CN107392021B

CN107392021B - 一种基于多类特征的Android恶意应用检测方法

Info

Publication number: CN107392021B
Application number: CN201710594193.1A
Authority: CN
Inventors: 李建彬; 冷波; 徐旸; 高武强; 曾泉润
Original assignee: Central South University
Current assignee: Central South University
Priority date: 2017-07-20
Filing date: 2017-07-20
Publication date: 2019-06-07
Anticipated expiration: 2037-07-20
Also published as: CN107392021A

Abstract

本发明公开了一种基于多类特征的Android恶意应用检测方法，利用Android应用自身携带的应用特征，对各类特征进行分簇处理，得到各种典型应用的特征，结合多种机器学习的方法，提取Android应用的统计学特征，对Android应用的特征进行快速检测。选择最佳分簇数时，以各分簇数下所有簇的大小波动均值最小为依据，最小化android样本个体之间的差异性,极大的确保了分簇结果的准确度和最终检测的精确度；利用Android应用的融合特征进行检测，检测过程简单易行，准确度高，检测时间短。

Description

一种基于多类特征的Android恶意应用检测方法

技术领域

本发明属于应用检测领域，特别涉及一种基于多类特征的Android恶意应用检测方法。

背景技术

自从google推出Android系统以来，Android系统就成为了国内大量的手机厂商选择的预装系统，比如，华为，小米，乐视等。但与此同时，Android系统的恶意应用数量也呈现飞速增长的态势，其中恶意应用的表现主要是隐私窃取，发送扣费短信，占用终端资源等。现在应用市场每天都有大量的应用需要通过审核上架,但目前仍没有有效的检测方法。

Android平台恶意应用的检测方法分为:静态分析、动态分析和动静结合分析。目前常用的恶意行为检测方法有以下几种：

1)基于特征的静态分析方法，提取android恶意应用特征，包括权限，方法调用图，系统API，应用组件等信息。根据特征构建数据集并利用机器学习的方法训练模型。最后，利用模型检测未知应用作出判断。这些方法注重提取特征的本身的意义，比如使用权限作为特征，只看重权限的具体意义，往往忽略了权限的统计学意义。

2)基于模拟的动态检测方法，将Android应用安装到特定的沙盒环境中，模拟真实用户的行为包括点击，滑动，按键等行为来激发Android应用运行，然后根据运行环境的产生的日志或者其他变化对恶意应用作出判断。动态检测方法耗时长，占用资源多，检测过程复杂。

3)动静结合的恶意应用检测方法，构建一个整体的系统，利用静态分析提取Android应用的信息和动态分析检测Android的恶意行为，综合二者的结果作出判断。相比纯静态的方法而言要求的资源多，耗时长。

静态检测技术是指应用程序的静态特征，它在运行期间是不会改变的，同时也能够表达程序在运行期间的行为描述。其中挖掘各种信息之间潜在的关系对检测Android应用的恶意行为有非常重要的意义。机器学习是数据挖局领域的一个重要分支，将机器学习的技术用于Android恶意行为的检测是研究的一个热点问题。

由于目前Android平台的安全局势和日益增长的恶意应用数量，给用户带来了严重的威胁，研制出一种安全、高效的检测方法是很有必要的。在Android应用上架前对APK进行病毒程序的静态分析，可以有效的阻止Android病毒应用的传播。

发明内容

本发明提供了一种基于多类特征的Android恶意应用检测方法，从统计学的角度分析组合特征，利用多种机器学习的方法提高恶意应用的检测效率和精度。

一种基于多类特征的Android恶意应用检测方法，包括以下步骤：

步骤1：采集样本数据；

所述样本数据包括Android恶意应用APP样本和Android良性应用APP样本；

步骤2：对每个样本进行反编译，得到各样本的标志文件；

每个样本的标志文件包括包含在样本反编译后的文件AndroidManifest.xml以及所有后缀名为smali的文件；

步骤3：从标志文件中提取特征数据；

所述特征数据包括应用申请的权限个数、申请的组件个数以及smali文件特征；

所述smali文件特征包括非静态域、保护域、公有域、私有域，方法数、静态方法数、保护方法、公有方法、私有方法、最大调用数，最小调用数、平均调用数、最大寄存器数、最小寄存器数及平均寄存器数；

