CN104751052A - 基于svm算法的移动智能终端软件的动态行为分析方法 - Google Patents
基于svm算法的移动智能终端软件的动态行为分析方法 Download PDFInfo
- Publication number
- CN104751052A CN104751052A CN201310742073.3A CN201310742073A CN104751052A CN 104751052 A CN104751052 A CN 104751052A CN 201310742073 A CN201310742073 A CN 201310742073A CN 104751052 A CN104751052 A CN 104751052A
- Authority
- CN
- China
- Prior art keywords
- behavior
- software
- intelligent terminal
- mobile intelligent
- svm algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种基于SVM算法的移动智能终端软件的动态行为分析方法。第一步,终端执行软件,捕获软件运行时所调用的API函数;第二步,分析5个敏感行为相关的NativeAPI调用序列,5个敏感行为为特权行为、进程行为、文件行为、网络行为和终端内存操作行为,统计出这5个敏感行为相关NativeAPI函数的调用频率;第三步,将调用频率作为软件的动态行为特征,送入云端用SVM算法进行建模并训练分类器,最终利用学习好的分类器检测出恶意的软件行为。本发明采用动态检测技术可以不受变形和加壳加密技术的影响,且能够分析检测自修改程序,弥补静态行为分析无法检测变种行为的不足,能够高效的检测出恶意的软件行为。
Description
技术领域
本发明属于计算机监控领域,特别是一种基于SVM算法的移动智能终端软件的动态行为分析方法。
背景技术
随着移动互联网的快速发展,移动智能终端得到迅速普及,不经意间影响着人们的生活方式,改变着未来的产业格局。正是用户规模的扩大导致移动智能终端正面临着日益严重的威胁,由于其自身特点,导致这些危害行为来自各方面,十分复杂,而在众多安全威胁当中,由恶意的软件行为所引发的危害是几乎全部用户都面临的,也是影响最大的。研究如何检测出恶意的软件行为,从而为移动智能终端提供安全保障是迫在眉睫的。
目前的软件分析技术主要分为动态方法和静态方法,动态行为分析是指在严格控制的环境中(如沙盒、虚拟机、物理隔绝的主机等)执行软件的安装和运行等操作,并记录其行为以及对系统环境和资源造成的影响。通过对行为状况的分析,来检测软件是否具有窃密隐私、吸费、非法内容传播等恶意行为。
动态检测技术一般有状态对比和行为跟踪两种方法。
发明内容
1、本发明的目的。
本发明基于现有技术提出一种基于SVM算法的移动智能终端软件的动态行为分析方法,从而检测出恶意的软件行为,保护移动智能终端安全。
2、本发明所采用的技术方案。
基于SVM算法的移动智能终端软件的动态行为分析方法,步骤如下:
第一步,终端执行软件,捕获软件运行时所调用的API函数。
第二步,分析5个敏感行为相关的Native API调用序列,5个敏感行为为特权行为、进程行为、文件行为、网络行为和终端内存操作行为,统计出这5个敏感行为相关Native API函数的调用频率。
第三步,将调用频率作为软件的动态行为特征,送入云端用SVM算法进行建模并训练分类器,最终利用学习好的分类器检测出恶意的软件行为。
3、本发明的有益效果。
(1)本发明采用动态检测技术可以不受变形和加壳加密技术的影响,且能够分析检测自修改程序,可以弥补静态行为分析无法检测变种行为的不足。
(2)本发明充分考虑了移动智能终端固有的特点和安全机制,因此能够更高效的检测出恶意的软件行为。
附图说明
图1是动态行为分析流程图。
图2是SVM算法执行流程图。
具体实施方式
实施例1
结合图1,本发明涉及一种基于SVM算法的移动智能终端软件的动态行为分析方法,步骤如下:
第一步,终端执行软件,捕获软件运行时所调用的API函数。
第二步,分析5个敏感行为相关的Native API调用序列,5个敏感行为为特权行为、进程行为、文件行为、网络行为和终端内存操作行为,统计出这5个敏感行为相关Native API函数的调用频率。
第三步,将调用频率作为软件的动态行为特征,送入云端用SVM算法进行建模并训练分类器,最终利用学习好的分类器检测出恶意的软件行为。
实施例2
结合图2,基于SVM算法的移动智能终端软件的动态行为分析方法,步骤如下:
第一步、运行样本软件,利用HOOK API技术捕获软件的系统API函数调用序列,并统计出5个敏感行为相关的Native API函数的调用频率。这5个敏感行为是特权行为,进程行为,文件行为、网络行为和终端内存操作行为。
1、查找出系统中5个敏感行为的系统调用所对应的入口地址。
2、利用HOOK技术,通过入口地址实现系统调用的拦截,捕获到各自的API调用序列。关键代码如下:
size_t hook_sysread(int fd,ehar*buf,size_t count)
{
//添加统计功能
return orig_read(fd,buf,count);
}
static int_init hook_start(void)
{
unsigned long *sys_call_table=0xe0021d24;
