著Android開放式操作系統(tǒng)的出現(xiàn)�����,用戶可自行安裝、添加應(yīng)用程序���,將造成該平臺(tái)惡意應(yīng)用軟件數(shù)量呈爆炸式增長�����。目前惡意應(yīng)用軟件檢測方案主要有���,基于特征代碼的檢測方案和基于行為的檢測方案���。基于特征代碼的檢測方案�����,通過抽取正?����;驉阂鈶?yīng)用軟件的代碼特征來判斷是否為惡意文件��?��;谛袨榈臋z測方案則是通過監(jiān)視正?���;驉阂鈶?yīng)用軟件的行為或獲取系統(tǒng)調(diào)用的函數(shù)序列�����,結(jié)合已知的惡意行為模式進(jìn)行匹配��,判斷是否含有惡意行為。與基于行為的檢測方案相比�,基于特征代碼的檢測方案能耗更低,風(fēng)險(xiǎn)性更小�����,對實(shí)時(shí)性要求更低���。在Android系統(tǒng)中廣泛采用基于特征代碼的檢測方案�,即靜態(tài)分析方法檢測惡意應(yīng)用軟件��。靜態(tài)分析方法需要運(yùn)用機(jī)器學(xué)習(xí)算法對訓(xùn)練樣本進(jìn)行學(xué)習(xí)����。但是由于信息安全法律約束,個(gè)人通過公開渠道獲取大規(guī)模的惡意應(yīng)用軟件樣本十分困難�,缺乏足夠的惡意應(yīng)用軟件樣本��。很多研究人員采用替代方案或者自行開發(fā)的方式來研究Android系統(tǒng)中的未知惡意應(yīng)用軟件�����。Shabtai等人利用機(jī)器學(xué)習(xí)方法對Android平臺(tái)上的游戲和工具程序進(jìn)行分類來評(píng)估對惡意程序的檢測能力�����;BoSe等人通過自行開發(fā)惡意應(yīng)用軟件(提供了 5種惡意應(yīng)用軟件)用于檢測。檢測結(jié)果的可靠性有待評(píng)估�����?����?紤]到由于收集到的正常應(yīng)用軟件比惡意應(yīng)用軟件多���,造成類別分布不均衡�����,當(dāng)采用機(jī)器學(xué)習(xí)方法��,使得分類器性能的大幅度下降�����,表現(xiàn)為小類別樣本的識(shí)別率遠(yuǎn)低于大類別���。而在實(shí)際的應(yīng)用中��,人們往往關(guān)注的是少數(shù)類的樣本是否被正確識(shí)別�,因此在該應(yīng)用環(huán)境中���,類別分布不均衡問題成為一個(gè)必須要考慮的問題
發(fā)明內(nèi)容
:本發(fā)明的目的在于盡量避免由于數(shù)據(jù)集不均衡造成的分類器性能下降的問題���,提供一種在盡量不降低分類精度的前提下,有效地檢測未知惡意應(yīng)用軟件的方法�����。在給出具體步驟之前�����,先給出相關(guān)定義:定義1:數(shù)據(jù)集分布不均衡是指正常訓(xùn)練樣本集中的樣本數(shù)量要多于惡意訓(xùn)練樣本集中的樣本����,至少為惡意訓(xùn)練樣本數(shù)量的10倍;定義2:數(shù)據(jù)集比例是指正常訓(xùn)練樣本集與惡意訓(xùn)練樣本集中的樣本的數(shù)量之比��;定義3:放回抽樣是指從訓(xùn)練樣本集中隨機(jī)抽取一定數(shù)量的樣本��,進(jìn)行訓(xùn)練����,并將每次被抽到的樣本放回到訓(xùn)練樣本集中,再進(jìn)行下次抽樣�����;定義4:采用特征選擇算法選取對分類貢獻(xiàn)大的字符串作為特征����,字符串是文件的重要組成部分,能夠在一定程度上有效地表達(dá)文件����;特征選擇算法是去除表現(xiàn)力不強(qiáng)的字符串,篩選出針對惡意軟件文件的特征項(xiàng)集合�;定義5:CHI方法是一種常用的特征選擇算法,通過計(jì)算特征t與類別Cm = U...)的相關(guān)程度來進(jìn)行特征選擇過程����。CHI公式如下的相關(guān)性:
權(quán)利要求
1.一種移動(dòng)終端上的惡意應(yīng)用軟件的檢測方法,其特征在于是在計(jì)算機(jī)中一次按以下步驟實(shí)現(xiàn)的: 步驟(I)�����、利用殺毒軟件對手機(jī)的應(yīng)用軟件進(jìn)行分類 從網(wǎng)絡(luò)上搜集手機(jī)應(yīng)用的下載軟件�����,分別利用卡巴斯基殺毒軟件、網(wǎng)秦在線安全檢測軟件���、360手機(jī)安全檢測軟件以及安全俠在線檢測軟件共四款殺毒軟件對手機(jī)上的應(yīng)用下載軟件進(jìn)行檢測��,得到正常應(yīng)用軟件和惡意應(yīng)用軟件兩種類型�����;從中選取4份正常應(yīng)用軟件作為正常訓(xùn)練樣本集��,選取4份惡意應(yīng)用軟件作為惡意訓(xùn)練樣本集���,余下的一份正常應(yīng)用軟件作為正常測試樣本集,余下的一份惡意應(yīng)用軟件作為惡意測試樣本集��; 步驟(2)��、按以下步驟利用相關(guān)性CHI算法從正常�、惡意訓(xùn)練樣本集中每個(gè)訓(xùn)練樣本中提取共有的字符串信息作為特征集中的特征 