基于svm算法的移動智能終端軟件的動態(tài)行為分析方法【
技術(shù)領(lǐng)域：
】[0001]本發(fā)明屬于計算機監(jiān)控領(lǐng)域，特別是一種基于SVM算法的移動智能終端軟件的動態(tài)行為分析方法?！?br>背景技術(shù)：
】[0002]隨著移動互聯(lián)網(wǎng)的快速發(fā)展，移動智能終端得到迅速普及，不經(jīng)意間影響著人們的生活方式，改變著未來的產(chǎn)業(yè)格局。正是用戶規(guī)模的擴大導(dǎo)致移動智能終端正面臨著日益嚴重的威脅，由于其自身特點，導(dǎo)致這些危害行為來自各方面，十分復(fù)雜，而在眾多安全威脅當中，由惡意的軟件行為所引發(fā)的危害是幾乎全部用戶都面臨的，也是影響最大的。研究如何檢測出惡意的軟件行為，從而為移動智能終端提供安全保障是迫在眉睫的。[0003]目前的軟件分析技術(shù)主要分為動態(tài)方法和靜態(tài)方法，動態(tài)行為分析是指在嚴格控制的環(huán)境中(如沙盒、虛擬機、物理隔絕的主機等)執(zhí)行軟件的安裝和運行等操作，并記錄其行為以及對系統(tǒng)環(huán)境和資源造成的影響。通過對行為狀況的分析，來檢測軟件是否具有竊密隱私、吸費、非法內(nèi)容傳播等惡意行為。[0004]動態(tài)檢測技術(shù)一般有狀態(tài)對比和行為跟蹤兩種方法?！?br/>發(fā)明內(nèi)容】[0005]1、本發(fā)明的目的。[0006]本發(fā)明基于現(xiàn)有技術(shù)提出一種基于SVM算法的移動智能終端軟件的動態(tài)行為分析方法，從而檢測出惡意的軟件行為，保護移動智能終端安全。[0007]2、本發(fā)明所采用的技術(shù)方案。[0008]基于SVM算法的移動智能終端軟件的動態(tài)行為分析方法，步驟如下:第一步，終端執(zhí)行軟件，捕獲軟件運行時所調(diào)用的API函數(shù)。[0009]第二步，分析5個敏感行為相關(guān)的NativeAPI調(diào)用序列，5個敏感行為為特權(quán)行為、進程行為、文件行為、網(wǎng)絡(luò)行為和終端內(nèi)存操作行為，統(tǒng)計出這5個敏感行為相關(guān)NativeAPI函數(shù)的調(diào)用頻率。[0010]第三步，將調(diào)用頻率作為軟件的動態(tài)行為特征，送入云端用SVM算法進行建模并訓(xùn)練分類器，最終利用學(xué)習(xí)好的分類器檢測出惡意的軟件行為。[0011]3、本發(fā)明的有益效果。[0012](I)本發(fā)明采用動態(tài)檢測技術(shù)可以不受變形和加殼加密技術(shù)的影響，且能夠分析檢測自修改程序，可以彌補靜態(tài)行為分析無法檢測變種行為的不足。[0013](2)本發(fā)明充分考慮了移動智能終端固有的特點和安全機制，因此能夠更高效的檢測出惡意的軟件行為?！靖綀D說明】[0014]圖1是動態(tài)行為分析流程圖。[0015]圖2是SVM算法執(zhí)行流程圖?！揪唧w實施方式】[0016]實施例1結(jié)合圖1，本發(fā)明涉及一種基于SVM算法的移動智能終端軟件的動態(tài)行為分析方法，步驟如下:第一步，終端執(zhí)行軟件，捕獲軟件運行時所調(diào)用的API函數(shù)。[0017]第二步，分析5個敏感行為相關(guān)的NativeAPI調(diào)用序列，5個敏感行為為特權(quán)行為、進程行為、文件行為、網(wǎng)絡(luò)行為和終端內(nèi)存操作行為，統(tǒng)計出這5個敏感行為相關(guān)NativeAPI函數(shù)的調(diào)用頻率。[0018]第三步，將調(diào)用頻率作為軟件的動態(tài)行為特征，送入云端用SVM算法進行建模并訓(xùn)練分類器，最終利用學(xué)習(xí)好的分類器檢測出惡意的軟件行為。[0019]實施例2結(jié)合圖2，基于SVM算法的移動智能終端軟件的動態(tài)行為分析方法，步驟如下:第一步、運行樣本軟件，利用HOOKAPI技術(shù)捕獲軟件的系統(tǒng)API函數(shù)調(diào)用序列，并統(tǒng)計出5個敏感行為相關(guān)的NativeAPI函數(shù)的調(diào)用頻率。這5個敏感行為是特權(quán)行為，進程行為，文件行為、網(wǎng)絡(luò)行為和終端內(nèi)存操作行為。[0020]1、查找出系統(tǒng)中5個敏感行為的系統(tǒng)調(diào)用所對應(yīng)的入口地址。