一種基于改進貝葉斯算法的安卓惡意軟件檢測方法
【技術領域】
[0001] 本發(fā)明給出了一種基于改進貝葉斯算法的安卓惡意軟件檢測方法�,主要解決安卓 平臺應用軟件中涉及惡意軟件如何檢測的問題���,屬于移動應用安全領域�。
【背景技術】
[0002] 隨著移動互聯網的飛速發(fā)展,具有移動操作系統(tǒng)的智能手機已成為目前移動終端 發(fā)展的主流�����。智能手機不再是傳統(tǒng)的通訊工具���,像掌上電腦一樣�����,智能手機已具有獨立的操 作系統(tǒng)�����,可以由用戶自行安裝或卸載如QQ����、百度地圖��、手機安全衛(wèi)士等第三方開發(fā)商提供的 應用����,不斷地對手機的功能進行擴充。其中���,基于Linux內核的Android移動終端操作系統(tǒng) 發(fā)展最為迅速�,2012年第3季度市場占有率達到75%��,各種功能的應用程序滿足了用戶多 種多樣的需求����。由于其開源性,任何組織或個人編寫的軟件都可以上傳到系統(tǒng)的應用商店�, 供用戶隨意下載并安裝使用。因此����,惡意軟件也把用戶的智能終端作為潛在的攻擊目標。目 前��,惡意扣費����、隱私竊取、系統(tǒng)破壞成為惡意軟件的主要危害�。
[0003] 在移動平臺上,軟件的惡意行為往往隱藏在普通軟件中�,通過自動連接互聯網下 載數據、自動撥打電話���、自動發(fā)送短信注冊相關SP(服務提供商)服務等方式����,使用戶在不 知情的情況下被騙去大量費用。另外����,某些惡意程序還會偷偷地讀取用戶聯系人、郵箱信 息����、用戶地理位置、手機MEI標識等敏感數據���,甚至通過網絡或短信的方式���,將收集到的數 據發(fā)送出去,達到竊取用戶隱私信息的目的�����。除此之外����,一些惡意程序在運行過程中��,會對 用戶數據文件進行刪除��、卸載系統(tǒng)組件���、改變系統(tǒng)外觀����,對手機系統(tǒng)造成嚴重破壞。這些軟 件的惡意行為已經嚴重影響了人們對智能手機的正常使用����。因此,如何對發(fā)布到互聯網�、應 用商店中的應用程序的安全性進行有效評估與度量是軟件管理者面臨的一項重要問題。
[0004] 目前惡意軟件檢測方案主要有誤用檢測和異常檢測��。誤用檢測是基于已知惡意 行為特征的方法�,它是通過規(guī)則集來檢測惡意軟件。有論文提出了通過收集樣本的資源消 耗的歷史數據��,然后從收集的樣本數據提煉出一個強有力的簽名用于惡意軟件的檢測�。有 論文提出了根據應用程序開發(fā)者定義的安全策略來保護通過能夠可用接口調用其它應用 程序的安全。有論文提出ScanAroid的方法�����,它是提取應用程序的安全格式,用數據流分 析的方法來檢測惡意軟件�,如果有些數據流違背了安全格式,那么就認定其為惡意軟件����。 有論文提出了 Kirin安全服務,它驗證應用程序的安全等級��,它定義了各種潛在的危險 permission標簽組合��。有論文運用了算法來結構化規(guī)則�,他們提出了基于簽名的方法,結合 了 Permission屬性�。通過收集內容構造控制流程圖來檢測惡意軟件。