步骤4：基于特征数据构建特征文件；

将所有Android恶意应用APP和Android良性应用APP的应用权限个数和申请的组件个数分别生成文件malicious_manifest.txt和文件benign_manifest.txt；

将所有Android恶意应用APP和Android良性应用APP的smali文件特征信息分别生成文件malicious_smali.txt和文件benign_smali.txt；

文件malicious_manifest.txt包含恶意应用权限组件信息；文件benign_manifest.txt包含良性应用权限组件信息；

文件malicious_smali.txt包含恶意应用代码信息；文件benign_smali.txt包含良性应用代码信息；

步骤5：从文件malicious_manifest.txt中随机选取N个Android恶意应用APP的应用权限个数和申请的组件个数作为分簇集，利用K-means聚类方法对分簇集进行分簇，得到分簇结果；

其中，分簇数设定为M，取值范围为3-10；

以一个Android恶意应用APP的应用权限个数和申请的组件个数作为分簇集中的元素；

步骤6：基于分簇结果，构建各类Android恶意应用检测模型的训练集；

基于分簇结果将Android恶意应用APP进行分类，得到M类Android恶意应用APP；

所述训练集包括M个训练子集，一个训练子集包括一类Android恶意应用APP和与该类Android恶意应用APP数量相同的Android良性应用APP的特征数据，每个训练子集中的Android良性应用APP均从Android良性应用APP样本中随机选取；

步骤7：构建各类Android恶意应用检测模型；

依次利用每类初始训练子集中所有Android应用APP的特征数据和应用APP标记分别作为输入数据和输出数据，采用回归模型进行训练，获得各类Android恶意应用检测模型；

步骤8：任意选取一类Android恶意应用检测模型对待检测的Android应用APP进行检测。

进一步地，基于步骤7得到的各类Android恶意应用检测模型，按照以下步骤得到一个最终的Android恶意应用检测模型：

步骤A：从样本数据中删除训练集和测试集中包含的Android恶意应用APP和Android良性应用APP，得到剩余样本数据；

步骤B：从剩余样本数据中随机选取相同数量的Android恶意应用APP和Android良性应用APP，构成中间训练集TempTrain；

步骤C：利用每一类Android恶意应用检测模型对中间训练集进行检测，得到中间训练检测结果，以中间训练检测结果作为最终训练集FinalTrain；

步骤D：利用最终训练集FinalTrain中所有Android应用APP的特征数据和应用APP标记分别作为输入数据和输出数据，采用回归模型进行训练，获得最终的Android恶意应用检测模型。

进一步地，基于最终训练集FinalTrain中所有Android应用APP的特征数据和应用APP标记分别作为输入数据和输出数据，采用多种回归模型进行训练得到多个Android恶意应用检测模型，利用最终测试集FinalTest对多个检测模型进行测试，以准确度最高的检测模型作为最终的Android恶意应用检测模型；

所述最终测试集FinalTest的构建过程如下：

步骤E：从剩余样本数据中删除中间训练集TempTrain中的包含的Android恶意应用APP和Android良性应用APP，得到最终样本数据；

步骤F：从最终样本数据中随机选取相同数量的Android恶意应用APP和Android良性应用APP，构成中间测试集TempTest；

步骤G：利用每一类Android恶意应用检测模型对中间测试集进行检测，得到中间测试检测结果，以中间测试检测结果作为最终测试集FinalTest。

进一步地，在步骤5中利用K-means聚类方法对分簇集进行分簇时，令分簇数M依次从3到10取值，获得各种分簇结果中，从分簇结果中选择所有簇的大小波动均值最小的分簇数，作为最终的分簇数。

进一步地，基于初始测试集中所有Android应用APP的特征数据和应用APP标记分别作为输入数据和输出数据，采用多种回归模型进行训练得到各个类的多个Android恶意应用检测模型，以准确度最高的Android恶意应用检测模型作为每一类最佳的检测模型；

所述初始测试集包括M个测试子集，一个测试子集包括一类Android恶意应用APP和与该类Android恶意应用APP数量相同的Android良性应用APP的特征数据，每个测试子集中的Android良性应用APP均从Android良性应用APP样本中随机选取，且不与对应初始训练子集中的Android良性应用APP相同。

