CN105468977A - 一种基于朴素贝叶斯的Android恶意软件分类方法和装置 - Google Patents

Abstract

本发明公开了一种基于朴素贝叶斯的Android恶意软件分类方法和装置，该方法主要通过动静态结合的方法提取恶意软件的权限属性特征和敏感API属性特征，并采用朴素贝叶斯算法进行分类，该装置包括特征属性集合模块、权限特征属性模块、敏感API特征属性模块、朴素贝叶斯分类模型模块、输出模块、更新模块、该算法有坚实的数学基础，稳定的分类效率，所需参数也比较少，算法简单，能对恶意应用快速、准确的进行分类，提高了分类效率。

Description

一种基于朴素贝叶斯的Android恶意软件分类方法和装置

技术领域

本发明涉及软件安全领域，特别是涉及一种基于朴素贝叶斯的Android恶意软件分类方法和装置。

背景技术

Android自2007年问世以来，Google公司将其定位为开源的移动操作系统，采用软件堆层的架构，底层以Linux内核为基础，中间层包含软件库和Dalivk虚拟机，最上层是各种应用程序。随着Android的迅速发展，基于Android平台的移动终端、软件开发者、应用程序也日益增多，以成为智能手机市场的主导地位，但也正由于它自身的开源性，成为了众多恶意软件开发者的目标，新的恶意软件、变种木马每个季度都在爆发式的增长，移动终端遭受的攻击和威胁、私密信息的泄露也越来越多。

目前Android平台应用更多的焦点是关注在恶意行为如何触发捕捉，如何判别行为是否存在恶意，仅停留在区分正常应用与恶意应用层次，然而对于恶意应用进一步的细分类，更多的是参考Androguard，MobileSandbox等知名团队定期的公布Android恶意软件分类列表。

现有的对恶意应用的进行分类，寻找共通性方面缺乏，更多依赖于知名团队的定期发布的结果列表，但随着Android恶意应用指数型增长的速度，这种方式缺乏实时性，灵活性。

随着Android平台的快速发展，恶意应用出现的速度越来越快，据统计，新出现的恶意代码大部分是在原恶意代码基础上进一步修改而来。新生成的恶意应用通常是设计者为了绕过反病毒软件的查杀，而在原有基础上修改而成。因此，采用变形技术生成的新的恶意应用不仅与原恶意应用存在共性，而且新生成的恶意应用之间也存在共性。如果能根据已知恶意应用代码类别对新生成的恶意应用代码进行快速、准确的分类，并提取出“共性”特征，能极大的缩短对新恶意软件的分析时间，提高分析效率。

现有的对恶意应用细化的分类，由于寻找同类应用的“共性”方面缺乏，更多的是依赖于MobileSandbox这类的团队定期发布的分类列表。然而面对层出不穷的恶意程序的新变种及未知恶意程序，仅仅靠定期发布的分类列表是远远不足的，目前常用的分类算法有：支持向量机、K-最近邻、神经网络等算法等。支持向量机(SupportVectorMachine，SVM)，可以很好的解决高维问题、非线性问题，但对缺失数据的敏感度高；K-最邻近(kneareastneighbor,KNN)算法简单、有效，但计算量大，当样本不平衡时出错率高；人工神经网络算法分类准确度高，但需要大量的参数支持。

发明内容

本发明提出一种基于朴素贝叶斯的Android恶意软件分类方法和装置，通过选取恶意应用程序间的“共性”来作为分类依据，能对恶意应用快速、准确的进行分类，提高了分类效率。

具体方案如下：

一种基于朴素贝叶斯的Android恶意软件分类方法，包括以下步骤：

S1：建立特征属性集合，该特征属性集合至少包括权限特征属性和敏感API特征属性，并对相应的特征属性进行分类，获得训练样本集合，该训练样本集合至少包括特征属性集合和分类集合；

