基于簽名與數據流模式挖掘的Android惡意軟件檢測系統及方法技術方案

本文公開了一種基于簽名與數據流模式挖掘的Android惡意軟件檢測系統及方法，所述系統包含簽名分析組件以及數據流分析組件；其中，簽名分析組件包含簽名生成模塊、惡意軟件簽名數據庫和簽名匹配模塊；數據流分析組件包含數據流分析模塊、數據流模式挖掘模塊、數據流模式匹配模塊和數據流模式規則庫。工作時，首先對已知惡意軟件進行簽名運算與數據流模式挖掘，建立惡意軟件簽名庫與數據流模式規則庫，然后，讓待測軟件進行簽名匹配與數據流規則匹配，從而判斷待測軟件是否為惡意隱私泄露軟件。本發明專利技術克服了傳統數據流檢測需要進行人工確認的劣勢，提高了檢測效率，避免了“濫權”問題帶來的誤報問題。

【技術實現步驟摘要】

本專利技術涉及數據流模式挖掘領域，尤其涉及一種基于簽名與數據流模式挖掘的Android惡意軟件檢測系統及方法。
技術介紹
Android是目前應用最廣的智能手機操作系統，在2014年，Android手機的銷售量就已經占到全球手機銷售份額的81%，達到10億部。另一方面，Android系統的開放性在受到應用開發者青睞的同時也帶來了許多的安全問題。當前，Android平臺存在大量竊取用戶隱私的惡意軟件，嚴重威脅到用戶的使用安全。主流的Android惡意軟件檢測方法有兩種，動態分析方法以及靜態分析方法。動態分析方法搭建Android的運行環境，能夠模擬出待測軟件的真實行為特征，這種檢測方法精度高，但是由于需要軟件動態運行，因此需要耗費資源。靜態分析方法特點是無需待測軟件運行，它通過簽名或者控制流、數據流來分析軟件是否屬于惡意軟件，這種方法的不足之處在于容易產生誤報?，F有Android軟件的靜態分析技術可以分為三類:基于權限的檢測方案、基于傳統靜態分析手段的檢測方案以及基于機器學習的檢測方案?；跈嘞薜臋z測方案，這些方案通過抽取Android應用軟件中Manifest文件申請的權限信息進行分析，通過事先建立的權限規則來判斷應用是否為惡意應用。Kirin工具通過預定義的一組規則識別危險的權限組合，但它只提供9條惡意應用族頻繁使用的高危權限規則作為檢測標準，檢測能力有限。另外一些主流文獻采用了數據挖掘的方法挖掘惡意應用中所申請權限之間的關系，以此作為規則，檢測待測應用。但是在實際開發中，開發者往往會申請過多的權限，以減輕開發和維護的難度，這種普遍存在的“濫權”問題，容易造成基于權限的檢測方案產生誤報，即應用雖然申請了使用某系統資源的權限，但是并沒有在代碼中執行，而基于權限的檢測如果發現應用申請的權限與安全規則一致，則可能導致正常軟件被誤報。綜上，基于權限的檢測方案無法解決“濫權”現象帶來的誤報問題?；趥鹘y靜態分析手段的檢測方案主要有簽名檢測以及數據流分析技術。經典的簽名檢測會對整個惡意程序或部分程序代碼進行MD5運算或者SHA運算，將運算后的特征值作為該文件的簽名。如果發現待測軟件簽名與預先收集的惡意軟件簽名相匹配就判定為惡意軟件。這種方法的掃描速度快，而且精準度高，缺點是只能查殺特定的惡意軟件，該方法對變種混淆的惡意軟件無效。針對這種問題，ZhiyuanWang等人提出了一種多級簽名系統，用來收集、檢測Android惡意軟件,系統首先對Android的API進行編號，然后，掃描待測apk文件中的系統API，用編號表示這些API，之后，生成MD5簽名，再逐級產生方法簽名、類簽名、apk簽名，利用該方法能夠有效的檢測出一些重打包、代碼混淆的惡意軟件。但是這種方法并不是數據流層面的分析，不能夠抵御使用基于API的代碼混淆。ZheminYang、ZhiboZhao、C.Fritz、WKlieber等人各自提出了基于數據流的分析工具，雖然數據流分析能夠覆蓋整個應用軟件代碼，分析的準確度比較高，但是一方面這種全代碼分析比較耗時，另一方面，數據流分析的結果并不能給出軟件是否是惡意軟件，往往還需要人工判斷，確認數據流是否是惡意數據流。