移動軟件行為大數據挖掘的惡意軟件檢測技術

王宏波

【摘要】隨著智能手機的普及，移動惡意軟件也在不斷的增多，而且各種花樣層出不窮，這在很大程度上加大了安全廠商應對惡意軟件的難度。傳統的檢測方法已經不能及時的發現和處理這些惡意軟件。本文主要對移動軟件的檢測技術進行了討論，并且提出了相關的優化方案，好提高檢測的準確性。

【關鍵詞】移動軟件 大數據 惡意軟件 檢測技術

【中圖分類號】TP309；TP311.13 【文獻標識碼】A 【文章編號】2095-3089（2018）20-0035-02

安卓系統因為其開源和免費的特點，在現在的移動設備中主要采用的就是這種系統。因為安卓系統的應用程序在開發時門檻比較低，開發者只要把應用軟件開發出之后，上傳應用商店，安卓手機用戶便可以進行直接下載，所以安卓市場上充斥著各種不同層次的軟件，惡意軟件更加容易針對安卓系統。

一、移動惡意軟件檢測方法

在隨著互聯網的不斷發展，智能手機在我國得到快速的普及，但是其中的惡意軟件也是層出不窮。為了保證智能手機的安全使用，各大軟件公司也制作了相應的殺毒軟件來應對那些惡意的移動軟件。在我國，主要有360手機安全衛士、騰訊的手機管家等軟件給移動終端提供保護。360主要采用云查殺和本地查殺的方法。本地查殺主要是根據自己內置的殺毒功能對已經安裝的軟件進行掃描，根據軟件的包名、UID、版本號、證書和特征碼等，在和病毒庫中的信息進行對比，從而做到檢測的目的。騰訊手機管家主要采用引擎查殺的方法，其具備雙引擎的查殺和云查殺功能。其在沒有網絡的情況下，也可以對移動終端的軟件做到快速的檢測。而云查殺是在用戶允許的情況下聯網進行查殺，這樣的查殺方法更加準確。

針對現在惡意軟件頻繁的出現，數量不斷增長狀況，要想保證移動終端的安全性，相關的公司在開發殺毒軟件時，一定要提高軟件行為檢測的精度，降低誤報率，有效的解決客戶端和云端數據交互過程中存在的安全問題。通過采用在線環境模型、數據分析模型和挖掘技術等解決在線動態信息的隱私保護問題，同時從大量的軟件樣本中鑒別出惡意軟件，這是應對現在惡意軟件層出不窮和頻繁變化的主要變化。

二、移動惡意軟件檢測方法的改進

（一）基于均差和方差來選擇計算

移動惡意軟件的檢測系統主要是基于特征提取、均值和方差特征選擇算法以及多級集成的惡意軟件檢測算法來完成檢測工作的。Dalvik指令作為安卓應用軟件虛擬機運行時所必須具有的信息，比API更加的接近系統的中心，反映出了安卓應用軟件對寄存器的操作行為，其主要的特點就是指令少，容易被提取，是一種鑒別惡意軟件的有效方法。在通過Dalvik指令進行鑒別惡意軟件時，主要通過評價其頻率存在的差異作為判斷的依據。惡意軟件比正常的軟件在Dalvik指令的相對均值要高，即惡意軟件的Dalvik指令比正常軟件個多的調用。因為這樣特點，基于Dalvik指令的均值和方差的特點選擇算法，對惡意軟件進行有效的檢測。

（二）基于特征提取的惡意軟件檢測算法

基于特征提取對惡意軟件進行檢測主要是為了提高檢測的精度。采用這種方法是把特征映射到不同的特征空間，從而來構建一個新的惡意軟件檢測框架。首先可以從源代碼中提取出Dalvik指令，然后采用主成分分析、Kaehunen-Loeve變換和獨立成分分析，將Dalvik指令映射到相應的特征空間，得出三個新的特征，再采用極速學習機算法訓練單層神經網絡，然后將其作為基礎的分類器。極速學習機算法首先會對每個神經網絡隨機的分配不同的權值向量，然后對神經網絡輸出的權值進行分析，從而做到對惡意軟件的檢測。

（三）基于多級集成的移動惡意軟件檢測

基于多級集成的惡意軟件的檢測算法主要是根據安卓軟件的權限和API特征實現的。在正常軟件和惡意軟件中，權限特征和API特征的調用頻率是存在著不同的。通過多安卓市場上正常的軟件進行測試發現，很少有惡意軟件，這使得數據集存在著很大的不均衡性，為了解決這個問題，可以采用少數樣本的重復抽樣的方式、和SVM等。一般對惡意軟件進行檢測時，都會著重對其進行檢測，主要是為了防止出現誤報的現象，在現代主要采用的方法就是針對不同的樣本分配不同的訓練權重、集成方法等。為了提高檢測的準確性，研究人員提出了一種基于新決策樹的集成學習，其主要分成三層決策樹。第一層采用的全投票的方式，避免不平衡的現象出現。第二層采用多數投票方法，根據第一沒有檢測出的樣本，根據第二層的集成結果，對其中存在的投票結果不同的樣本交給第三層進行處理。第三層主要采用該少數投票的方式，經過第一層和第二層集成，剩下無法檢測出的樣本比較頑固，其缺少相關的特征，采用少數投票可以提升檢測的準確率。

三、總結

綜上所述，隨著現代移動互聯網的快速發展，出現了各種各樣的惡意軟件，因為安卓平臺的開放性，造成了其成為現代許多惡意軟件攻擊的目標。為了保證安卓市場可以對發布在其市場上的軟件做到安全評價，識別出惡意軟件，保證用戶的安全、正常的使用手機，本文主要對移動終端惡意軟件檢測技術存在的問題以及從源代碼對惡意軟件進行檢測做了相關的研究，結果表明從源代碼建立起的惡意軟件檢測技術是非常實用有效的。

參考文獻：

[1]樹雅倩，付安民，黃振濤.基于云平臺的移動支付類惡意軟件檢測系統的設計與實現[J].信息網絡安全，2016，（01）：59-63.

[2]周裕娟，張紅梅，張向利，李鵬飛.基于Android權限信息的惡意軟件檢測[J].計算機應用研究，2015，（10）：3036-3040.