第34卷第Z1期通信学报Vol.34No.Z1 2013年8月JournalonCommunicationsAugust2013 doi:10.3969/j.issn.1000-436x.2013.z1.014 基于权限频繁模式挖掘算法的Android恶意应用检测方法 11,212 杨欢，张玉清，胡予濮，刘奇旭 （1.西安电子科技大学综合业务网理论及关键技术国家重点实验室，陕西西安710071； 2.中国科学院大学国家计算机网络入侵防范中心北京100190） 摘要：Android应用所申请的各个权限可以有效反映出应用程序的行为模式，而一个恶意行为的产生需要多个 权限的配合，所以通过挖掘权限之间的关联性可以有效检测未知的恶意应用。以往研究者大多关注单一权限的统 计特性，很少研究权限之间关联性的统计特性。因此，为有效检测Android平台未知的恶意应用，提出了一种基 于权限频繁模式挖掘算法的Android恶意应用检测方法，设计了能够挖掘权限之间关联性的权限频繁模式挖掘算 法—PApriori。基于该算法对49个恶意应用家族进行权限频繁模式发现，得到极大频繁权限项集，从而构造出权 限关系特征库来检测未知的恶意应用。最后，通过实验验证了该方法的有效性和正确性，实验结果表明所提出的 方法与其他相关工作对比效果更优。 关键词：频繁模式；数据挖掘；恶意应用检测；权限特征；Android系统 中图分类号：TP393.08文献标识码：A文章编号：1000-436X(2013)Z1-0106-10 Androidmalwaredetectionmethodbasedon permissionsequentialpatternminingalgorithm YANGHuan1,ZHANGYu-qing1,2,HUYu-pu1,LIUQi-xu2 (1.StateKeyLaboratoryofIntegratedServicesNetworks,XidianUniversity,Xi'an710071,China; 2.NationalComputerNetworkIntrusionProtectionCenter,UniversityofChineseAcademyofSciences,Beijing100190,China) Abstract:ThepermissionsrequestedbyAndroidapplicationsreflectthebehaviorsequenceoftheapplication.Whilea generationofmaliciousbehaviorusuallyrequiresthecooperationofmultiplepermissions,sominingtheassociationbe- tweenpermissionscaneffectivelydetectunknownmaliciousapplications.Mostresearchersconcernedthestatistical propertiesofasinglepermission,andtherewaslittleresearchersstudyingthestatisticalpropertiesoftheassociationbe- tweenpermissions.InordertodetectunknownAndroidmalwares,anAndroidmalwaredetectionmethodbasedonper- missionsequentialpatternminingalgorithmwasproposed.Theproposedmethoddesignapermissionsequentialpattern miningalgorithmPAprioritodigoutpermissionsassociation.PApriorialgorithmcoulddiscoverpermissionsequential patternfrom49malwarefamiliesandbuildthepermissionsassociationdatasettodetectmalware.Theexperimentresults provethatitperformsbetterthanotherrelatedworkinefficiencyandaccuracy. Keywords:sequentialpatternmining;datamining;malwaredetection;permissionfeature;AndroidOS 4.28亿部。其中，GoogleAndroid和Applei