CN110795732A - 基于SVM的Android移动网络终端恶意代码的动静结合检测方法 - Google Patents

Abstract

本发明公开了一种基于SVM的Android移动网络终端恶意代码的动静结合检测方法，构建包含恶意软件和非恶意软件的训练样本数据集；获取训练样本数据集中每个样本的静态特征与动态行为特征，构建每个软件样本的特征向量；对所有软件样本的特征向量增加恶意软件标记字段，训练支持向量机分类器；对恶意软件样本的特征向量增加恶意软件类别标记字段，训练随机森林分类器；提取待测软件的静态特征向量和动态特征向量，构建待测软件的特征向量；利用支持向量机分类器进行恶意软件检；若检测为恶意的软件，则进一步利用随机森林分类器判断其所属的恶意软件家族。本发明提高了软件恶意行为检测的准确性，同时具有恶意家族分类的能力。

Description

基于SVM的Android移动网络终端恶意代码的动静结合检测 方法

技术领域

本发明属于信息安全领域，具体涉及一种基于SVM的Android移动网络终端恶意代码的动静结合检测方法。

背景技术

当前智能手机的应用已经涉及到人们生活的各个方面，而Android系统在智能手机中占有大量的份额，因此准确的检测Android恶意代码，对于保护Android用户隐私和财产安全具有重要的意义和应用价值。现有的Android恶意代码多标签检测的研究中，一般仅使用静态分析方法提取Android软件的特征，无法处理动态加载、运行时加解密等行为，恶意软件的检测精度和恶意家族的分类精度较低。

发明内容

本发明的目的在于提供一种基于SVM的Android移动网络终端恶意代码的动静结合检测方法。

实现本发明目的的技术解决方案为：一种基于SVM的Android移动网络终端恶意代码的动静结合检测方法，包括以下步骤：

步骤1、获取Android移动智能终端嵌入式恶意软件样本，并标记各样本所属的Android恶意软件家族，然后获取非恶意软件样本，从而构建包含恶意软件和非恶意软件的训练样本数据集；

步骤2、使用反编译工具处理Android软件样本，构建软件的静态特征向量；

步骤3、创建Android虚拟设备，使用Android软件动态分析工具，构建软件的动态特征向量；

步骤4、获取训练样本数据集中每个样本的静态特征与动态行为特征，构建每个软件样本的特征向量；

步骤5、对所有软件样本的特征向量增加恶意软件标记字段，指明该样本是否为恶意软件，利用带恶意软件标记字段的特征向量训练支持向量机分类器；

步骤6、对恶意软件样本的特征向量增加恶意软件类别标记字段，指明该样本所属的Android恶意软件家族，利用带恶意软件类别标记字段的特征向量训练随机森林分类器；

步骤7、提取待测软件的静态特征向量和动态特征向量，构建待测软件的特征向量；

步骤8、利用支持向量机分类器进行恶意软件检；若检测为恶意的软件，则进一步利用随机森林分类器判断其所属的恶意软件家族。

本发明与现有技术相比，其显著优点为：1)使用动静结合的方法分析待测软件，能够更全面获取软件的行为特征，对动态加载、加密等行为进行检测，提高了恶意性判定的准确性；2)通过使用脚本构建adb shell命令，模拟Android恶意软件通常监听的系统事件，能够有效触发软件恶意负载，提高了动态分析的效率；3)使用支持向量机判定软件的恶意性，并将随机森林引入到Android恶意家族的分类中，提高了恶意性判定精度和恶意家族分类精度。

附图说明

图1为基于SVM的Android移动网络终端恶意代码的动静结合检测方法流程图。

图2为构建的软件特征向量实例图。

图3为待测软件恶意性检测和家族分类流程图。

具体实施方式

下面结合附图和具体实施例，进一步说明本发明方案。

如图1所示，基于SVM的Android移动网络终端恶意代码的动静结合检测方法，包括以下步骤：

步骤1、获取Android移动智能终端嵌入式恶意软件样本，并标记各样本所属的Android恶意软件家族，然后获取非恶意软件样本，从而构建包含恶意软件和非恶意软件的训练样本数据集；

