移动软件行为大数据挖掘的恶意软件检测技术

王宏波

【摘要】随着智能手机的普及，移动恶意软件也在不断的增多，而且各种花样层出不穷，这在很大程度上加大了安全厂商应对恶意软件的难度。传统的检测方法已经不能及时的发现和处理这些恶意软件。本文主要对移动软件的检测技术进行了讨论，并且提出了相关的优化方案，好提高检测的准确性。

【关键词】移动软件 大数据 恶意软件 检测技术

【中图分类号】TP309；TP311.13 【文献标识码】A 【文章编号】2095-3089（2018）20-0035-02

安卓系统因为其开源和免费的特点，在现在的移动设备中主要采用的就是这种系统。因为安卓系统的应用程序在开发时门槛比较低，开发者只要把应用软件开发出之后，上传应用商店，安卓手机用户便可以进行直接下载，所以安卓市场上充斥着各种不同层次的软件，恶意软件更加容易针对安卓系统。

一、移动恶意软件检测方法

在随着互联网的不断发展，智能手机在我国得到快速的普及，但是其中的恶意软件也是层出不穷。为了保证智能手机的安全使用，各大软件公司也制作了相应的杀毒软件来应对那些恶意的移动软件。在我国，主要有360手机安全卫士、腾讯的手机管家等软件给移动终端提供保护。360主要采用云查杀和本地查杀的方法。本地查杀主要是根据自己内置的杀毒功能对已经安装的软件进行扫描，根据软件的包名、UID、版本号、证书和特征码等，在和病毒库中的信息进行对比，从而做到检测的目的。腾讯手机管家主要采用引擎查杀的方法，其具备双引擎的查杀和云查杀功能。其在没有网络的情况下，也可以对移动终端的软件做到快速的检测。而云查杀是在用户允许的情况下联网进行查杀，这样的查杀方法更加准确。

针对现在恶意软件频繁的出现，数量不断增长状况，要想保证移动终端的安全性，相关的公司在开发杀毒软件时，一定要提高软件行为检测的精度，降低误报率，有效的解决客户端和云端数据交互过程中存在的安全问题。通过采用在线环境模型、数据分析模型和挖掘技术等解决在线动态信息的隐私保护问题，同时从大量的软件样本中鉴别出恶意软件，这是应对现在恶意软件层出不穷和频繁变化的主要变化。

二、移动恶意软件检测方法的改进

（一）基于均差和方差来选择计算

移动恶意软件的检测系统主要是基于特征提取、均值和方差特征选择算法以及多级集成的恶意软件检测算法来完成检测工作的。Dalvik指令作为安卓应用软件虚拟机运行时所必须具有的信息，比API更加的接近系统的中心，反映出了安卓應用软件对寄存器的操作行为，其主要的特点就是指令少，容易被提取，是一种鉴别恶意软件的有效方法。在通过Dalvik指令进行鉴别恶意软件时，主要通过评价其频率存在的差异作为判断的依据。恶意软件比正常的软件在Dalvik指令的相对均值要高，即恶意软件的Dalvik指令比正常软件个多的调用。因为这样特点，基于Dalvik指令的均值和方差的特点选择算法，对恶意软件进行有效的检测。

（二）基于特征提取的恶意软件检测算法

基于特征提取对恶意软件进行检测主要是为了提高检测的精度。采用这种方法是把特征映射到不同的特征空间，从而来构建一个新的恶意软件检测框架。首先可以从源代码中提取出Dalvik指令，然后采用主成分分析、Kaehunen-Loeve变换和独立成分分析，将Dalvik指令映射到相应的特征空间，得出三个新的特征，再采用极速学习机算法训练单层神经网络，然后将其作为基础的分类器。极速学习机算法首先会对每个神经网络随机的分配不同的权值向量，然后对神经网络输出的权值进行分析，从而做到对恶意软件的检测。

（三）基于多级集成的移动恶意软件检测

基于多级集成的恶意软件的检测算法主要是根据安卓软件的权限和API特征实现的。在正常软件和恶意软件中，权限特征和API特征的调用频率是存在着不同的。通过多安卓市场上正常的软件进行测试发现，很少有恶意软件，这使得数据集存在着很大的不均衡性，为了解决这个问题，可以采用少数样本的重复抽样的方式、和SVM等。一般对恶意软件进行检测时，都会着重对其进行检测，主要是为了防止出现误报的现象，在现代主要采用的方法就是针对不同的样本分配不同的训练权重、集成方法等。为了提高检测的准确性，研究人员提出了一种基于新决策树的集成学习，其主要分成三层决策树。第一层采用的全投票的方式，避免不平衡的现象出现。第二层采用多数投票方法，根据第一没有检测出的样本，根据第二层的集成结果，对其中存在的投票结果不同的样本交给第三层进行处理。第三层主要采用该少数投票的方式，经过第一层和第二层集成，剩下无法检测出的样本比较顽固，其缺少相关的特征，采用少数投票可以提升检测的准确率。

三、总结

综上所述，随着现代移动互联网的快速发展，出现了各种各样的恶意软件，因为安卓平台的开放性，造成了其成为现代许多恶意软件攻击的目标。为了保证安卓市场可以对发布在其市场上的软件做到安全评价，识别出恶意软件，保证用户的安全、正常的使用手机，本文主要对移动终端恶意软件检测技术存在的问题以及从源代码对恶意软件进行检测做了相关的研究，结果表明从源代码建立起的恶意软件检测技术是非常实用有效的。

参考文献：

[1]树雅倩，付安民，黄振涛.基于云平台的移动支付类恶意软件检测系统的设计与实现[J].信息网络安全，2016，（01）：59-63.

[2]周裕娟，张红梅，张向利，李鹏飞.基于Android权限信息的恶意软件检测[J].计算机应用研究，2015，（10）：3036-3040.