[0005] 異常檢測不同于誤用檢測��,它是通過應用數據挖掘與機器學習算法來學習已知 惡意軟件的行為�����,以此來預測未知的或新穎的惡意軟件��,盡管異常檢測能夠檢測未知的惡 意軟件���,但它有時候有很高的誤報率��。有論文提出了基于行為檢測的框架來代替基于簽名 的解決方法�。它是通過觀察應用程序的活動邏輯順序來檢測惡意軟件,通過利用數據挖 掘中的支持向量機分離器方法來區(qū)別惡意軟件與正常軟件�����。有論文從應用軟件二進制文 件中提取函數調用����,然后應用叫做Centroid聚類算法機制來檢測惡意軟件��。有論文提出 了在移動平臺上基于惡意軟件異常的資源消耗來檢測惡意軟件的異常行為���。有論文采用 用戶相關的API調用概率的方法來檢測惡意軟件的異常行為��,利用馬爾科夫模型來學習 應用軟件和用戶的行為�����,最后用于區(qū)別正常軟件與惡意軟件���。有論文提出叫做Andromaly 的方法來檢測惡意軟件�����,它是基于行為分析的����,它測試一系列的特征集的方法來找出最 能夠代表惡意軟件特征的特征集�����,Andromaly運用了幾種機器學習算法����,例如Logistic Regression, Bayesian Networks.來訓練標記好的惡意軟件標簽和正常軟件標簽用于區(qū)別 惡意軟件和正常軟件。有論文通過使用支持向量機算法提出基于軟件行為的惡意軟件檢測 框架��,叫做AntiMalDroicL有論文提出來的這個框架能夠動態(tài)的擴展惡意軟件特征庫��,有 提取關鍵permission屬性�,執(zhí)行相應的統(tǒng)計概率來鑒定有懷疑的應用軟件。
【發(fā)明內容】
[0006] 技術問題:本發(fā)明的目的是提出一種基于改進貝葉斯算法的安卓惡意軟件檢測方 法����。通過改進貝葉斯算法對安卓惡意程序和良性程序的特征屬性進行分析和分類,實現一 種基于改進貝葉斯算法的惡意軟件檢測方法��,從應用程序權限申請的角度出發(fā),判斷分析 是否為惡意軟件��。該方法提高了檢測率��,降低誤報率�����。最終目的是給出一個基于改進貝葉 斯算法的安卓惡意軟件檢測的方法�。
[0007] 技術方案:本發(fā)明是一種基于改進貝葉斯算法的安卓惡意軟件檢測方法,該方法 從惡意軟件和良性軟件中提取權限請求文件�,然后對每兩個權限請求標簽合并為一個特征 屬性進行統(tǒng)計,再利用互信息的概念以互信息評價函數提取相關特征屬性�����,特征提取基本 任務是從眾多特征屬性中找出那些對分類有明顯影響的特征屬性���,然后用卡方驗證方法去 除冗余權限請求標簽組合對惡意軟件檢測的影響,最后用樸素貝葉斯算法進行數學建模����, 生成檢測模型,實現一種基于改進貝葉斯算法的android惡意軟件檢測方法�����。
[0008] 其包含的步驟為:
[0009] 步驟1):從惡意軟件網站上下載惡意安卓軟件作為惡意軟件數據源,從谷歌官方 安卓市場上下載安卓軟件作為良性軟件����;
[0010] 步驟2):下載下來的軟件數據源利用APKT00L工具進行反匯編提取權限請求文 件;
[0011] 步驟3):對惡意軟件和良性軟件的權限請求文件中的權限請求標簽進行兩兩組 合合并為一個特征屬性統(tǒng)計��;
[0012] 步驟4):利用互信息的概念以互信息評價函數提取特征屬性���,特征提取基本任務 是從眾多特征屬性中找出那些對分類有明顯影響的特征屬性�,選取具有明顯影響的特征作 為分類的特征屬性�����;
[0013] 步驟5):利用卡方檢驗方法對統(tǒng)計好的權限請求標簽組合進行去除冗余數作為 預處理好的數據���,使得特征屬性之間的關聯性更弱��,有利用提高樸素貝葉斯分類器的性能�, 提尚惡意軟件的檢測率���;
[0014] 步驟6)將預處理好的數據用樸素貝葉斯算法進行數據建模����,生成檢測模型。
[0015] 有益效果:作