[发明专利]一种基于混合特征的Android恶意软件检测方法及系统

权利要求书

1.一种基于混合特征的Android恶意软件检测方法，其特征在于，包括：

获取Dalvik特征数据、API特征数据、权限特征数据；

利用Dalvik指令分类器、API分类器、权限分类器，分别对Dalvik特征数据、API特征数据、权限特征数据采用极限学习机的算法进行分类，建立分类模型，并根据该分类模型计算获得预测标签；

基于预测标签及Dalvik指令分类器、API分类器、权限分类器的分类精度，利用线性组合方式进行融合，计算获得预测值，根据该预测值进行恶意软件的判断。

2.根据权利要求1所述的基于混合特征的Android恶意软件检测方法，其特征在于，获取Dalvik特征数据、API特征数据、权限特征数据，包括：

利用baksmali工具获取Android应用软件的Dalvik特征数据，通过反编译dex文件，输出Dalvik汇编文件，提取Dalvik特征数据，并使用特征向量表示该应用软件；

利用Dedexer工具获取API特征数据，通过操作指令将classes.dex文件反编译成smali文件，在smali文件中提取该应用软件的API特征数据；

通过解析AndroidManifest.xml文件获取所述权限特征数据，并通过权限特征向量来表示该应用软件。

3.根据权利要求1所述的基于混合特征的Android恶意软件检测方法，其特征在于，利用Dalvik指令分类器、API分类器、权限分类器，分别对Dalvik特征数据、API特征数据、权限特征数据采用极限学习机的算法进行分类，建立分类模型，并根据该分类模型计算获得预测标签，包括：

在训练阶段，随机给已知样本分配输入权值与偏差，计算隐藏层节点的输出，方法如下：

h_ij＝g(w_jx_i+b_j)；i＝1,2,…,N；j＝1,2,…,k； (1)

其中，h_ij是第j个隐藏层节点的输出，w_j是连接第j个隐藏节点与输入数据的权值，w_j＝[w_j1,w_j2,…,w_jn]^T，n为样本的特征维度，T为在利用Dalvik指令分类器对Dalvik特征数据训练时、利用API分类器对API特征数据训练时或利用权限分类器对权限特征数据训练时对应的已知样本的分类标签，x_i为第i个输入样本，b_j是第j个隐藏层节点偏差，N是样本数量，k是隐藏层节点数量，g是激活函数；

根据隐藏层节点的输出，隐藏层输出矩阵记为H＝{h_ij}；

连接隐藏层与输出层节点的权值向量记为计算方法为：

其中，是H的Moore-Penrose的广义逆矩阵；

在测试阶段，对于未知样本，利用公式1计算未知样本的隐藏层节点输出H'，然后分别计算获得未知样本的预测标签，计算方法为：

T′=H′β^;---(3)]]>

其中，T'为在利用Dalvik指令分类器、API分类器或权限分类器测试时对应的未知样本的预测标签。