[发明专利]基于正则极限学习机的安卓恶意apk检测方法

权利要求书

1.一种基于正则极限学习机的安卓恶意apk检测方法，其特征在于，包括以下步骤：

步骤1，获取样本应用程序集apk，按照功能类别对所述样本应用程序集apk进行分类，得到M个不同功能类别的样本子集；

步骤2，从所述样本子集的应用清单AndroidManifest.xml文件中提取出第一类特征属性，从所述样本子集的.smali文件中提取出第二类特征属性，基于所述第一类特征属性和所述第二类特征属性构造出基础特征矩阵R；

其中，所述第一类特征属性包括硬件组件、系统权限、应用组件和意图过滤器，所述第二类特征属性为API调用特征标识符；

步骤3，使用信息增益算法对所述基础特征矩阵R进行评分，得到所述基础特征矩阵的第一评分结果；根据所述第一评分结果对所述基础特征矩阵R进行筛选，得到第一特征矩阵F；

通过Fisher Score算法对所述基础特征矩阵进行评分，得到所述基础特征矩阵的第二评分结果；根据所述第二评分结果对所述基础特征矩阵R进行筛选，得到第二特征矩阵I；

对所述第一特征矩阵F和所述第二特征矩阵I进行交集处理，筛选出共有特征作为特征子集X；

步骤4，以所述特征子集X为输入向量，以各个样本子集对应的样本应用程序标识符为输出向量，基于极限学习机算法进行模型训练得到初始分类检测模型；其中，所述样本应用程序标识符用于表示样本应用程序是否为恶意应用程序；

使用正则项对所述初始分类检测模型进行优化，得到第一分类检测模型；

通过五折交叉验证法对所述第一分类检测模型进行重复训练，得到分类检测模型；

步骤5，提取待检测应用程序apk，利用步骤4得到的分类检测模型，检测所述待检测应用程序是恶意应用程序还是安全应用程序。

2.根据权利要求1所述的基于正则极限学习机的安卓恶意apk检测方法，其特征在于，所述步骤2包括以下步骤：

步骤2.1，使用反编译工具apktool分别对各个样本子集进行批量处理，得到各个样本子集的AndroidManifest.xml文件和.smali文件；

步骤2.2，采用DOM方式解析样本子集的AndroidManifest.xml文件，根据所述AndroidManifest.xml文件的结构层次，依次从第二层节点、第三层节点、第四层节点获取第一类特征属性的属性值；

依次访问样本子集的.smali文件，提取出第二类特征属性的属性值；

步骤2.3，将所述第一类特征属性的属性值和所述第二类特征属性的属性值加入预设的特征属性集合AttrsList，作为基础特征矩阵R；

其中，所述基础特征矩阵n为所述样本应用程序集apk中的样本应用程序总数，每行对应一个样本应用程序，每列对应一种特征属性；

步骤2.4，获取各个样本子集对应的样本应用程序标识符，并存放在预设的应用程序集合apkList中；其中，所述应用程序集合t_n,1为样本应用程序标识符，表示第n个样本应用程序是否为恶意应用程序。