一種android應(yīng)用程序惡意性的靜態(tài)檢測方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明屬于Android平臺下應(yīng)用程序安全性檢測技術(shù)領(lǐng)域�,涉及一種android應(yīng)用 程序惡意性的靜態(tài)檢測方法。
【背景技術(shù)】
[0002] 現(xiàn)代快速的生活工作節(jié)奏�����,使得人們對能夠從網(wǎng)絡(luò)上獲取實時的信息和服務(wù)有了 更高的要求����,移動互聯(lián)網(wǎng)應(yīng)運而生����。移動互聯(lián)網(wǎng)的安全問題直接影響到用戶使用和對移動 互聯(lián)網(wǎng)的信任���,更關(guān)系到移動互聯(lián)網(wǎng)產(chǎn)能的釋放以及正面價值的正常發(fā)揮�����,更涉及到我們 國家以及整個民族信息的安全產(chǎn)業(yè)����。所以在這個信息化時代我們要時刻關(guān)注著移動互聯(lián)網(wǎng) 安全的新特性�����,了解最詳細的移動互聯(lián)網(wǎng)安全動態(tài)�,時刻掌握和及時處理因移動互聯(lián)網(wǎng)安 全問題引發(fā)的一系列矛盾。要不斷的改進和完善移動互聯(lián)網(wǎng)安全的整體架構(gòu)以及為防止安 全問題出現(xiàn)所做的部署����,分析和監(jiān)控移動互聯(lián)網(wǎng)時刻出現(xiàn)的流量惡意攻擊,散播的不健康 不科學(xué)的信息��。經(jīng)過不斷的技術(shù)革新、安全設(shè)計改進�、移動互聯(lián)網(wǎng)安全部署等措施來確保移 動互聯(lián)網(wǎng)的安全,并委派專人實時監(jiān)控�,以及采用內(nèi)容信息過濾等技術(shù)手段,來保證移動互 聯(lián)網(wǎng)的安全��,確保給移動互聯(lián)網(wǎng)帶來一個干凈健康的發(fā)展環(huán)境�。借助于移動互聯(lián)網(wǎng)的發(fā)展, 現(xiàn)在用手機就可以做到以前必須使用電腦才可做到的事情�,使得人們對智能手機需求有了 極大的提升。移動互聯(lián)網(wǎng)安全中Android的安全通信問題也越來越受關(guān)注��,2007年11月���, Google發(fā)布了基于Linux內(nèi)核的開源智能移動操作系統(tǒng)Android��。該系統(tǒng)擁有龐大的用戶數(shù) 量和應(yīng)用市場:來自Gartner統(tǒng)計數(shù)據(jù)顯示��,2013年第3季度全球智能手機的銷售量為2.5億 多臺���,其中Android系統(tǒng)占據(jù)了81.9% ;而截止2014年1月8日僅Android官方應(yīng)用市場 GooglePlay上的應(yīng)用數(shù)量就達到了103萬�����。
[0003] 有數(shù)據(jù)顯示,在2011年人們使用智能手機的比例還比較低��,到2012年使用智能手 機的比例就達到了46%���。根據(jù)HIS統(tǒng)計的信息顯示���,預(yù)計在2013年智能手機在市場中所占的 份額將達到55%,這些數(shù)據(jù)表明智能手機在正在改變著人們?nèi)粘I罘绞?�,成為很多人?活和工作的得力助手����。
[0004]智能手機功能不斷的完善和發(fā)展,為人們?nèi)粘I顜砗芏嗟谋憷?�,但同時也成 為各種手機病毒及惡意軟件攻擊的主要目標���。智能手機的快速發(fā)展����,針對智能手機的病毒 也以大比例的數(shù)量增長���。第一個智能手機病毒Cabir誕生于NOKIA大本營���,經(jīng)過短短幾年的 發(fā)展�,針對智能終端的病毒便出現(xiàn)了上千種���。當前主流的智能手機操作系統(tǒng)有:Symbian 0S����,蘋果的iOS�,微軟的Windowsphone,Google的Android����。每個系統(tǒng)都有一套自身的安全防 范措施,由于人們對手機隱私信息安全的重視��,分析已有的智能手機操作系統(tǒng)安全規(guī)范��,提 高智能手機系統(tǒng)防范病毒行為成為了研究的重點�����。
【發(fā)明內(nèi)容】
[0005]有鑒于此��,本發(fā)明的目的在于提供一種android應(yīng)用程序惡意性的靜態(tài)檢測方法�����, 該方法首先通過計算偏相關(guān)系數(shù)對Android應(yīng)用程序權(quán)限特征屬性進行相關(guān)性分析�����,達到 對權(quán)限特征集進行降維預(yù)處理的目的���;其次利用互信息和笛卡爾積方法����,對降維后的權(quán)限 特征集進行相關(guān)性聚類去冗余����,并設(shè)定閾值,避免過擬合的現(xiàn)象����,以此得到新的分類權(quán)限特 征集的集合Xnew,達到權(quán)限聚類后的權(quán)限特征集之間幾乎是相互獨立關(guān)系的目的����;最后,在 權(quán)限聚類后的基礎(chǔ)上,構(gòu)建樸素貝葉斯分類器��,并對其進行改進�,達到能使應(yīng)用程序分類決 策相關(guān)性尚,進而提尚Android應(yīng)用程序惡意性檢測的可罪性�����。
