(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210564742.1 (22)申请日 2022.05.23 (71)申请人 东南大学 地址 211100 江苏省南京市江宁区东 南大 学路2号 (72)发明人 冯渊　时光　周清禾　李涛　 胡爱群　刘梦琳　 (74)专利代理 机构 北京德崇智捷知识产权代理 有限公司 1 1467 专利代理师 申星宇 (51)Int.Cl. G06F 21/56(2013.01) G06F 21/57(2013.01) G06F 8/53(2018.01) G06K 9/62(2022.01)G06F 9/451(2018.01) (54)发明名称 融合用户主观评价的多维Android平台应用 行为安全性评估方法 (57)摘要 本发明公开了一种融合用户主观评价的多 维Android平台应用行为安全性评估方法， 该方 法结合基于权限相关性的静态检测、 基于历史置 信度的动态监测和基于主观相关度的用户主观 期望， 对Android平台的应用进行行为安全性量 化评估。 本方法包括应用分析方法和应用评估 方 法。 前者对apk源文件进行基于权限的静态检测， 提高精细度与客观性； 对应用实时行为进行动态 监测， 获得一定时间内其对各权 限的调用情况； 静态检测的结果也为动态监测提供指导， 补偿其 低效性。 后者在应用分析方法的二维结果基础 上， 融入用户对于不同应用使用不同权限的主观 预期， 根据不同用户的敏感度得出个性化的应用 量化评估分值， 在保证检测分析的客观科学的同 时考虑不同用户的不同态度。 权利要求书2页 说明书7页 附图5页 CN 115203692 A 2022.10.18 CN 115203692 A 1.一种融合用户主观评价的多维Android平台应用行为安全性评估方法， 其特征在于， 所述方法包括应用分析 方法和应用评估方法： 所述应用分析方法用于对待测应用进行基于权限的静态检测， 对待测应用行为进行实 时的动态监测， 获得所述待测应用对各权限的调用情况； 所述静态检测的结果为所述动态 监测提供指导， 补偿动态监测的低效性； 所述应用评估方法用于将静态检测和动态监测结果进行量化， 得到特征向量， 融入用 户对于待测应用所属软件类别调用不同权限的主观预期， 基于已有恶意软件与良性软件数 据集， 根据不同用户的敏感度对待测软件进行评估打 分。 2.根据权利要求1所述的融合用户主观评价的多维Android平台应用行为安全性评估 方法， 其特征在于， 对待测应用进行基于权限的静态检测包括： 从华为手机应用市场获取待 测应用的apk文件， 利用反编译技术获得应用源代码， 利用字符串匹配技术， 对反编译后获 得的AndroidManifest.xml文件进行分析， 获取定义在<user ‑permission>标签下的权限申 请情况。 3.根据权利要求2所述的融合用户主观评价的多维Android平台应用行为安全性评估 方法， 其特征在于， 基于 静态检测结果对待测应用行为进 行实时的动态 监测包括： 在r oot后 的Android环境里安装待测应用， 利用hook技术控制系统服务进程； 对于 静态检测中得到的 申请较多的权限， 增大被监测相关API数量， 对于静态检测中没有申请或较少申请的权限， 减少对其监测力度； 运行待测应用， 获得一定时间内该应用调用各类隐私 权限与敏感API的 记录。 4.根据权利要求1所述的融合用户主观评价的多维Android平台应用行为安全性评估 方法， 其特 征在于， 所述应用评估方法包 含以下步骤： 步骤1： 根据应用分析 方法中的静态检测数据得到静态指标 ——权限相关度； 步骤2： 根据应用分析 方法中的动态监测数据得到动态指标 ——历史置信度； 步骤3： 根据用户对于待测应用所属软件类别调用不同权限的容忍程度与 敏感度， 得到 主观预期 指标——主观预期值； 步骤4： 根据已有恶意软件与良性软件数据集， 结合待测应用静态、 动态和主观预期三 维指标， 进行评估分值。 5.根据权利要求4所述的融合用户主观评价的多维Android平台应用行为安全性评估 方法， 其特 征在于， 所述 步骤1包括： 根据华为手机应用市场将软件分为17类， 记为Aj， j∈{1， ...， 17}， 根据Android官方将 权限分为9组， 记为Pi， i∈{1， . ..， 9}； 静态检测得到 权限申明向量， 有： SMF＝{p1， p2， ...， p9， C}    (1) C＝j， if C∈Aj    (3) 根据权限申明向量， 静态指标权限相关度W(Pi， Aj)计算公式为：权　利　要　求　书 1/2 页 2 CN 115203692 A 2其中N为已有数据集中待测应用所属软件类别的应用数量， n(Pi， Aj)表示权限组Pi在Aj 应用类别中出现的频次， W(Pi， Aj)表示第i个权限组在第j个软件类别中的权限相关度。 6.根据权利要求5所述的融合用户主观评价的多维Android平台应用行为安全性评估 方法， 其特 征在于， 所述 步骤2包括： 动态监测得到待测应用在一定时间内各组权限对应的API函数的调用次数， 计算动态 指标历史置信度H(APIi)： 其中H(APIi)代表被检测应用Aj调用API组函数APIi的历史置信度， 调用频次t(APIi， Aj) 说明了通过该权限泄露隐私的可能性， β 为调节系数； σ 为增长系数， 衡量随着泄露可能性的 增加， 系统对该应用调取 该权限的可容忍程度。 7.根据权利要求5所述的融合用户主观评价的多维Android平台应用行为安全性评估 方法， 其特 征在于， 所述 步骤3包括： 对于Aj类软件， 用户对其将使用的权限或敏感API函数类别进行判断， 分数从高到低 分 别为5， 4， 3， 2， 1， 从认为很不相关到认为很相关； 用户认为使用该权限或API函数产生安全 威胁的可能性越高， 则打 分数越高， 否则打 分则低； 定义主观评价向量 为Euser， Euser(Aj)＝{J(1， Aj)， J(2， Aj)， ...， J(9， Aj)， C}    (6) 其中J(i， Aj)是用户的主观预期值。 8.根据权利要求4所述的融合用户主观评价的多维Android平台应用行为安全性评估 方法， 其特征在于， 所述步骤4包括： 将待测应用的静态、 动态和主观预期三维指标加权相 加， 得到待测样本指标向量； 利用SVM软间隔训练已有数据集， 得到恶意软件与良性软件之 间的超平面与判别函数Risk， 输入待测样本指标向量， 根据其距超平面距离以及被判为良 性软件的概 率进行评估打 分。权　利　要　求　书 2/2 页 3 CN 115203692 A 3