步骤2、使用反编译工具处理Android软件样本，构建软件的静态特征向量F_static；

使用APKParser处理Android软件样本，解析AndroidManifest.xml文件，根据xml中的标记字段，提取软件申请的权限列表、声明的组件以及软件监控的系统事件，构建软件静态特征向量F_static，可将其表示为下列三元组：

F_static＝<Per,Cpt,Act>

其中，Per为软件申请的所有权限的集合，Cpt为软件声明的所有组件集合，Act为软件监听的所有事件集合。

步骤3、创建Android虚拟设备，使用Android软件动态分析工具，构建软件的动态特征向量F_dynamic；

使用Android SDK工具创建Android虚拟设备，使用DroidBox作为Android软件动态分析工具，通过构建的MonkeyRunner脚本安装待检测的软件，模拟用户交互行为并仿真系统事件，收集监控到的软件动态行为，构建软件的动态特征；

其中仿真系统事件使用adb shell命令实现，关注的系统事件为Android恶意软件通常监听的10种系统事件，包括：收到基于数据的短信、收到基于文本的短信、系统启动完成、有电话呼入、有电话呼出、手机电量低、时区发生改变、电话状态改变、信号强度改变和关机；

构建的软件动态特征F_dynamic为：

F_dynamic＝<DCL，SS，RN，FRW，ON，CN，SN，DL-N，DL-F，DL-S，SSMS，PC，CU>

其中，DCL为动态加载，SS为启动服务，RN为接收网络数据，FRW为文件读写，ON为开启网络连接，CN为关闭网络连接，SN为发送网络数据，DL-N为数据泄露(通过网络)，DL-F为数据泄露(通过文件)，DL-S为数据泄露(通过短信)，SSMS为发送短信，PC为打电话，CU加密算法使用。

步骤4、使用步骤2～3的方法，获取训练样本数据集中每个样本的静态特征F_static与动态行为特征F_dynamic，构建每个软件样本的特征向量F，将构建的特征向量存储到本地文件中；

每个样本的特征向量F可以表示为：

F＝<F′_static，F′_dynamic>

其中F′_static和F′_dynamic为对F_static和F_dynamic进一步处理的结果，具体的处理方法为，对F_static的权限列表Per，判断其是否存在常用的敏感权限，如果存在则将相应位标记为1，否则标记为0；对F_static的组件Cpt字段，统计服务组件和广播接收器组件的数量，以及各组件中包含有<intent-filter＞字段的数量，构成长度为4的向量；对F_static的系统事件Act，判断其是否包含恶意软件通常监听的10种系统事件，如果包含则将相应位标记为1，否则标记为0；对F_dynamic中的各动态行为，使用自然语言处理中常用的词袋模型进行表示，从而构建动态行为的特征向量F′_dynamic。

步骤5、对所有软件样本的特征向量增加恶意软件标记字段，指明该样本是否为恶意软件，利用带恶意软件标记字段的特征向量训练支持向量机分类器；

训练支持向量机分类器时，带恶意软件标记字段的训练样本特征向量集合可以表示为：T＝{(F_i，m_i)}i＝1，…l，l为训练样本的数量，其中F_i＝<F′_i，static，F′_i，dynamic>为训练集中第i个样本的特征向量，由静态特征向量F_static和动态特征向量F_dynamic进一步处理得到；m_i∈{-1，1}指明当前样本是否为恶意样本，值为-1时表示当前样本为非恶意样本，值为1时表示当前样本为恶意样本。