S2：提取权限特征属性，匹配特征属性集合中的权限特征属性；

S3：收集日志信息，匹配特征属性集合中的敏感API(ApplicationProgrammingInterface,应用程序编程接口)特征属性；

S4：形成朴素贝叶斯分类模型；

S5：输出分类结果；

S6：更新训练样本集合和朴素贝叶斯分类模型。

其中，所述的步骤S2中提取权限特征属性，匹配特征属性集合中的权限特征属性的具体步骤是：

S21：反编译待分类软件，获取待分类软件的权限特征属性；

S22：将获取到的样本权限列表与属性特征相匹配，如果存在,则标记为第一标志符，否则标记为第二标志符。

其中，所述的步骤S3中收集日志信息，匹配特征属性集合中的敏感API特征属性的具体步骤是：

S31：将待分类软件安装到Android沙箱中运行，并采集输出的敏感行为日志；

S32：Android沙箱在应用程序Framework框架层、Dalvik虚拟机和本地Native层采用APIHooking技术，标记敏感API；

S33：触发敏感API，自动记录日志；

S34：采集输出的日志信息，匹配属性特征集合中的敏感API特征属性，如果存在,则标记为第一标志符，否则标记为第二标志符。

其中，所述的步骤S4中形成分类朴素贝叶斯分类模型的具体步骤是：

S41：设X＝{a₁,a₂,...,a_m}，为一待分类软件，每个a为X的特征属性，分类集合C＝{C₁,C₂,....,C_n}，计算P(C₁|X),P(C₂|X),...,P(C_n|X)；

S42：如果P(C_k|X)＝MAX{P(C₁|X),P(C₂|X),...,P(C_n|X)},则X∈C_k。

其中，所述的步骤S41计算P(C₁|X),P(C₂|X),...,P(Cn|X)的具体步骤是：

S411：统计训练样本集合中各特征属性下的条件概率：

P(a₁|C₁),P(a₂|C₁),...,P(a_m|C₁)；P(a₁|C₂),P(a₂|C₂),...,P(a_m|C₂)；...；P(a₁|C_n),P(a₂|C_n),...,P(a_m|C_n)；

S412：根据贝叶斯定理而各属性值相互条件独立，即属性间不存在依赖关系，有 $P\left(X\right|C_i)P\left(C_i\right)=P\left(C_i\right)\underset{j=1}{\overset{m}{\Π}}P\left(a_j\right|C_i).$

一种基于朴素贝叶斯的Android恶意软件分类的装置，包括以下模块：

特征属性集合模块，用于建立特征属性集合，该特征属性集合至少包括权限特征属性和敏感API特征属性，并对相应的特征属性进行分类，获得训练样本集合，该训练样本集合至少包括特征属性集合和分类集合；

权限特征属性模块，用于提取权限特征属性，匹配特征属性集合中的权限特征属性；

敏感API特征属性模块，用于收集日志信息，匹配特征属性集合中的敏感API特征属性；

朴素贝叶斯分类模型模块，用于形成朴素贝叶斯分类模型；

输出模块，用于输出分类结果；

更新模块，用于更新训练样本集合和朴素贝叶斯分类模型。

其中，所述的权限特征属性模块包括：

权限特征属性获取模块，用于反编译待分类软件，获取待分类软件的权限特征属性；

权限特征属性匹配模块，用于将获取到的样本权限列表与属性特征相匹配，如果存在,则标记为第一标志符，否则标记为第二标志符。

其中，所述的敏感API特征属性模块包括：

敏感行为日志采集模块，用于将待分类软件安装到Android沙箱中运行，并采集输出的敏感行为日志；

敏感API标记模块，用于Android沙箱在应用程序Framework框架层、Dalvik虚拟机和本地Native层采用APIHooking技术，标记敏感API；

自动记录模块，用于触发敏感API，自动记录日志；

敏感API特征属性匹配模块，用于采集输出的日志信息，匹配属性特征集合中的敏感API特征属性，如果存在,则标记为第一标志符，否则标记为第二标志符。

其中，所述的朴素贝叶斯分类模型模块中包括：

分类计算模块，设X＝{a₁,a₂,...,a_m}，为一待分类软件，每个a为X的特征属性，分类集合C＝{C₁,C₂,....,C_n}，计算P(C₁|X),P(C₂|X),...,P(C_n|X)，

分类判别模块，如果P(C_k|X)＝MAX{P(C₁|X),P(C₂|X),...,P(C_n|X)},则X∈C_k。

其中，其特征在于，所述的分类计算模块包括：

条件概率计算模块，用于统计训练样本集合中各特征属性下的条件概率：

P(a₁|C₁),P(a₂|C₁),...,P(a_m|C₁)；P(a₁|C₂),P(a₂|C₂),...,P(a_m|C₂)；...；P(a₁|C_n),P(a₂|C_n),...,P(a_m|C_n)；