有益效果

本发明提供了一种基于多类特征的Android恶意应用检测方法，该方法通过提取Android应用的各类统计学特征，区分Android恶意应用；对各类特征进行分簇处理，选择最佳分簇数时，以各分簇数下所有簇的大小波动情况最小为依据，在分簇过程中采用K-means聚类算法进行分簇，最小化Android恶意样本间的差异性，极大的确保了分簇结果的准确度和最终检测结果的准确性；利用Android应用的融合特征进行检测，检测过程简单易行，准确度高，检测时间短。

附图说明

图1为不同簇数分簇时各簇大小波动情况示意图。

图2为本发明所述检测方法的整体流程图；

图3为本发明所述检测方法中第一次模型训练流程图；

图4为本发明所述检测方法中第二次模型训练流程图。

具体实施方式

下面将结合实例对本发明做进一步的说明。

如图2-图4所示，一种基于多类特征的Android恶意应用检测方法，包括以下步骤：

步骤1，收集Android恶意和良性应用样本。

步骤2，将步骤1中样本进行反编译，得到应用的数据信息，具体包括每个应用的‘AndroidManifest.xml’，以及带有后缀‘.smali’的所有文件。

步骤3，特征提取；

从步骤2中文件中提取特征信息，具体包括应用权限个数，申请的组件个数以及smali文件中的非静态域，保护域，公有域，私有域，方法数，静态方法数，保护方法，公有方法，私有方法，最大调用数，最小调用数，平均调用数，最大寄存器数，最小寄存器数，平均寄存器数。

步骤4，保存标志文件；

将步骤3中提取的所有的恶意应用的应用权限个数，申请的组件个数保存为‘malicious_manifest.txt’文件，所有的良性应用的应用权限个数，申请的组件个数保存为‘benign_manifest.txt’文件，所有的恶意应用的应用smali文件信息保存为‘malicious_smali.txt’文件，所有的良性应用的应用smali文件信息保存为‘benign_smali.txt’文件。

步骤5，提取分簇集进行分簇；

利用步骤3中提取的‘malicious_manifest.txt’文件，从中随机选择定量的恶意应用样本数据作为分簇集，本实例中选取2000个恶意应用数据作为分簇集。

利用KMeans算法对分簇集进行分簇，将每个恶意应用看成一个样本点，KMeans算法首先随机选取k个质心既k个簇，然后计算每个样本点到所有质心的距离，每个样本点距离每个质心的都有一个距离值；将距离值按从大到小排序，选取最小距离的样本点并将它加入与最小距离相关的质心所代表的簇构成新的簇，计算该簇内所有点的中心点作为该簇的质心代替原来质心；然后再计算除簇内样本点以外的每个样本点到新质心的距离，将距离从大到小排序，选取最小距离的样本点并将它加入与最小距离相关的质心所代表的簇构成新的簇，更新质心。重复上述步骤直到所有点都入簇为止。

本发明选取不同质心数k，每种质心数k重复多次试验，最终产生k个簇，每个簇有一定量的恶意应用。根据实验结果，不同质心数多次试验中的每个簇大小波动变化最小的质心数作为最终的质心数，既簇数。然后在该簇数下，选择试验结果中每簇大小出现次数最多的情况作为分簇结果。本实例中选择不同簇数簇大小波动情况如图1所示；

根据图1波动情况，本实例选择5簇作为最终分簇数，5簇重复10次每次每簇的结果如表1；

表1

次数	第一簇	第二簇	第三簇	第四簇	第五簇
						1th	11	52	345	673	919
2th	11	52	345	673	919
						3th	11	52	346	673	918
4th	11	52	345	673	919
						5th	11	52	346	673	918
6th	11	52	344	674	919
						7th	11	52	345	673	919
8th	11	52	345	673	919
						9th	11	52	345	673	919
10th	11	52	344	674	919

根据表1中数据，从重复的10次分簇中选取出现情况最多的第一次作为分簇的结果。

步骤6，初次构建训练集和测试集；

根据步骤5中的分簇结果，每一簇恶意样本都有其自己的包涵的样本数，对于每一簇C_i(i＝1,2,3…)而言，从良性样本中按照一定比例随机选取一定数量的样本与之结合构成训练集CTrain_i(i＝1,2,3…)。然后从恶意样本中选取除步骤5中分簇集以外的一定数量恶意样本，并结合从良性应用样本中选取除CTrain_i(i＝1,2,3…)良性样本以外的一定数量良性样本构建测试集CTest_i(i＝1,2,3…)。

