基于多特征信息增益的Android恶意软件检测

摘要

随着Android操作系统一跃成为当下最受青睐的移动平台之一，形形色色的Android应用软件与人们的日常生活紧密相连。而Android系统坚持的开放性原则和服务免费，在吸引众多开发商和用户的同时，也加快了Android恶意软件的增长速度，Android应用程序的安全隐患日渐凸显。因此，为了确保用户在使用Android应用软件时更加地安全和舒适，Android平台下恶意软件的检测成为了近年来热门的研究课题。 目前，针对Android恶意软件的检测方法主要分为动态检测和静态检测两种。动态检测方法需要在封闭的模拟环境中运行应用程序，耗时而且占用系统资源，操作难度较大。静态检测方法不需要运行应用程序，成本低，耗时少而且资源消耗小，但对于新出现的恶意软件检测率不高。因此，本文提出了基于多特征信息增益的Android恶意软件检测方案。该方案在保持了静态分析低消耗和高效率的同时，利用机器学习的优势提高了对于未知恶意软件的检测率。本文的主要研究内容如下所述：首先，基于应用程序的不同功能分别展开静态分析。通过反编译技术对apk文件进行逆向处理得到可用于阅读和分析的AndroidManifest.xml，解析该文件并从中提取四大类特征属性，包括硬件组件、系统权限、应用组件和意图过滤器。其次，将同一功能类别下提取的特征属性以及各个样本对应的标记信息映射到同一向量空间中组成特征集。在此基础上，增加特征选择优化过程，通过计算特征集中每一个特征的信息增益并将其按照降序排序，选择其中排序靠前且对于分类任务价值较大的特征构成最优特征子集。最后，采用KNN（K Nearest Neighbor，k近邻）分类器对经过精心设计的数据集进行训练，获得每个功能类别的学习模型，用于自动分析和检测Android应用程序。 本文在实验部分选取了15种不同功能的apk，包括1191个正常apk和1191个恶意apk且每种功能类别下正常样本和恶意样本的数量分布均衡。利用已训练好的模型进行测试，首先，通过对比15种功能类别的测试集在进行特征选择前后的分类效果，证明了本文方案的有效性以及信息增益优化方法对于分类结果的影响力，该过程不仅降低了学习过程的训练难度，同时提高了模型的准确率。另外，通过对比本文模型与未按应用程序功能类别构建的模型的分类效果，证明了本文基于应用程序功能类别的检测方案具有良好的分类能力。

目录

第一个书签之前