分子计算模块，根据贝叶斯定理而各属性值相互条件独立，即属性间不存在依赖关系，有

附图说明

图1为一实施例的特征属性列表；

图2为一实施例的主流程图；

具体实施方式

为进一步说明各实施例，本发明提供有附图。这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。现结合附图和具体实施方式对本发明进一步说明。

本实施例中，首先对已公布的应用软件进行特征属性的提取，建立一个特征属性列表及及其训练集合。目前现有的分析APK应用的方法有两种，静态分析和动态分析。

静态分析主要通过文件结构解析、反汇编、反编译等技术对恶意代码进行分析，不实际运行恶意代码，而是通过捕获恶意代码的程序流程和功能，但由于加壳、多态和变形技术的应用，使得静态分析技术要求高难度大；动态分析是通过在一个可控的环境中运行恶意应用，利用APIHooking等技术对恶意代码运行过程中的行为进行监测，分析恶意应用代码与操作系统之间的行为特征，能捕获到可靠、准确的特征，但该方法只能针对特定API接口有效，且运行时间长，加上反虚拟机技术的应用，准确性会大大降低。

在恶意应用分类中，选择恰当的属性特征对分类的准确性具有决定性的影响。在属性特征提取的过程中，抽象层次越高，越能反映出恶意应用的本质，对分类也越有效果，但是特征的提取过程也越复杂，反之则相反。本实施例考虑到静态分析技术的不足，通过动静结合思想，分析现有已公布的恶意应用软件，采集了30个使用频率最高的应用权限和10个使用频率最高的API接口作为属性特征列表，该属性列表如图1所示。

本领域技术人员应该知道，本实施例实施采用的特征属性列表，其中图1选取的属性特征，仅为本发明较佳的实施案例，仅用于帮助理解本发明的方法和思想。

图2示出了实施例的主流程图：该流程包括以下步骤：

S1：反编译APK；

S2：提取权限列表；

S3：判断权限是否在属性列表中；

S4：在模拟器中模拟运行APK；

S5：收集日志信息；

S6：匹配属性列表中的敏感API接口；

S7：形成样本特征向量；

S8：形成分类模型；

S9：输出分类结果。

本实施例步骤S1至步骤S6均属于样本属性特征值得采集部分，分为静态采集和动态采集，其中步骤S1至步骤S3为静态采集部分，主要使用现有的APKTOOL工具，对待测样本进行反编译，获得其中的配置文件AndroidManifest.xml，并根据其中的声明的<uses-permission>字段列表，获取每个待测样本对应的权限列表信息。将获取到的样本权限列表与属性特征相匹配，如果存在,则标记为第一标志符，否则标记为第二标志符。步骤S3至步骤S6为动态采集部分通过将APK应用安装到自定义的Android沙箱(Android模拟器AVD)中运行，并采集输出的敏感行为日志。自定义的Android沙箱在应用程序Framework框架层、Dalvik虚拟机和本地Native层采用APIHooking技术，标记敏感API，一旦恶意应用触发敏感API，会自动记录日志。通过采集输出的日志信息，匹配属性列表中的API接口，如果存在,则标记为第一标志符，否则标记为第二标志符。

本实施例的朴素贝叶斯分类模型，以已采集的现有的特征集合进行分类，形成训练集合，设X＝{a₁,a₂,...,a_m}为一待分类软件，每个a为X的特征属性，分类集合C＝{C₁,C₂,....,C_n}，计算P(C₁|X),P(C₂|X),...,P(C_n|X)；

如果P(C_k|X)＝MAX{P(C₁|X),P(C₂|X),...,P(C_n|X)},则X∈C_k。

其中，各特征属性下的条件概率可由训练样本的数据计算得出：

P(a₁|C₁),P(a₂|C₁),...,P(a_m|C₁)；P(a₁|C₂),P(a₂|C₂),...,P(a_m|C₂)；...；P(a₁|C_n),P(a₂|C_n),...,P(a_m|C_n)；

根据贝叶斯定理而各属性值相互条件独立，即属性间不存在依赖关系，有这样便可计算出属于每一类别的概率，最后以其中概率最大的类别作为该待测样本的类别并输出分类的结果。分类完成后对分类模型进行更新，以完善分类模型使分类更为准确。