根据支持向量机分类器分类间隔最大化原则，其求解的问题表示为：

s.t.m_i((ω·F_i)+b)≥1-ξ_i，

m_j((ω·F_j)+b)≥1-ξ_j，

ξ_i≥0，ξ_j≥0，i，j＝1，…，l

其中，X⁺为正常软件，X^-为恶意软件，ω和b为支持向量机求解的最优化分类面的法向量和截距，ξ_i为依据样本软件的特征向量F_i将软件错误分类产生的误差，C＞0为误差项ξ_i的惩罚参数，对两类不平衡数据的惩罚不同对参数η的选择是数据依赖问题，拟从范围[0.2，0.4，0.6，0.8，1]中选取；

为了有效求解该问题，引入Lagrange函数：

其中，非负向量α＝(α₁，…α_l)^T和β＝(β_l，…β_l)^T均为Lagrange乘子；

将Lagrange函数分别对ω、b和ξ_i求偏导，并令偏导数为0，将结果带入上述问题后，得到新的优化问题为：

0≤α_i≤C(1+η)，i＝1，…，l

通过求解上述的二次规划问题可得到Lagrange乘子α_i，其中

对应样本的支持向量集，选取任一支持向量得到截距

则恶意软件判定决策函数为：

进一步的，将参数η的选择问题转化为分类器集成问题，即根据η1＝0.2获得分类函数f₁(F)，根据η2＝0.4获得f₂(F)，…，根据η5＝1获得f₅(F)，寻找最终分类函数

即优化

最后得到目标函数如下：

其中F₊和F_-分别为正负类分类得分矩阵，L₊和L_-分别为正负类拉普拉斯矩阵；

当f(F)≥0时，输出为1，即特征向量F代表的软件为恶意软件，否则为非恶意软件。

步骤6、对恶意软件样本的特征向量增加恶意软件类别标记字段，指明该样本所属的Android恶意软件家族，利用带恶意软件类别标记字段的特征向量训练随机森林分类器；

随机森林分类器的训练方法如下：设训练集中恶意软件样本的数量为n，对这n个样本，有放回的抽样n次，得到训练集的一个子集S；随机抽取特征向量F中的个特征，在集合S的所有样本的特征向量中，使用抽取的m个特征训练一棵决策树；重复上述过程N次，得到N棵决策树，从而构成随机森林分类器。

步骤7、使用步骤2～3的方法，提取待测软件的静态特征向量和动态特征向量，构建待测软件的特征向量；

步骤8、利用支持向量机分类器进行恶意软件检；若检测为恶意的软件，则进一步利用随机森林分类器判断其所属的恶意软件家族，并显示检测结果。

实施例

为了验证本发明方案的有效性，使用Drebin数据集和Google Play中获取的非恶意软件样本构成数据集，进行恶意代码检测和家族分类仿真。

步骤1、将Drebin中的样本按照其所属的恶意家族进行分割，使用网络爬虫方法，在Google Play上获取非恶意软件，并使用VirusTotal在线检测服务进行验证，从而构建样本数据集，选取数据集中70％的样本作为训练数据；

步骤2、使用APKParser处理Android软件样本，解析AndroidManifest.xml文件，根据xml中的标记字段，提取软件申请的权限列表、声明的组件以及软件监控的系统事件，构建软件的静态特征F_static，表示为：

F_static＝<Per，Cpt，Act>

其中，Per为软件申请的所有权限的列表集合，Cpt为软件声明的所有组件集合，Act为软件监听的所有事件。

步骤3、使用Android SDK工具创建Android虚拟设备，使用DroidBox作为Android软件动态分析工具，通过构建的MonkeyRunner脚本安装待检测的软件，模拟用户交互行为并仿真系统事件，收集监控到的软件动态行为，构建软件的动态特征F_dynamic；

其中仿真系统事件使用adb shell命令实现，关注的系统事件为Android恶意软件通常监听的10种系统事件，包括：收到基于数据的短信、收到基于文本的短信、系统启动完成、有电话呼入、有电话呼出、手机电量低、时区发生改变、电话状态改变、信号强度改变和关机；

