[发明专利]一种基于静态特征提取和选择的Android恶意应用检测方法

权利要求书

1.一种基于静态特征提取和选择的Android恶意应用检测方法，其特征在于，包括以下步骤：

1)通过AppExtractor自动化工具从所有的应用中提取它们各自对应的特征集合F，每个特征集合F包括一个label类别标签元素，其中label的值为0或1，分别对应正常应用和恶意应用；

2)对特征集合F进行处理，得到仅包含少部分特征的输出F′，F′保留F中的label类别标签元素；

3)以F′中的特征为基础，对所有的应用构建特征向量，将所有的特征向量作为机器学习算法的输入，利用机器学习算法对所有的应用分类，此时所有的应用会被机器学习算法分配新的类别标签label′；如果一个应用的label和lable′值相等，这表明应用被正确分类，否则被错误分类；label′的取值与label的取值相同；

4)对于未知类别的应用，重复步骤1)～步骤3)，如果未知类别的应用对应的label′为0，则表示该应用为正常应用；如果label′为1，则表示该应用为恶意应用。

2.根据权利要求1所述的基于静态特征提取和选择的Android恶意应用检测方法，其特征在于，所述步骤2)的具体实现过程为：

1)检查特征集合F中的某一个特征f_i是否满足如下两个条件：

Condition1.r_c≥α_c？r_c＝N_c/(N_m+N_b),c∈{m,b}；

Condition2.N_c/T_c≥β_c？

其中，c的取值为m或b，m和b分别表示恶意应用和正常应用两个类别；r_c是一个比率值；N_m和N_b分别表示包含特征f_i的恶意应用数量和正常应用数量；T_c取值为T_m或T_b，T_m和T_b分别表示恶意应用和正常应用的总数；α_c可以取值为α_m或α_b，β_c取值为β_m或β_b，这四个均为阈值，且0.5≤α_m≤1,0≤β_m≤1,0.5≤α_b≤1,0≤β_b≤1；N_c取值为N_m或N_b；

2)若特征f_i满足上述两个条件，则将特征f_i选择到F′中。