[发明专利]利用随机森林分类器实时检测安卓恶意软件的方法

权利要求书

1.一种利用随机森林分类器实时检测安卓恶意软件的方法，包括以下步骤：

(1)收集网络数据：

使用数据包捕获工具，分别收集正常软件样本和恶意软件样本所产生的运行时应用程序接口调用数据流，将收集到的运行时应用程序接口调用数据流作为训练恶意软件检测模型的初始数据集；

(2)应用程序接口调用数据流分组：

应用程序接口利用数据流的分组规则，对初始应用程序接口调用数据集进行分组，得到多个不同应用程序接口数据流类型的分组；

所述的数据流的分组规则是指，对于初始数据集中的应用程序接口数据流，按照数据流的时间顺序，将两个数据流时间间隔小于4.5秒的相邻应用程序接口数据流，划分为一个数据流分组；

(3)提取数据流最小单元：

应用程序接口利用数据流最小单元的分组规则，提取不同应用程序接口数据流类型的分组，从运行时trace文件生成的应用程序接口数据流调用关系树中，提取应用程序接口数据流最小单元；

所述的应用程序接口数据流最小单元的分组规则是指，对于每一个应用程序接口数据流分组内的数据包，按照数据包的时间顺序，将具有相同的应用程序接口数据包，划分成一个应用程序数据流最小单元，7＜Count＜256，其中，Count为应用程序数据流最小单元中数据包的总数；

(4)提取调用序列特征：

(4a)根据运行时trace文件对应的应用程序接口数据流最小单元，分别从每个应用程序接口数据流最小单元的头部字段调用信息中，提取多种网络行为特征序列；

(4b)将提取到的多种网络行为特征中每一项网络行为特征作为对应向量的每一列特征元素，组成字段网络特征向量；

(5)训练隐马尔科夫模型：

(5a)分别将每个字段网络特征向量标记为与该特征向量对应的软件样本类别，将所有标记后的字段网络特征向量组成隐马尔科夫模型的训练样本集；

(5b)利用Baum-Welch算法，对训练样本集进行训练，得到隐马尔科夫模型；

(5c)利用最大似然推导公式，计算在Baum-Welch算法下得到的隐马尔科夫模型的最大似然输出，将多个类型的最大似然输出组成最大似然向量；

所述的最大似然推导公式如下：

第1步，按照下式，计算特征集合中状态特征的转移概率：

其中，a_kj表示状态特征q_k转移到状态特征q_j的转移概率，T表示当前字段特征向量中向量元素的总数，δ(q_k,q_j)表示状态特征q_k与状态特征q_j的克罗奈可值，当状态特征q_k与状态特征q_j相等时，δ(q_k,q_j)等于1，当状态特征q_k与状态特征q_j不相等时，δ(q_k,q_j)等于0，q_t表示特征集合中第t个状态特征，q_k表示特征集合中第k个状态特征，q_t+1表示特征集合中第t+1个状态特征，q_j表示特征集合中第j个状态特征；

第2步，按照下式，计算特征集合的发散概率：

其中，b_j(l)表示从特征集合中的状态特征q_j至下一个状态特征q_l的发散概率，q_l表示特征集合中第l个状态特征；

第3步，将状态特征q_i与状态特征q_j的转移概率和发散概率作为特征集合的最大似然输出；

(6)训练随机森林模型：

(6a)将最大似然向量作为随机森林模型的观测值训练样本集；

(6b)利用随机森林算法，对训练样本集进行训练，得到随机森林分类器检测模型；

(7)提取待检测样本的应用程序接口数据流特征：

(7a)利用网络数据包捕获工具，实时捕获待检测样本的应用程序接口数据流特征；

(7b)根据数据流的分组规则，得到待检测样本的应用程序接口数据流分组；

所述的数据流的分组规则是指，对于初始数据集中的应用程序接口数据流，按照数据流的时间顺序，将两个数据流时间间隔小于4.5秒的相邻应用程序接口数据流，划分为一个数据流分组；

(7c)根据数据流最小单元的分组规则，从待检测样本的应用程序接口数据流分组中提取应用程序接口数据流最小单元；

所述的应用程序接口数据流最小单元的分组规则是指，对于每一个应用程序接口数据流分组内的数据包，按照数据包的时间顺序，将具有相同的应用程序接口数据包，划分成一个应用程序数据流最小单元，7＜Count＜256，其中，Count为应用程序数据流最小单元中数据包的总数；

(7d)提取到网络行为特征作为向量的元素，组成字段网络特征向量；

(8)将待检测样本的特征向量输入随机森林检测模型，判断特征检测模型的输出是否为恶意软件类别，若是，则执行步骤(9)，否则，执行步骤(10)；

(9)将待检测样本标记为恶意软件，输出待检测样本对应的恶意软件类别；

(10)将待检测样本标记为正常软件，输出待检测样本对应的正常软件类别。