一种基于类别分析的Android恶意代码检测方法

摘要

本发明提出一种Android恶意软件检测方法。采用基于权限信息的类别分类方法，从待检测的Android程序提取权限信息，输入到分类模型中进行分类，将分类结果与其声明的类别进行比较，根据判别规则判断该待检测Android程序的恶意威胁度。本发明适用于海量Android应用程序的自动化恶意代码检测，具有简单、高效、快速的特点。

主权项

一种基于类别分析的Android恶意代码检测方法，包括以下步骤：第一步，采集预定量M个Android程序，将其划分为6个类别：通信、拍照、地图、网络、系统、普通；第二步，从上述6个类别的每个类别中随机抽取N个样本，对其权限进行统计分析，提取出权限使用率最高的前L个权限作为类别分析的属性集；第三步，根据第二步提取的L个权限，对第一步中M个Android应用程序进行权限过滤和类别标定，L个权限中使用到的权限标为1，未使用的权限标为0，同时标定类别信息；第四步，基于经过第三步处理的所述M个Android应用程序，使用分类工具和分类算法进行分类训练，生成相应的分类模型，该分类模型为每种权限组合下对应的类别信息；第五步，获取待测Android程序的类别信息；第六步，提取该待测Android程序的AndroidManifest.xml文件，该文件包含该程序所有权限的使用情况，对AndroidManifest文件进行解码；第七步，根据第六步解码的AndroidManifest文件，解析该待测Android程序使用的权限信息，并将权限信息转换成arff格式的数据；第八步，根据第四步生成的分类模型，以第七步生成的arff数据为输入，对该待测Android程序进行分类，生成分类矩阵；第九步，对于各个分类模型产生的分类矩阵，采用融合方法进行融合，得到最终的分类结果；第十步，根据判别规则，以第九步的分类结果和第五步获得的类别信息为输入，判断待测Android程序的恶意威胁度。