基于朴素贝叶斯的Android软件恶意行为智能识别

张怡婷，张扬，张涛，等

摘要：目的：随着移动通信技术和智能终端的迅速发展和普及，人们更多地使用手机而非传统PC来访问各种网络服务。目前占据市场领导地位的Android智能手机，在提供通信、个人事务处理等应用服务的同时，也面临着巨大的安全挑战。各种恶意软件层出不穷，不仅影响了用户的体验，更存在用户隐私数据被盗、资产受到侵害的风险。针对Android系统提供的基于应用权限授权的安全管理机制粒度较粗，并且一旦用户对应用软件授权即无法更改或追踪权限使用的问题，提出一种基于朴素贝叶斯的Android软件恶意行为识别方法，并通过对Android安全框架的扩展实现对恶意行为的实时分析和处理。方法与结果：论文将Android系统中软件恶意行为的识别问题建模为二分类问题。首先，利用Apriori算法分析1260个恶意软件和Android市场上17个类别的850个非恶意软件，挖掘出较大置信度仅存于恶意软件中的敏感权限组合，并归纳出需要在软件运行时动态实时监控的CALL PHONE、SEND SMS等10个敏感权限。然后，综合考虑软件运行时的用户操作场景、软件权限使用等特性，抽取软件是否为系统应用、权限使用时是否有用户操作、软件是否申请了过多的权限、是否存在敏感权限组合、权限的使用是否存在突发性等作为分类属性，研究并设计了Android软件恶意行为智能识别算法。鉴于在线识别和拦截对分类算法的性能要求，论文基于朴素贝叶斯算法设计了4阶段的恶意行为识别方法。（1）准备阶段，在收集大量Android软件使用敏感权限记录的基础上，人工标记每条记录的分类结果，形成训练样本数据集。（2）分类器训练阶段，使用带标记的样本集合，通过监督学习得到朴素贝叶斯分类器。（3）模型应用阶段，实时监控软件使用敏感权限的行为，将行为属性向量输入分类器获得分类结果。尤其是针对可能存在的分类错误，引入比率规格化参数φ来量化分类结果的可靠程度。当φ＜0.8时，认为分类结果无效，改由用户自行判断本次敏感权限使用是否为恶意。（4）模型迭代更新阶段，根据用户的反馈动态标记行为数据，实现对初始模型的动态更新。最后，鉴于大部分权限使用的检查是在应用程序框架的Package Manager. check Permission函数中进行，而INTERNET、BLUETOOTH等少部分权限是在操作系统内核中进行检测，本文分别在Android应用程序框架层和操作系统内核层设置拦截函数，通过扩展Android权限管理机制实现了一款Android系统安全防护软件，支持对系统中任意应用进行敏感权限访问时的允许访问、禁止访问、询问用户和进行智能判断4种操作。结论：本文在真实设备上安装了49个恶意软件、34个非恶意软件，共进行了40 d实验。实验数据表明，论文提出的Android软件恶意行为智能识别技术具有较高的识别率和较低的误报率。同时，软件平均启动时间、平均响应时间、CPU占用率、内存占用量等指标均证明，论文设计和实现的Android软件恶意行为的智能分析与处理软件对系统性能的影响较小，可以有效增强Android系统的安全性。

来源出版物：东南大学学报（自然科学版）, 2015, 45(2):224-230

入选年份：2015