[0021]2、利用HOOK技術(shù)，通過入口地址實現(xiàn)系統(tǒng)調(diào)用的攔截，捕獲到各自的API調(diào)用序列。關(guān)鍵代碼如下:size_thook_sysread(intfd,ehar*buf,size_tcount){//添加統(tǒng)計功能returnorig_read(fd,buf,count);}staticint_inithook_start(void){unsignedlong*sys_call_table=0xe0021d24;orig_read=sys_call_table[_NR_read];sys_call_table[_NR_read]=hook_sysread;return0;}staticvoid-exithook_stop(void){unsignedlong*sys_call_table=0xe0021d24;sys_call_table[_NR_read]=&orig_read;}Module_init(hook_start);Module_exit(hook—stop);3、統(tǒng)計出5個敏感行為相關(guān)的NativeAPI函數(shù)調(diào)用頻率,并以此作為動態(tài)行為特征。[0022]第二步，如圖2所示，將行為特征送入云端進行處理。通過SVM算法選中適當模型參數(shù)來訓(xùn)練SVM分類模型，之后不斷利用樣本數(shù)據(jù)讓分類器進行學(xué)習(xí)完善，得到最終的SVM分類檢測模型，從而檢測出惡意的軟件行為。[0023]上述實施例不以任何方式限制本發(fā)明，凡是采用等同替換或等效變換的方式獲得的技術(shù)方案均落在本發(fā)明的保護范圍內(nèi)?！局鳈?quán)項】1.一種基于SVM算法的移動智能終端軟件的動態(tài)行為分析方法，其特征在于采用云處理和機器學(xué)習(xí)，具體步驟如下:第一步，終端執(zhí)行軟件，捕獲軟件運行時所調(diào)用的API函數(shù)；第二步，分析5個敏感行為相關(guān)的NativeAPI調(diào)用序列,5個敏感行為為特權(quán)行為、進程行為、文件行為、網(wǎng)絡(luò)行為和終端內(nèi)存操作行為，統(tǒng)計出這5個敏感行為相關(guān)NativeAPI函數(shù)的調(diào)用頻率；第三步，將調(diào)用頻率作為軟件的動態(tài)行為特征，送入云端用SVM算法進行建模并訓(xùn)練分類器，最終利用學(xué)習(xí)好的分類器檢測出惡意的軟件行為。2.根據(jù)權(quán)利要求1所述的基于SVM算法的移動智能終端軟件的動態(tài)行為分析方法，其特征在于:所述第二步按照如下方式進行:(1)、查找出系統(tǒng)中5個敏感行為的系統(tǒng)調(diào)用所對應(yīng)的入口地址；(2)、利用HOOK技術(shù)，通過入口地址實現(xiàn)系統(tǒng)調(diào)用的攔截，捕獲到各自的API調(diào)用序列。3.根據(jù)權(quán)利要求1所述的基于SVM算法的移動智能終端軟件的動態(tài)行為分析方法V，其特征在于:利用HOOKAPI技術(shù)捕獲軟件的系統(tǒng)API函數(shù)調(diào)用序列。【專利摘要】本發(fā)明公開了一種基于SVM算法的移動智能終端軟件的動態(tài)行為分析方法。第一步，終端執(zhí)行軟件，捕獲軟件運行時所調(diào)用的API函數(shù)；第二步，分析5個敏感行為相關(guān)的NativeAPI調(diào)用序列，5個敏感行為為特權(quán)行為、進程行為、文件行為、網(wǎng)絡(luò)行為和終端內(nèi)存操作行為，統(tǒng)計出這5個敏感行為相關(guān)NativeAPI函數(shù)的調(diào)用頻率；第三步，將調(diào)用頻率作為軟件的動態(tài)行為特征，送入云端用SVM算法進行建模并訓(xùn)練分類器，最終利用學(xué)習(xí)好的分類器檢測出惡意的軟件行為。本發(fā)明采用動態(tài)檢測技術(shù)可以不受變形和加殼加密技術(shù)的影響，且能夠分析檢測自修改程序，彌補靜態(tài)行為分析無法檢測變種行為的不足，能夠高效的檢測出惡意的軟件行為。【IPC分類】G06F21-56【公開號】CN104751052【申請?zhí)枴緾N201310742073【發(fā)明人】李千目,李嘉,張宏【申請人】南京理工大學(xué)常熟研究院有限公司【公開日】2015年7月1日【申請日】2013年12月30日