orig_read=sys_call_table[_NR_read];
sys_call_table[_NR_read]=hook_sysread;
return 0;
}
static void-exit hook_stop(void)
{
unsigned long *sys_call_table=0xe0021d24;
sys_call_table[_NR_read]=&orig_read;
……
}
Module_init(hook_start);
Module_exit(hook--stop);
3、统计出5个敏感行为相关的Native API函数调用频率,并以此作为动态行为特征。
第二步,如图2所示,将行为特征送入云端进行处理。通过SVM算法选中适当模型参数来训练SVM分类模型,之后不断利用样本数据让分类器进行学习完善,得到最终的SVM分类检测模型,从而检测出恶意的软件行为。
上述实施例不以任何方式限制本发明,凡是采用等同替换或等效变换的方式获得的技术方案均落在本发明的保护范围内。
Claims (3)
1.一种基于SVM算法的移动智能终端软件的动态行为分析方法,其特征在于采用云处理和机器学习,具体步骤如下:
第一步,终端执行软件,捕获软件运行时所调用的API函数;
第二步,分析5个敏感行为相关的Native API调用序列,5个敏感行为为特权行为、进程行为、文件行为、网络行为和终端内存操作行为,统计出这5个敏感行为相关Native API函数的调用频率;
第三步,将调用频率作为软件的动态行为特征,送入云端用SVM算法进行建模并训练分类器,最终利用学习好的分类器检测出恶意的软件行为。
2.根据权利要求1所述的基于SVM算法的移动智能终端软件的动态行为分析方法,其特征在于:所述第二步按照如下方式进行:
(1)、查找出系统中5个敏感行为的系统调用所对应的入口地址;
(2)、利用HOOK技术,通过入口地址实现系统调用的拦截,捕获到各自的API调用序列。
3.根据权利要求1所述的基于SVM算法的移动智能终端软件的动态行为分析方法v,其特征在于:利用HOOK API技术捕获软件的系统API函数调用序列。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310742073.3A CN104751052A (zh) | 2013-12-30 | 2013-12-30 | 基于svm算法的移动智能终端软件的动态行为分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310742073.3A CN104751052A (zh) | 2013-12-30 | 2013-12-30 | 基于svm算法的移动智能终端软件的动态行为分析方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104751052A true CN104751052A (zh) | 2015-07-01 |
Family
ID=53590724
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310742073.3A Pending CN104751052A (zh) | 2013-12-30 | 2013-12-30 | 基于svm算法的移动智能终端软件的动态行为分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104751052A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105159828A (zh) * | 2015-08-25 | 2015-12-16 | 中国人民解放军信息工程大学 | 源代码级的上下文敏感性检测方法 |
| CN105956474A (zh) * | 2016-05-17 | 2016-09-21 | 武汉虹旭信息技术有限责任公司 | Android平台软件异常行为检测系统 |
| CN106709349A (zh) * | 2016-12-15 | 2017-05-24 | 中国人民解放军国防科学技术大学 | 一种基于多维度行为特征的恶意代码分类方法 |
| CN106778247A (zh) * | 2016-12-15 | 2017-05-31 | 江苏通付盾科技有限公司 | 应用程序动态分析的方法及装置 |
| CN106803040A (zh) * | 2017-01-18 | 2017-06-06 | 腾讯科技(深圳)有限公司 | 病毒特征码处理方法及装置 |
| CN107045607A (zh) * | 2016-12-13 | 2017-08-15 | 全球能源互联网研究院 | 应用异常行为识别模型建立方法及装置、识别方法及装置 |
| CN107493299A (zh) * | 2017-09-20 | 2017-12-19 | 杭州安恒信息技术有限公司 | 一种基于三层架构的用户行为溯源方法 |
| WO2018023705A1 (zh) * | 2016-08-05 | 2018-02-08 | 深圳中兴力维技术有限公司 | 一种应用程序编程接口异常使用的检测方法和装置 |
| CN108376081A (zh) * | 2016-11-21 | 2018-08-07 | 北京大学(天津滨海)新代信息技术研究院 | 一种检测移动应用第三方库功能的方法 |