构建的软件动态特征F_dynamic为：

F_dynamic＝<DCL，SS，RN，FRW，ON，CN，SN，DL-N，DL-F，DL-S，SSMS，PC，CU>

其中，DCL为动态加载，SS为启动服务，RN为接收网络数据，FRW为文件读写，ON为开启网络连接，CN为关闭网络连接，SN为发送网络数据，DL-N为数据泄露(通过网络)，DL-F为数据泄露(通过文件)，DL-S为数据泄露(通过短信)，SSMS为发送短信，PC为打电话，CU加密算法使用；

步骤4、使用步骤2～3的方法，获取训练集中所有样本的静态特征F_static与动态行为特征F_dvnamic，将每个样本的特征表示为特征向量F，并将构建的特征向量存储到本地文件中；

每个样本的特征向量F为：

F＝<F′_static，F′_dynamic>

其中F′_satic和F′_dynamic为对F_static和F_dynamic进一步处理的结果，具体的处理方法为：对F_static的权限列表Per，判断其是否存在常用的敏感权限，并将相应位标记为1，否则标记为0；对F_static的组件Cpt字段，统计服务组件和广播接收器组件的数量，以及各组件中包含有<intent-filter>字段的数量，构成长度为4的向量；对F_static的系统事件Act，判断其是否包含恶意软件通常监听的10种系统事件，并将相应位标记为1，否则标记为0；对F_dynamic中的各动态行为，使用自然语言处理中常用的词袋模型(Bag-of-words Model)进行表示，从而构建动态行为的特征向量F′_dynamic；

最终构成如图2所示的245维特征向量；

步骤5、在存储的样本特征向量的最后增加标记字段，指明该样本是否为恶意软件，然后将其作为训练集训练支持向量机分类器；

给定训练软件样本数据的特征向量集T＝{(F₁，m₁)，…，(F_l，m_l)}，其中F_i＝<F′_i，static，F′_idynamic>为训练集中第i个样本的特征向量；m_i∈{-1，1}指明当前样本是否为恶意样本，值为-1时表示当前样本为非恶意样本，值为1时表示当前样本为恶意样本；i＝1，…l，l为训练样本的数量。

根据分类间隔最大化原则，支持向量机分类器求解的问题表示为：

s.t.m_i((ω·F_i)+b)≥1-ξ_i，

m_j((ω·F_j)+b)≥1-ξ_j，

ξ_i≥0，ξ_j≥0，i，j＝1，…，l

其中，X⁺为正常软件，X^-为恶意软件，ω和b为支持向量机求解的最优化分类面的法向量和截距，ξ_i为依据样本软件的特征向量F_i将软件错误分类产生的误差，C＞0为误差项ξ_i的惩罚参数，对两类不平衡数据的惩罚不同对参数η的选择是数据依赖问题，拟从范围[0.2，0.4，0.6，0.8，1]中选取；

为了有效求解该问题，引入Lagrange函数：

其中，非负向量α＝(α₁，…α_l)^T和β＝(β_l，…β_l)^T均为Lagrange乘子；

将Lagrange函数分别对ω、b和ξ_i求偏导，并令偏导数为0，将结果带入上述问题后，得到新的优化问题为：

0≤α_i≤C(1+η)，i＝1，…，l

通过求解上述的二次规划问题可得到Lagrange乘子α_i，其中

对应样本的支持向量集，选取任一支持向量得到截距

则恶意软件判定决策函数为：

进一步，将参数η的选择问题转化为分类器集成问题。即根据η₁＝0.2获得分类函数f₁(F)，根据η₂＝0.4获得f₂(F)，…，根据η₅＝1获得f₅(F)。寻找最终分类函数

即优化

最后得到目标函数如下：

其中F₊和F_-分别为正负类分类得分矩阵，L₊和L_-分别为正负类拉普拉斯矩阵。

当f(F)≥0时，输出为1，即特征向量F代表的软件为恶意软件，否则为非恶意软件。

步骤6、对训练集中的恶意样本，在其特征向量的最后增加标记字段，指明该样本所属的Android恶意软件家族，并将其作为训练集，训练随机森林分类器；

随机森林分类器的训练过程为，训练集中恶意软件样本的数量为3778个，对这3778个样本，有放回的抽样3778次，得到训练集的一个子集S；随机抽取特征向量F中的个特征，在集合S的所有样本的特征向量中，使用抽取的8个特征训练一棵决策树；重复上述过程100次，得到100棵决策树，从而构成随机森林分类器；

