[发明专利]一种基于多维静态特征融合的Android诈骗软件检测方法

权利要求书

1.一种基于多维静态特征融合的Android诈骗软件检测方法，其特征在于，所述方法包括以下步骤：

步骤1：编写python文件，对Android软件进行特征提取；

步骤2：编写python文件，对Android软件特征进行预处理，过程如下：

步骤2-1：将从步骤1中搜集的特征生成one-hot编码，即将每个Android软件特征转换为二进制向量；

步骤2-2：对步骤2-1中的特征进行筛选，降低数据维度；

步骤3：对数据集进行选择与分割，过程如下：

步骤3-1：将从步骤2-2中获得的数据集按照标签类型分成normal_data，malware_data；

步骤3-2：从normal_data、malware_data中分别进行同比列随机抽取，用于构建训练集(train_data)、验证集(validation_data)、测试集(test_data)；

步骤4：分别搭建DT、SVM、LR模型进行训练，过程如下：

步骤4-1：分类精度的评价指标使用Accuracy与Error_rate表示:

式中，P代表正例总数、N代表负例总数；TP表示真实类别为正例，预测类别为正例；TN表示真实类别为负例，预测类别为负例；FP表示真实类别为负例，预测类别为正例；FN表示真实类别为正例，预测类别为负例；

步骤4-2：使用train_data对搭建的模型分别进行训练；

步骤4-3：在训练过程中，使用validation_data对模型进行验证，并保存最佳模型；

步骤4-4：根据三种模型的不同精度设置模型预测结果的投票权重，得到最终的融合模型；

步骤5：加载融合模型，对test_data进行测试，对软件进行检测，并计算其精度。

2.如权利要求1所述的一种基于多维静态特征融合的Android诈骗软件检测方法，其特征在于，所述步骤1的过程如下：

步骤1-1：利用解压工具对Android软件进行解压，保存解压后的文件；

步骤1-2：判断Android软件的加固情况，获取加固特征；

步骤1-3：查找解压后的文件中后缀为.dex的文件，使用baksmali工具将.dex文件转换为.smali文件，并保存；

步骤1-4：遍历保存的.smali文件，提取Android软件的使用的API特征；

步骤1-5：查找解压后的文件中名为AndroidManifest.xml的文件，使用aapt工具将.xml文件转换为.txt文件，并保存；

步骤1-6：根据AndroidManifest.txt文件，获取Android软件中申明的权限和硬件信息。

3.如权利要求1或2所述的一种基于多维静态特征融合的Android诈骗软件检测方法，其特征在于，所述步骤3-1中，标签类型分为正常软件：0和恶意软件：1。

4.如权利要求1或2所述的一种基于多维静态特征融合的Android诈骗软件检测方法，其特征在于，所述步骤3-2中，训练集(train_data)、验证集(validation_data)、测试集(test_data)分别占normal_data、malware_data的70％、20％、10％。