基于上述的基于朴素贝叶斯的Android恶意软件分类的方法，本发明还提出一种基于朴素贝叶斯的Android恶意软件分类的装置，包括以下模块：

特征属性集合模块，用于建立特征属性集合，该特征属性集合至少包括权限特征属性和敏感API特征属性，并对相应的特征属性进行分类，获得训练样本集合，该训练样本集合至少包括特征属性集合和分类集合；

权限特征属性模块，用于提取权限特征属性，匹配特征属性集合中的权限特征属性；

敏感API特征属性模块，用于收集日志信息，匹配特征属性集合中的敏感API特征属性；

朴素贝叶斯分类模型模块，用于形成朴素贝叶斯分类模型；

输出模块，用于输出分类结果；

更新模块，用于更新训练样本集合和朴素贝叶斯分类模型。

其中，所述的权限特征属性模块包括：

权限特征属性获取模块，用于反编译待分类软件，获取待分类软件的权限特征属性；

权限特征属性匹配模块，用于将获取到的样本权限列表与属性特征相匹配，如果存在,则标记为第一标志符，否则标记为第二标志符。

其中，所述的敏感API特征属性模块包括：

敏感行为日志采集模块，用于将待分类软件安装到Android沙箱中运行，并采集输出的敏感行为日志；

敏感API标记模块，用于Android沙箱在应用程序Framework框架层、Dalvik虚拟机和本地Native层采用APIHooking技术，标记敏感API；

自动记录模块，用于触发敏感API，自动记录日志；

敏感API特征属性匹配模块，用于采集输出的日志信息，匹配属性特征集合中的敏感API特征属性，如果存在,则标记为第一标志符，否则标记为第二标志符。

其中，所述的朴素贝叶斯分类模型模块中包括：

分类计算模块，设X＝{a₁,a₂,...,a_m}，为一待分类软件，每个a为X的特征属性，分类集合C＝{C₁,C₂,....,C_n}，计算P(C₁|X),P(C₂|X),...,P(C_n|X)；

分类判别模块，如果P(C_k|X)＝MAX{P(C₁|X),P(C₂|X),...,P(C_n|X)},则X∈C_k。

其中，其特征在于，所述的分类计算模块包括：

条件概率计算模块，用于统计训练样本集合中各特征属性下的条件概率：

P(a₁|C₁),P(a₂|C₁),...,P(a_m|C₁)；P(a₁|C₂),P(a₂|C₂),...,P(a_m|C₂)；...；P(a₁|C_n),P(a₂|C_n),...,P(a_m|C_n)；

分子计算模块，根据贝叶斯定理而各属性值相互条件独立，即属性间不存在依赖关系，有

尽管结合优选实施方案具体展示和介绍了本发明，但所属领域的技术人员应该明白，在不脱离所附权利要求书所限定的本发明的精神和范围内，在形式上和细节上可以对本发明做出各种变化，均为本发明的保护范围。

Claims (10)

1.一种基于朴素贝叶斯的Android恶意软件分类方法，包括以下步骤：

S1：建立特征属性集合，该特征属性集合至少包括权限特征属性和敏感API特征属性，并对相应的特征属性进行分类，获得训练样本集合，该训练样本集合至少包括特征属性集合和分类集合；

S2：提取权限特征属性，匹配特征属性集合中的权限特征属性；

S3：收集日志信息，匹配特征属性集合中的敏感API特征属性；

S4：形成朴素贝叶斯分类模型；

S5：输出分类结果；

S6：更新训练样本集合和朴素贝叶斯分类模型。

2.根据权利要求1所述的基于朴素贝叶斯的Android恶意软件分类方法，其特征在于，所述的步骤S2中提取权限特征属性，匹配特征属性集合中的权限特征属性的具体步骤是：

S21：反编译待分类软件，获取待分类软件的权限特征属性；

S22：将获取到的样本权限列表与属性特征相匹配，如果该权限存在，则标记为第一标志符，否则标记为第二标志符。

3.根据权利要求1所述的基于朴素贝叶斯的Android恶意软件分类方法方法，其特征在于：所述的步骤S3中收集日志信息，匹配特征属性集合中的敏感API特征属性的具体步骤是：