步骤7、在测试样本中，随机选取待测软件对系统进行测试，测试方法如图3所示，使用步骤2～3的方法提取待测软件的静态和动态特征，构建待测软件的特征向量；

步骤8、对待测软件使用支持向量机进行恶意软件检测，若检测为恶意软件，使用随机森林分类器判断其所属的恶意软件家族，并显示检测结果。

本发明采用动静结合的检测方法，有效的分析了Android恶意软件的恶意行为，结合机器学习算法，提高了Android恶意软件检测的精度，并具有Android恶意家族分类的能力。

Claims (7)

1.基于SVM的Android移动网络终端恶意代码的动静结合检测方法，其特征在于，包括以下步骤：

步骤1、获取Android移动智能终端嵌入式恶意软件样本，并标记各样本所属的Android恶意软件家族，然后获取非恶意软件样本，从而构建包含恶意软件和非恶意软件的训练样本数据集；

步骤2、使用反编译工具处理Android软件样本，构建软件的静态特征向量；

步骤3、创建Android虚拟设备，使用Android软件动态分析工具，构建软件的动态特征向量；

步骤4、获取训练样本数据集中每个样本的静态特征与动态行为特征，构建每个软件样本的特征向量；

步骤5、对所有软件样本的特征向量增加恶意软件标记字段，指明该样本是否为恶意软件，利用带恶意软件标记字段的特征向量训练支持向量机分类器；

步骤6、对恶意软件样本的特征向量增加恶意软件类别标记字段，指明该样本所属的Android恶意软件家族，利用带恶意软件类别标记字段的特征向量训练随机森林分类器；

步骤7、提取待测软件的静态特征向量和动态特征向量，构建待测软件的特征向量；

步骤8、利用支持向量机分类器进行恶意软件检；若检测为恶意的软件，则进一步利用随机森林分类器判断其所属的恶意软件家族。

2.根据权利要求1所述的Android移动网络终端恶意代码的动静结合检测方法，其特征在于，步骤2中，使用APKParser处理Android软件样本，解析AndroidManifest.xml文件，根据xml中的标记字段，提取软件申请的权限列表、声明的组件以及软件监控的系统事件，构建软件静态特征向量F_static，将其表示为下列三元组：

F_static＝<Per,Cpt,Act>

其中，Per为软件申请的所有权限的集合，Cpt为软件声明的所有组件集合，Act为软件监听的所有事件集合。

3.根据权利要求1所述的Android移动网络终端恶意代码的动静结合检测方法，其特征在于，步骤3中，使用Android SDK工具创建Android虚拟设备，使用DroidBox作为Android软件动态分析工具，通过构建的MonkeyRunner脚本安装待检测的软件，模拟用户交互行为并仿真系统事件，收集监控到的软件动态行为，构建软件的动态特征；

其中仿真系统事件使用adb shell命令实现，关注的系统事件为Android恶意软件通常监听的10种系统事件，包括：收到基于数据的短信、收到基于文本的短信、系统启动完成、有电话呼入、有电话呼出、手机电量低、时区发生改变、电话状态改变、信号强度改变和关机；

构建的软件动态特征F_dynamic为：

F_dynamic＝<DCL,SS,RN,FRW,ON,CN,SN,DL-N,DL-F,DL-S,SSMS,PC,CU>

其中，DCL为动态加载，SS为启动服务，RN为接收网络数据，FRW为文件读写，ON为开启网络连接，CN为关闭网络连接，SN为发送网络数据，DL-N为数据泄露(通过网络)，DL-F为数据泄露(通过文件)，DL-S为数据泄露(通过短信)，SSMS为发送短信，PC为打电话，CU加密算法使用。

