CN108287993A - 一种移动端的恶意软件聚类检测方法 - Google Patents

Abstract

本发明针对目前移动智能平台恶意软件太多，手机容易中毒等情况，通过对恶意软件在行为上的相似性特征来分析，提出了一种基于行为的移动端恶意软件聚类检测方法;该方法构建了软件行为刻画特征集合，通过定制ROM的方式来构建行为捕获机制并采集恶意软件的行为日志，基于行为日志提炼恶意软件特征集；本方法通过对恶意软件的家族归类，起到了保护人们手机的安全性作用。

Description

一种移动端的恶意软件聚类检测方法

技术领域

本发明属于移动端技术领域，是一种检查恶意软件聚类的方法。

背景技术

随着移动互联网高速发展，智能终端设备已成为人们生活、工作的重要部分; 智能终端设备的广泛使用导致其恶意程序急剧增加;智能终端恶意应用主要通过恶意扣费、隐私窃取、诱骗欺诈等方式实施恶意行为，对用户的隐私和经济利益构成了严重威胁。

发明内容

本方法具体如下：

1.行为监控包括了ROM定制，行为触发和行为日志;

(1) ROM定制:为了获取API函数调用及其上下文环境，在ROM定制中，我们对需要监控的API函数的实现代码内部中添加了监控模块;当恶意应用在定制ROM中运行时，一旦恶意应用调用了这些API函数，监控代码就会将该函数的名称及其上下文环境输出到日志中;

(2)行为触发:在定制的ROM中测试恶意应用时，需要模拟用户的操作和外部广播事件来尽量触发恶意应用的功能操作;对于行为触发使用了事件触发和启发式探索来达到智能执行，提高了行为触发的覆盖率;

(3)行为日志:在定制的ROM中通过行为触发可以得到行为日志，包含调用时间、调用该函数的程序进程id、线程id、调用函数名、返回值、调用参数和调用堆栈；

2.家族分类:通过行为监控部分，可以得到每一个恶意样本的行为日志在家族分类部分中，需要对行为日志进行分析，从中提取行为特征，然后使用聚类算法将每一个恶意样本进行聚类;

(1)特征提取:从行为日志中可以提取出两个特征，分别为API函数名和函数堆栈;由于同一种家族恶意软件的行为大致相同或相似，因而它们分别调用的API函数重复率较高;而函数堆栈不仅包含调用的API函数，还包含着程序人口点到该函数的调用流程;

(2)聚类计算:目前，常见的聚类算法有基于划分的方法、基于层次的方法和基于密度的方法等;本方法使用DBSCAN这种基于密度的算法来进行聚类计算。

Claims (1)

1.一种移动端的恶意软件聚类检测方法，其特征在于:本方法由行为监控和家族分类两部分构成，通过模拟用户点击行为和广播事件尽可能触发恶意软件的行为，从而生成恶意软件的行为日志; 通过行为日志提取出恶意软件的行为特征，然后使用DBSCAN算法对其进行聚类计算，得到的分类结果可用于新样本的家族归属预测。