| CN109145590A (zh) * | 2018-07-27 | 2019-01-04 | 平安科技(深圳)有限公司 | 一种函数hook检测方法、检测设备及计算机可读介质 |
| CN110008700A (zh) * | 2019-03-20 | 2019-07-12 | 北京大学 | 一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置 |
| CN110502874A (zh) * | 2019-07-19 | 2019-11-26 | 西安理工大学 | 一种基于文件自修改的Android App加固方法 |
| CN110737891A (zh) * | 2018-07-19 | 2020-01-31 | 北京京东金融科技控股有限公司 | 一种主机入侵检测方法和装置 |
| CN111756760A (zh) * | 2020-06-28 | 2020-10-09 | 深圳壹账通智能科技有限公司 | 基于集成分类器的用户异常行为检测方法及相关设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102034050A (zh) * | 2011-01-25 | 2011-04-27 | 四川大学 | 基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法 |
| CN103136476A (zh) * | 2011-12-01 | 2013-06-05 | 深圳市证通电子股份有限公司 | 移动智能终端恶意软件分析系统 |
| CN103339635A (zh) * | 2011-01-31 | 2013-10-02 | 国际商业机器公司 | 确定计算机软件应用对于特权升级攻击的脆弱性 |
-
2013
- 2013-12-30 CN CN201310742073.3A patent/CN104751052A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102034050A (zh) * | 2011-01-25 | 2011-04-27 | 四川大学 | 基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法 |
| CN103339635A (zh) * | 2011-01-31 | 2013-10-02 | 国际商业机器公司 | 确定计算机软件应用对于特权升级攻击的脆弱性 |
| CN103136476A (zh) * | 2011-12-01 | 2013-06-05 | 深圳市证通电子股份有限公司 | 移动智能终端恶意软件分析系统 |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105159828B (zh) * | 2015-08-25 | 2018-02-02 | 中国人民解放军信息工程大学 | 源代码级的上下文敏感性检测方法 |
| CN105159828A (zh) * | 2015-08-25 | 2015-12-16 | 中国人民解放军信息工程大学 | 源代码级的上下文敏感性检测方法 |
| CN105956474A (zh) * | 2016-05-17 | 2016-09-21 | 武汉虹旭信息技术有限责任公司 | Android平台软件异常行为检测系统 |
| CN105956474B (zh) * | 2016-05-17 | 2018-12-25 | 武汉虹旭信息技术有限责任公司 | Android平台软件异常行为检测系统 |
| WO2018023705A1 (zh) * | 2016-08-05 | 2018-02-08 | 深圳中兴力维技术有限公司 | 一种应用程序编程接口异常使用的检测方法和装置 |
| CN108376081A (zh) * | 2016-11-21 | 2018-08-07 | 北京大学(天津滨海)新代信息技术研究院 | 一种检测移动应用第三方库功能的方法 |
| CN107045607A (zh) * | 2016-12-13 | 2017-08-15 | 全球能源互联网研究院 | 应用异常行为识别模型建立方法及装置、识别方法及装置 |
| CN106709349B (zh) * | 2016-12-15 | 2019-10-29 | 中国人民解放军国防科学技术大学 | 一种基于多维度行为特征的恶意代码分类方法 |
| CN106778247A (zh) * | 2016-12-15 | 2017-05-31 | 江苏通付盾科技有限公司 | 应用程序动态分析的方法及装置 |
| CN106709349A (zh) * | 2016-12-15 | 2017-05-24 | 中国人民解放军国防科学技术大学 | 一种基于多维度行为特征的恶意代码分类方法 |
| CN106803040A (zh) * | 2017-01-18 | 2017-06-06 | 腾讯科技(深圳)有限公司 | 病毒特征码处理方法及装置 |
| CN106803040B (zh) * | 2017-01-18 | 2021-08-10 | 腾讯科技(深圳)有限公司 | 病毒特征码处理方法及装置 |
| CN107493299A (zh) * | 2017-09-20 | 2017-12-19 | 杭州安恒信息技术有限公司 | 一种基于三层架构的用户行为溯源方法 |