本实例中构建训练集和测试集情况如表2和表3；

表2初始训练集

表3初始测试集

步骤7，初次训练模型；

选择多种回归算法作为训练算法训练步骤6中的CTrain_i(i＝1,2,3…)，产生训练模型并利用步骤6中CTest_i(i＝1,2,3…)进行测试，将测试结果和真实结果对比，测试正确的结果占整个真实结果的比率既为准确率。

在CTrain_i(i＝1,2,3…)中不同的算法产生不同的准确率，选取准确率最高的算法作为该簇的最终算法，并记录该训练模型CModel_i(i＝1,2,3…)。本实例中各簇对应算法产生的准确率如表4；

表4各簇对应算法产生的准确率

根据表4，对于每一簇选择准确率最高的作为该簇的训练算法并得到模型如表5；

表5

	回归算法
		第一簇	MLPRegressor
第二簇	MLPRegressor
		第三簇	MLPRegressor
第四簇	MLPRegressor
		第五簇	MLPRegressor

步骤8，再次构建训练集和测试集。

从恶意样本中选取除步骤6，步骤7中使用过以外的一定量恶意样本，结合从良性样本中本中选取除步骤6，步骤7中使用过以外的一定量良性样本构成临时训练集TempTrain，利用步骤7中CModel_i(i＝1,2,3…)计算TempTrain产生结果作为最终训练集FinalTrain,

从良性样本中选取除步骤6，步骤7以及TempTrain中良性样本以外的良性样本，结合从恶意样本中选取除步骤6，步骤7以及TempTrain中恶意样本以外的恶意样作为测试集TempTest,利用步骤7中CModel_i(i＝1,2,3…)计算TempTest产生结果作为最终训练集FinalTest。

步骤9，再次训练模型。选择多种回归算法作为训练算法训练步骤8中FinalTrain，产生训练模型并利用步骤8中FinalTest进行测试，将测试结果和真实结果对比，测试正确的结果占整个真实结果的比率既为准确率。在FinalTrain中不同的算法产生不同的准确率，选取准确率最高的算法作为最终算法，并记录该训练模型FinalModel。

本实例中对不同算法的准确度记录如表6；

表6不同算法得到的检测模型准确度

回归算法	准确度
		SVR	0.9703799098518996
MLPRegressor	0.9748873148744366
		RandomForestRegressor	0.9716677398583387
KNeighborsRegressor	0.6780424983902125
		Ridge	0.6780424983902125
LinearRegression	0.6780424983902125
		BayesianRidge	0.9748873148744366

根据表6所述结果，本实例选择MLPRegressor作为最终的训练算法并训练FinalTrain产生FinalModel；

步骤10，利用步骤9中FinalModel对待检测的Android应用进行检测，识别是否为恶意应用。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims

1.一种基于多类特征的Android恶意应用检测方法，其特征在于，包括以下步骤：

步骤1：采集样本数据；

步骤2：对每个样本进行反编译，得到各样本的标志文件；

步骤3：从标志文件中提取特征数据；

步骤4：基于特征数据构建特征文件；

其中，分簇数设定为M，取值范围为3-10；

步骤7：构建各类Android恶意应用检测模型；

2.根据权利要求1所述的方法，其特征在于，基于步骤7得到的各类Android恶意应用检测模型，按照以下步骤得到一个最终的Android恶意应用检测模型：

3.根据权利要求2所述的方法，其特征在于，基于最终训练集FinalTrain中所有Android应用APP的特征数据和应用APP标记分别作为输入数据和输出数据，采用多种回归模型进行训练得到多个Android恶意应用检测模型，利用最终测试集FinalTest对多个检测模型进行测试，以准确度最高的检测模型作为最终的Android恶意应用检测模型；

所述最终测试集FinalTest的构建过程如下：

4.根据权利要求1-3任一项所述的方法，其特征在于，在步骤5中利用K-means聚类方法对分簇集进行分簇时，令分簇数M依次从3到10取值，获得各种分簇结果中，从分簇结果中选择所有簇的大小波动均值最小的分簇数，作为最终的分簇数。

5.根据权利要求4所述的方法，其特征在于，基于初始测试集中所有Android应用APP的特征数据和应用APP标记分别作为输入数据和输出数据，采用多种回归模型进行训练得到各个类的多个Android恶意应用检测模型，以准确度最高的Android恶意应用检测模型作为每一类最佳的检测模型；