S31：将待分类软件安装到Android沙箱中运行，并采集输出的敏感行为日志；

S32：Android沙箱在Framework框架层、Dalvik虚拟机和本地Native层采用APIHooking技术，标记敏感API；

S33：触发敏感API，自动记录日志；

S34：采集输出的日志信息，匹配属性特征集合中的敏感API特征属性，如果存在,则标记为第一标志符，否则标记为第二标志符。

4.根据权利要求1所述的基于朴素贝叶斯的Android恶意软件分类方法，其特征在于，所述的步骤S4中形成分类朴素贝叶斯分类模型的具体步骤是：

S41：设X＝{a₁,a₂,...,a_m}，为一待分类软件，每个a为X的特征属性，分类集合C＝{C₁,C₂,....,C_n}，计算P(C₁|X),P(C₂|X),...,P(C_n|X)；

S42：如果P(C_k|X)＝MAX{P(C₁|X),P(C₂|X),...,P(C_n|X)},则X∈C_k。

5.根据权利要求4所述的基于朴素贝叶斯的Android恶意软件分类方法，其特征在于，所述的步骤S41计算P(C₁|X),P(C₂|X),...,P(Cn|X)的具体步骤是：

S411：统计训练样本集合中各特征属性下的条件概率：

P(a₁|C₁),P(a₂|C₁),...,P(a_m|C₁)；P(a₁|C₂),P(a₂|C₂),...,P(a_m|C₂)；...；P(a₁|C_n),P(a₂|C_n),...,P(a_m|C_n)；

S412：根据贝叶斯定理而各属性值相互条件独立，即属性间不存在依赖关系，有

6.一种基于朴素贝叶斯的Android恶意软件分类的装置，包括以下模块：

特征属性集合模块，用于建立特征属性集合，该特征属性集合至少包括权限特征属性和敏感API特征属性，并对相应的特征属性进行分类，获得训练样本集合，该训练样本集合至少包括特征属性集合和分类集合；

权限特征属性模块，用于提取权限特征属性，匹配特征属性集合中的权限特征属性；

敏感API特征属性模块，用于收集日志信息，匹配特征属性集合中的敏感API特征属性；

朴素贝叶斯分类模型模块，用于形成朴素贝叶斯分类模型；

输出模块，用于输出分类结果；

更新模块，用于更新训练样本集合和朴素贝叶斯分类模型。

7.根据权利要求6所述的基于朴素贝叶斯的Android恶意软件分类的装置，其特征在于，所述的权限特征属性模块包括：

权限特征属性获取模块，用于反编译待分类软件，获取待分类软件的权限特征属性；

权限特征属性匹配模块，用于将获取到的样本权限列表与属性特征相匹配，如果该权限存在，则标记为第一标志符，否则标记为第二标志符。

8.根据权利要求6所述的基于朴素贝叶斯的Android恶意软件分类的装置，其特征在于，所述的敏感API特征属性模块包括：

敏感行为日志采集模块，用于将待分类软件安装到Android沙箱中运行，并采集输出的敏感行为日志；

敏感API标记模块，用于Android沙箱在应用程序Framework框架层、Dalvik虚拟机和本地Native层采用APIHooking技术，标记敏感API；

自动记录模块，用于触发敏感API，自动记录日志；

敏感API特征属性匹配模块，用于采集输出的日志信息，匹配属性特征集合中的敏感API特征属性，如果存在,则标记第一标志符，否则标记为第二标志符。

9.根据权利要求6所述的基于朴素贝叶斯的Android恶意软件分类的装置，其特征在于，所述的朴素贝叶斯分类模型模块中包括：

分类计算模块，设X＝{a₁,a₂,...,a_m}，为一待分类软件，每个a为X的特征属性，分类集合C＝{C₁,C₂,....,C_n}，计算P(C₁|X),P(C₂|X),...,P(C_n|X)；

分类判别模块，如果P(C_k|X)＝MAX{P(C₁|X),P(C₂|X),...,P(C_n|X)},则X∈C_k。

10.根据权利要求9所述的基于朴素贝叶斯的Android恶意软件分类的装置，其特征在于，所述的分类计算模块包括：

条件概率计算模块，用于统计训练样本集合中各特征属性下的条件概率：P(a₁|C₁),P(a₂|C₁),...,P(a_m|C₁)；P(a₁|C₂),P(a₂|C₂),...,P(a_m|C₂)；...；P(a₁|C_n),P(a₂|C_n),...,P(a_m|C_n)；

分子计算模块，根据贝叶斯定理而各属性值相互条件独立，即属性间不存在依赖关系，有