| CN110737891A (zh) * | 2018-07-19 | 2020-01-31 | 北京京东金融科技控股有限公司 | 一种主机入侵检测方法和装置 |
| CN109145590A (zh) * | 2018-07-27 | 2019-01-04 | 平安科技(深圳)有限公司 | 一种函数hook检测方法、检测设备及计算机可读介质 |
| CN109145590B (zh) * | 2018-07-27 | 2023-04-07 | 平安科技(深圳)有限公司 | 一种函数hook检测方法、检测设备及计算机可读介质 |
| CN110008700A (zh) * | 2019-03-20 | 2019-07-12 | 北京大学 | 一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置 |
| CN110502874B (zh) * | 2019-07-19 | 2021-05-25 | 西安理工大学 | 一种基于文件自修改的Android App加固方法 |
| CN110502874A (zh) * | 2019-07-19 | 2019-11-26 | 西安理工大学 | 一种基于文件自修改的Android App加固方法 |
| CN111756760A (zh) * | 2020-06-28 | 2020-10-09 | 深圳壹账通智能科技有限公司 | 基于集成分类器的用户异常行为检测方法及相关设备 |
| CN111756760B (zh) * | 2020-06-28 | 2022-11-18 | 深圳壹账通智能科技有限公司 | 基于集成分类器的用户异常行为检测方法及相关设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104751052A (zh) | 基于svm算法的移动智能终端软件的动态行为分析方法 | |
| Ham et al. | Analysis of android malware detection performance using machine learning classifiers | |
| CN108280350B (zh) | 一种面向Android的移动网络终端恶意软件多特征检测方法 | |
| CN102647421B (zh) | 基于行为特征的web后门检测方法和装置 | |
| Xiong et al. | Android malware detection with contrasting permission patterns | |
| Li et al. | An Android malware detection method based on AndroidManifest file | |
| CN103839005A (zh) | 移动操作系统的恶意软件检测方法和恶意软件检测系统 | |
| CN105531712A (zh) | 移动设备上的基于数据流的行为分析 | |
| CN104809397A (zh) | 一种基于动态监控的Android恶意软件的检测方法及系统 | |
| CN103500307A (zh) | 一种基于行为模型的移动互联网恶意应用软件检测方法 | |
| CN103440459A (zh) | 一种基于函数调用的Android恶意代码检测方法 | |
| CN103309808A (zh) | 基于标签的安卓用户隐私泄露黑盒检测方法及系统 | |
| WO2017071148A1 (zh) | 基于云计算平台的智能防御系统 | |
| Jang et al. | Andro-profiler: anti-malware system based on behavior profiling of mobile malware | |
| CN110851834B (zh) | 融合多特征分类的安卓恶意应用检测方法 | |
| Babun et al. | A system-level behavioral detection framework for compromised CPS devices: Smart-grid case | |
| CN103617393A (zh) | 一种基于支持向量机的移动互联网恶意应用软件检测方法 | |
| CN103401845A (zh) | 一种网址安全性的检测方法、装置 | |
| CN104751053A (zh) | 移动智能终端软件的静态行为分析方法 | |
| CN105069374A (zh) | 一种隐私数据拦截保护方法及系统 | |
| CN113761529A (zh) | 一种基于异构图学习的安卓恶意软件检测系统和方法 | |
| Sun et al. | Malware detection on Android smartphones using keywords vector and SVM | |
| Tabrizi et al. | A model-based intrusion detection system for smart meters | |
| CN111259382A (zh) | 恶意行为识别方法、装置、系统和存储介质 | |
| CN105740709B (zh) | 一种基于权限组合的安卓恶意软件检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150701 |