[发明专利]一种高效的基于旋转森林的Android恶意软件检测模型DroidDet

摘要

本发明公开了一种高效的基于旋转森林的Android恶意软件静态检测模型DroidDet，属于信息安全技术领域。本发明通过使用反编译工具对Android应用程序中的Apk文件进行反编译，并分析和提取四组特征的组合作为构建旋转森林分类器模型的输入。本发明的优点1)本发明首次采用集成学习方法‑旋转森林算法，另外通过采用PCA主成分分析和自助采样法并使用全部训练集来训练每一个基学习器，因此本发明所创建的模型具备显著优越的泛化性能；2)旋转森林算法具备选择“最优特征”的特点，避免噪音数据。通过十折交叉验证法验证本发明所创建模型的有效性，本发明所提出模型的预测准确率达到88.26％，比典型的支持向量机SVM分类器的84.93％的准确率高了3.13％。本发明在用户信息安全领域有着广阔的应用前景。

主权项

一种高效的基于旋转森林的Android恶意软件检测模型DroidDet，其特征在于：检测步骤如下：步骤1)：获取正常Android应用程序和恶意Android应用程序各1068个，作为样本；步骤2)：使用apktool.jar反编译样本的APK文件，Android应用程序和恶意Android应用程序各选取600个作为研究对象进行统计分析构成训练集，其余APK文件构成测试集；步骤3)：抽取所有在恶意应用程序和正常应用程序中出现的权限、系统事件、请求的API作为特征，使用TF‑IDF或余弦相似度等方法计算每个特征的出现频次并计算某个特征在600个恶意软件中出现的次数和在600个正常软件中出现的频次的比值，挑选高比值的特征作为构建预测模型时使用，共计抽取权限、系统检测事件、敏感API和权限率作四组特征；其中，权限率定义如下：其中pr为定义的权限率，pn为该APK申请的权限数目，ss为该APK经过反编译后smali文件夹的大小；步骤4)：旋转森林模型的建立与检验，通过步骤3)确定了特征向量的格式后，对600个正常软件和600个恶意软件的反编译后的文件进行搜索，存在上述特征的，该维度即为1，不存在的即为0，再计算每个APK的权限率，将每个APK抽取出一个28维度的特征向量，共计1400个特征向量；步骤5)：使用matlab语言、PCA算法实现和旋转森林算法实现来建立模型，对剩下的样本采用同样的方法组成测试集，进行模型验证。