4.根据权利要求1所述的Android移动网络终端恶意代码的动静结合检测方法，其特征在于，步骤4中，每个样本的特征向量F为：

F＝〈F′_static,F′_dynamic>

其中F′_static和F′_dynamic为对F_static和F_dynamic进一步处理的结果，具体的处理方法为，对F_static的权限列表Per，判断其是否存在常用的敏感权限，如果存在则将相应位标记为1，否则标记为0；对F_static的组件Cpt字段，统计服务组件和广播接收器组件的数量，以及各组件中包含有<intent-filter>字段的数量，构成长度为4的向量；对F_static的系统事件Act，判断其是否包含恶意软件通常监听的10种系统事件，如果包含则将相应位标记为1，否则标记为0；对F_dynamic中的各动态行为，使用自然语言处理中常用的词袋模型进行表示，从而构建动态行为的特征向量F′_dynamic。

5.根据权利要求1所述的Android移动网络终端恶意代码的动静结合检测方法，其特征在于，步骤5中，带恶意软件标记字段的训练样本特征向量集合表示为T＝{(F_i,m_i)}i＝1,…l,l为训练样本的数量，其中F_i＝<F′_i,static,F′_i,dynamic>为训练集中第i个样本的特征向量，由静态特征向量F_static和动态特征向量F_dynamic进一步处理得到；m_i∈{-1,1}指明当前样本是否为恶意样本，值为-1时表示当前样本为非恶意样本，值为1时表示当前样本为恶意样本。

6.根据权利要求5所述的Android移动网络终端恶意代码的动静结合检测方法，其特征在于，步骤5中，根据支持向量机分类器分类间隔最大化原则，其求解的问题表示为：

s.t.m_i((ω·F_i)+b)≥1-ξ_i,

m_j((ω·F_j)+b)≥1-ξ_j,

ξ_i≥0,ξ_j≥0,i,j＝1,…,l

其中，X⁺为正常软件，X^-为恶意软件，ω和b为支持向量机求解的最优化分类面的法向量和截距，ξ_i为依据样本软件的特征向量F_i将软件错误分类产生的误差，C＞0为误差项ξ_i的惩罚参数，对两类不平衡数据的惩罚不同对参数η的选择是数据依赖问题，拟从范围[0.2,0.4,0.6,0.8,1]中选取；

为了有效求解该问题，引入Lagrange函数：

其中，非负向量α＝(α₁，…α_l)^T和β＝(β₁，…β_l)^T均为Lagrange乘子；

将Lagrange函数分别对ω、b和ξ_i求偏导，并令偏导数为0，将结果带入上述问题后，得到新的优化问题为：

0≤α_i≤C(1+η),i＝1,…,l

通过求解上述的二次规划问题可得到Lagrange乘子α_i，其中

对应样本的支持向量集，选取任一支持向量得到截距

则恶意软件判定决策函数为：

进一步的，将参数η的选择问题转化为分类器集成问题，即根据η1＝0.2获得分类函数f₁(F)，根据η2＝0.4获得f₂(F)，…，根据η5＝1获得f₅(F)，寻找最终分类函数

即优化

最后得到目标函数如下：

其中F₊和F_-分别为正负类分类得分矩阵，L₊和L_-分别为正负类拉普拉斯矩阵；

当f(F)≥0时，输出为1，即特征向量F代表的软件为恶意软件，否则为非恶意软件。

7.根据权利要求1所述的Android移动网络终端恶意代码的动静结合检测方法，其特征在于，步骤6中，随机森林分类器的训练方法如下：设训练集中恶意软件样本的数量为n，对这n个样本，有放回的抽样n次，得到训练集的一个子集S；随机抽取特征向量F中的

个特征，在集合S的所有样本的特征向量中，使用抽取的m个特征训练一棵决策树；重复上述过程N次，得到N棵决策树，从而构成随机森林分类器。

Images