[发明专利]基于多特征快速高效的安卓恶意软件检测方法

权利要求书

1.基于多特征快速高效的安卓恶意软件检测方法，其特征是：该方法由以下步骤实现：

步骤一、收集安卓平台的正常应用软件和恶意应用软件；

步骤二、对步骤一获得的正常应用软件和恶意应用软件进行反编译，获取每个应用软件的全部权限特征以及Dalvik操作码序列；

步骤三、对步骤二获取的Dalvik操作码序列，采用N-Gram方法，提取长度为N的操作码序列；

步骤四、将步骤二所述的全部权限特征与步骤三采用N-Gram方法提取的操作码序列相结合，作为样本特征；构造共包含m个样本特征的特征集S并为每个样本a构造原始特征向量，构造特征向量的公式为：

W_a＝{v₁，v₂，...，v_m}

式中，V_a为每个样本的特征向量，v_i为样本中存在的特征，n为特征v_i在样本中存在的数量；

步骤五、对所述特征集S进行特征选择，具体步骤为：

步骤五一、对于提取到的全部权限特征，只保留Google官方提供的权限特征，删除第三方自定义的特征；

步骤五二、对于提取到的样本特征，采用X表示，X_i为特征集中的第i个样本特征，Y表示样本类别；

步骤五三、计算第i个样本特征X_i与类别Y之间的相关性SU(X_i,Y)，计算公式如下：

式中，H(X_i)表示X_i的熵，H(Y)表示Y的熵，IG(X_i|Y)为信息增益；

步骤五四、将相关性SU(X_i,Y)大于预先设定的阈值δ的特征挑选出来，构造初始特征子集S_list；

步骤五五、将所述初始特征子集S_list中的特征按照相关性SU(X_i,Y)的值从大到小的顺序排列，并依次计算当前序列第一个样本特征X_i与其他所有特征X_j之间的相关性SU(X_i,X_j)；

步骤五六、依次删除SU(X_i,X_j)值大于等于SU(X_i,Y)值的特征，并将样本特征X_i放入最终特征子集S_sub中；

步骤五七、在所述初始特征子集S_list剩余特征中挑选出SU(X_i,Y)值最大的特征，重复步骤五五和步骤五六，直至S_list再无剩余特征；

步骤六、重新构造特征向量，并训练分类器；对每个样本a，按照最终特征子集S_sub中存在的特征，重新构造特征向量；具体构造方式为：

V_a＝{v₁，v₂，...,v_k}，

式中，k为最终特征子集S_sub的特征数量，将样本特征矩阵输入到CatBoost分类器中，对CatBoost分类器训练；

步骤七、将待检测的安卓软件样本的特征矩阵，输入到训练好的CatBoost分类器中，对每个待检测样本进行分类，输出样本所属类别的预测值。