綜上，主流的簽名技術只是一種將軟件特征唯一表示的技術，不能對待測軟件進行深度分析，因此檢測結果不可避免的受到代碼混淆等惡意軟件技術的干擾，數據流分析技術的缺陷在于全代碼分析造成的耗時問題以及需要人工進行最終結果確定。對于已知的惡意軟件，數據流分析還存在重復檢測的問題。基于機器學習的檢測方案，通過對惡意軟件的靜態特征進行學習，比如學習權限特征、API特征等，使機器學習算法得出分類模型，然后進行惡意軟件檢測。這種方案的缺點在于對于分類特征的要求比較高，特征的有效直接決定了分類的精度。大多數機器學習方法仍然使用權限作為特征信息，因此，他們也不能解決“濫權”現象帶來的誤報。
技術實現思路
本專利技術所要解決的技術問題是針對
技術介紹
中所涉及到的缺陷，提供一種基于簽名與數據流模式挖掘的Android惡意軟件檢測系統及方法。本專利技術為解決上述技術問題采用以下技術方案：基于簽名與數據流模式挖掘的Android惡意軟件檢測系統，包含簽名分析組件以及數據流分析組件；所述簽名分析組件包含簽名生成模塊、惡意軟件簽名數據庫和簽名匹配模塊；所述簽名生成模塊用于生成Android應用軟件的簽名；所述惡意軟件簽名數據庫用于儲存所有預設的惡意Android應用軟件的簽名；所述簽名匹配模塊用于將輸入的Android應用軟件的簽名和惡意軟件簽名數據庫中存儲的簽名進行匹配；所述數據流分析組件包含數據流分析模塊、數據流模式挖掘模塊、數據流模式匹配模塊和數據流模式規則庫；所述數據流分析模塊用于分析輸入的Android應用軟件是否存在數據流模式，如果存在，提取出輸入的Android應用軟件中的數據流模式；所述數據流模式挖掘模塊用于將所有預設的惡意Android應用軟件中置信度大于預設的置信度閾值且支持度大于預先設定的支持度閾值的數據流模式篩選出來；所述數據流模式規則庫用于存儲經數據流模式挖掘模塊篩選出來的數據流模式；所述數據流模式匹配模塊用于將輸入的Android應用軟件的數據流模式與數據流模式規則庫中的數據流模式進行匹配。本專利技術還公開了一種基于簽名與數據流模式挖掘的Android惡意軟件檢測系統的檢測方法，包含以下步驟：步驟1），對所有預設的惡意Android應用軟件進行簽名訓練與數據流模式訓練，生成惡意軟件簽名數據庫與數據流模式規則庫；步驟2），將待測Android應用軟件輸入簽名分析組件中的簽名生成模塊，生成待測Android應用軟件的簽名，并將其輸入至簽名匹配模塊；步驟3），簽名匹配模塊將待測Android應用軟件的簽名與惡意軟件簽名數據庫中的簽名進行匹配，若惡意簽名數據庫中存在與待測Android應用軟件的簽名一致的簽名，則判定該待測Android應用軟件的簽名為惡意軟件，結束檢測；否則，執行步驟4）；步驟4），將待測Android應用軟件送至數據流分析組件中的數據流分析模塊，數據流分析模塊分析待測Android應用軟件是否存在數據流模式，若存在數據流模式，提取出待測Android應用軟件的數據流模式，執行步驟5）；若不存在數據流模式則判定為安全軟件，結束檢測；步驟5），將待測Android應用軟件的數據流模式輸入至數據流匹配模塊，數據流匹配模塊將待測Android應用軟件的數據流模式與數據流模式規則庫中的數據流模式進行匹配，若數據流模式規則庫中存在與待測Android應用軟件的數據流模式一致的數據流模式，則判定待測Android應用軟件為惡意應用，結束檢測；否則，判定待測Android應用軟件為風險應用，結束檢測。所述步驟1）的具體步驟如下:步驟1.1），依次將所有預設的惡意Android應用軟件輸入至簽名分析組件；步驟1.2），簽名分析組件使用簽名生成模塊對每一個輸入的惡意Android應用軟件生成MD5簽名，并將其簽名與軟件名存入惡意軟件簽名數據庫；步驟1.3），依次將所有預設的惡意Android應用軟件輸入至數據流分析組件；步驟1.4），數據流分析組件使用數據流分析模塊對輸入的每一個惡意Android應用軟件進行數據流分本文檔來自技高網...