[0006]為達到上述目的�,本發(fā)明提供如下技術(shù)方案:
[0007] -種android應(yīng)用程序惡意性的靜態(tài)檢測方法,在該方法中����,對選定的樣本程序進 行反編譯得到4]1(11'〇1(11^1111€6 81:.11]11文件,提取該文件的權(quán)限特征��,并對其進行降維預(yù)處 理�����,然后對降維后的權(quán)限特征集用互信息和笛卡爾積方法進行權(quán)限聚類去冗余�����,最后在此 基礎(chǔ)上構(gòu)建樸素貝葉斯分類模型����,以及對所檢測到的惡意性應(yīng)用程序進行惡意性等級的劃 分����。
[0008] 進一步��,該方法具體包括以下步驟:
[0009] 步驟一:收取并創(chuàng)建惡意性應(yīng)用程序和非惡意性應(yīng)用程序的樣本庫����,分別對其APK 樣本進行反編譯處理得到AndroidManifest.xml文件����,然后提取該文件的權(quán)限特征,獲得權(quán) 限特征集����;
[0010]步驟二:利用Android權(quán)限特征屬性變量之間的相關(guān)性關(guān)系,其中任意兩個變量之 間的相關(guān)性可能是由于第三個變量的存在所表現(xiàn)出來的�,對此采用基于偏相關(guān)系數(shù)對權(quán)限 特征屬性進行相關(guān)性分析的方法,對權(quán)限特征集進行降維預(yù)處理����;
[0011]步驟三:利用基于互信息理論和笛卡爾積方法,采用基于互信息和笛卡爾積的改 進的樸素貝葉斯分類模型方法�����,對權(quán)限特征集降維預(yù)處理后獲取的權(quán)限特征集進行聚類去 冗余;
[0012] 步驟四:基于分類屬性集的集合Xnew構(gòu)建樸素貝葉斯分類器���,通過樣本訓(xùn)練獲得先 驗概率�,然后用測試集樣本通過計算后驗概率判斷所檢測的Android應(yīng)用程序是否具有惡 意性�,對具有惡意性的Android應(yīng)用程序按概率方法進行等級劃分。
[0013] 進一步�,在步驟二中,所述基于偏相關(guān)系數(shù)對權(quán)限特征屬性進行相關(guān)性分析的方 法具體包括:
[0014 ]該方法首先通過計算兩個權(quán)限特征屬性變量之間的簡單相關(guān)系數(shù)
中Cov(Xi���,Xj)是Xi與Xj之間的協(xié)方差
EXi與Xj之間的標準 差���,將計算所得的簡單相關(guān)系數(shù)做成相關(guān)系數(shù)矩陣R,計算|R|行列式中3��,陽���,印的代數(shù)余 子忒Aii,Aij ,Ajj�����,然后帶入特征叔限屬性變量之間的偏相關(guān)系數(shù)
r式進行計算�,根據(jù)得到的偏相關(guān)系數(shù)IP 的值判斷權(quán)限特征屬性之間的相關(guān)性大小,去除相關(guān)性低的權(quán)限特征屬性�,得到降維預(yù)處 理后的權(quán)限特征集。
[0015]進一步�,在步驟三中,利用基于互信息理論和笛卡爾積方法�����,采用基于互信息和笛 卡爾積的改進的樸素貝葉斯分類模型方法�����,對權(quán)限特征集降維預(yù)處理后獲取的權(quán)限特征集 進行聚類去冗余�,聚類去冗余模型如下:
[0016]
[0017]
[0018]其中Cor(Xi�,C)表示權(quán)限特征屬性變量Xi和類別屬性變量C之間的相關(guān)度,Cor(Xi�, Xj)表示權(quán)限特征屬性變量XdPh之間的相關(guān)度,計算方式如下:
[0019] 1)計算預(yù)處理后權(quán)限特征屬性變量Xi與類別變量C的相關(guān)度Cor(Xi���,C)��,按從大到 小的順序排列構(gòu)成原始屬性集Χ-ori;
[0020] 2)計算X-ori中的第一個屬性變量X-ori(l)與其它屬性變量的相關(guān)度Cor(X_ori (l)���,Xj);
[0021] 3)對X-ori中除X-ori(1)之外的其它變量Xj��,若Cor(X-ori(1)����,Xj) >Cor(Xj�,C),則 認為該變量與X-〇ri(1)高度相關(guān)��,將其加入X-ori(1)的相關(guān)集中��;
[0022] 4)X_ori(l)及其相關(guān)集中的前m個變量的笛卡爾積Xnewl作為新屬性集加入Xnew���,同 時從X-ori中刪除X-ori(1)及其相關(guān)集中的所有變量����;
[0023] 5)重復(fù)2)至4)�����,直到龍-〇ri=0為止����。
[0024]進一步,在步驟四中�����,基于分類屬性集的集合Xnew構(gòu)建樸素貝葉斯分類器,通過樣 本訓(xùn)練獲得先驗概率�,然后用測試集樣本通過計算后驗概率判斷所檢測的Android應(yīng)用程 序是否具有惡意性,基于權(quán)限分類屬性集的集合Xne3W和類別C構(gòu)建樸素貝葉斯的模型如下:
[0025]
[0026]其中��,
unt(Xk|Ci)表示在類別Ci樣本中權(quán)限特征屬性Xk出 現(xiàn)的次數(shù)�����,count(Xk)表示樣本中權(quán)限