步驟(2.1)按以下步驟生成S個(gè)訓(xùn)練樣本子集,利用所述的相關(guān)性CHI算法得到S個(gè)特征子集�����,S是對所述訓(xùn)練樣本子集進(jìn)行放回抽樣的次數(shù)�; 步驟(2.1.1)從步驟(I)中所述的正常應(yīng)用軟件中隨機(jī)抽取Ii1個(gè)樣本構(gòu)成正常訓(xùn)練樣本子集,從所述的惡意應(yīng)用軟件中隨機(jī)抽取112個(gè)樣本構(gòu)成惡意訓(xùn)練樣本子集�����,Ii1 = n2�����,兩者組合成一個(gè)新的訓(xùn)練樣本子集���,有個(gè)樣本�����; 步驟(2.1.2)對所述新的訓(xùn)練樣本子集中的每個(gè)訓(xùn)練樣本進(jìn)行解壓縮����,從可執(zhí)行文件中獲取應(yīng)用程序所需調(diào)用的系統(tǒng)庫函數(shù)和該系統(tǒng)庫函數(shù)所屬的類名稱�,以及兩者所對應(yīng)的字符串信息,從配置文件中獲得應(yīng)用程序向系統(tǒng)申請的訪問權(quán)限所對應(yīng)的字符串信息�����,各除去重復(fù)的字符串信息后,得到各自惟一的字符串信息��,經(jīng)過拼合后����,用N表示字符串信息的總數(shù); 步驟(2.1.3)統(tǒng)計(jì)步驟(2.1.2)中兩種字符串信息拼合成后的N個(gè)字符串信息t在所述正常訓(xùn)練樣本子集 中共同出現(xiàn)的樣本數(shù)M1�����,以及在所述惡意樣本中集中共同出現(xiàn)的樣本數(shù)m2�����,其中t簡稱為特征��; 步驟(2.1.4)按以下公式分別計(jì)算相關(guān)性 步驟(2.1.4.1)按以下公式計(jì)算所述字符串信息t與正常類別C1的相關(guān)性�����,用CHI (t, C1)表示: CH]( r��、_ n[P(t,Ci)xP(t,C2)~P(t,C2)xP(lCi)f (' Λ)~ P(t)xP(Ci)xP(f)xP(C2) 其中��,n為步驟(2.1.1)中訓(xùn)練樣本子集中的樣本數(shù),n = ni+n2 ;P(t���,Ci)為所述訓(xùn)練樣本子集中出現(xiàn)特征t并且出現(xiàn)在類別Ci的樣本子集中的概率����,i = 1���,2,C1類別即步驟(2.1.3)中所述正常訓(xùn)練樣本子集簡稱正常類別��,C2類別即惡意訓(xùn)練樣本子集簡稱惡意類別�����,其中:八^) = ^���,~����,&) =:;~�;^為所述訓(xùn)練樣本子集中出現(xiàn)特征七并且不出現(xiàn)在類別Ci中的樣本的概率,其中:P(/��,G)=作,02)���,!%F2) = P(fXi).�,為所 -Ml-Wl述訓(xùn)練樣本子集中屬于類別Ci但不包含特征t的樣本的出現(xiàn)概率���,其中= = = 為所述訓(xùn)練樣本子集中既不包含特征t又不屬于類別Ci的樣本出現(xiàn)的概率���,其中:p(t, a) = p(t, Cl),p(t, Fi) = p(l a) ����; P (t)為所述訓(xùn)練樣本子集中包含特征t的樣本的出現(xiàn)概率=為所述訓(xùn)練樣本子集中不包含特征t的樣本的出現(xiàn)概率,P(h = P(c.)為所述訓(xùn)練樣本子集中屬于類別Ci的樣本出現(xiàn)的概率��,/^1) = —����,/^2) = ^的&為所述訓(xùn)練樣本子集中不屬于類別(^勺樣本的出_既率,其中:P(H) = P(Ci) = -^n2 ,P(~2) = P(Ci) = ^ ,因而�����,
全文摘要
一種移動(dòng)終端上的惡意應(yīng)用軟件的檢測方法用于手機(jī)信息安全領(lǐng)域���,其特征在于首先�,采用放回的抽樣方法從正常的應(yīng)用下載軟件中獨(dú)立的抽取多個(gè)樣本子集,每次隨機(jī)抽取的樣本數(shù)量與惡意的應(yīng)用下載軟件的數(shù)量相同���。這些子集分別與惡意的應(yīng)用下載軟件結(jié)合��,組成一系列新的訓(xùn)練樣本子集���;之后����,解壓新的訓(xùn)練樣本子集中的各個(gè)樣本文件,讀取可執(zhí)行文件和配置文件的內(nèi)容����,進(jìn)而采用特征選擇算法抽取能夠代表樣本文件的特征,得到特征子集����;緊接著,選取在所有特征子集均出現(xiàn)的特征組合得到最終的特征集�;然后對訓(xùn)練樣本集中的樣本重新訓(xùn)練,得到特征向量���;最后��,通過貝葉斯等分類算法進(jìn)行分類�����,檢測惡意應(yīng)用軟件���。
文檔編號(hào)G06F21/56GK103106365SQ20131002951
公開日2013年5月15日 申請日期2013年1月25日 優(yōu)先權(quán)日2013年1月25日
發(fā)明者賴英旭, 喬靜靜, 楊震, 劉靜, 李健, 徐壯壯 申請人:北京工業(yè)大學(xué)