【技術保護點】
基于簽名與數據流模式挖掘的Android惡意軟件檢測系統，其特征在于，包含簽名分析組件以及數據流分析組件；所述簽名分析組件包含簽名生成模塊、惡意軟件簽名數據庫和簽名匹配模塊；所述簽名生成模塊用于生成Android應用軟件的簽名；所述惡意軟件簽名數據庫用于儲存所有預設的惡意Android應用軟件的簽名；所述簽名匹配模塊用于將輸入的Android應用軟件的簽名和惡意軟件簽名數據庫中存儲的簽名進行匹配；所述數據流分析組件包含數據流分析模塊、數據流模式挖掘模塊、數據流模式匹配模塊和數據流模式規則庫；所述數據流分析模塊用于分析輸入的Android應用軟件是否存在數據流模式，如果存在，提取出輸入的Android應用軟件中的數據流模式；所述數據流模式挖掘模塊用于將所有預設的惡意Android應用軟件中置信度大于預設的置信度閾值且支持度大于預先設定的支持度閾值的數據流模式篩選出來；所述數據流模式規則庫用于存儲經數據流模式挖掘模塊篩選出來的數據流模式；所述數據流模式匹配模塊用于將輸入的Android應用軟件的數據流模式與數據流模式規則庫中的數據流模式進行匹配。

【技術特征摘要】
1.基于簽名與數據流模式挖掘的Android惡意軟件檢測系統，其特征在于，包含簽名分析組件以及數據流分析組件；所述簽名分析組件包含簽名生成模塊、惡意軟件簽名數據庫和簽名匹配模塊；所述簽名生成模塊用于生成Android應用軟件的簽名；所述惡意軟件簽名數據庫用于儲存所有預設的惡意Android應用軟件的簽名；所述簽名匹配模塊用于將輸入的Android應用軟件的簽名和惡意軟件簽名數據庫中存儲的簽名進行匹配；所述數據流分析組件包含數據流分析模塊、數據流模式挖掘模塊、數據流模式匹配模塊和數據流模式規則庫；所述數據流分析模塊用于分析輸入的Android應用軟件是否存在數據流模式，如果存在，提取出輸入的Android應用軟件中的數據流模式；所述數據流模式挖掘模塊用于將所有預設的惡意Android應用軟件中置信度大于預設的置信度閾值且支持度大于預先設定的支持度閾值的數據流模式篩選出來；所述數據流模式規則庫用于存儲經數據流模式挖掘模塊篩選出來的數據流模式；所述數據流模式匹配模塊用于將輸入的Android應用軟件的數據流模式與數據流模式規則庫中的數據流模式進行匹配。2.基于簽名與數據流模式挖掘的Android惡意軟件檢測系統的檢測方法，其特征在于，包含以下步驟：步驟1），對所有預設的惡意Android應用軟件進行簽名訓練與數據流模式訓練，生成惡意軟件簽名數據庫與數據流模式規則庫；步驟2），將待測Android應用軟件輸入簽名分析組件中的簽名生成模塊，生成待測Android應用軟件的簽名，并將其輸入至簽名匹配模塊；步驟3），簽名匹配模塊將待測Android應用軟件的簽名與惡意軟件簽名數據庫中的簽名進行匹配，若惡意簽名數據庫中存在與待測Android應用軟件的簽名一致的簽名，則判定該待測A...

【專利技術屬性】
技術研發人員：寧卓，邵達成，鄭之奇，胡婷，張佩，
申請(專利權)人：南京郵電大學，
類型：發明
國別省市：江蘇;32