[发明专利]基于稀疏贝叶斯模型的安卓恶意行为软件识别方法及系统

权利要求书

1.一种基于稀疏贝叶斯模型的安卓恶意行为软件识别方法，应用于支持向量机，其特征在于，基于稀疏贝叶斯模型的安卓恶意行为软件识别方法，包括：

将Dalvik序列转变为由字母表示的opcode序列；

分别提取应用程序的3-gram序列的概率；

使用稀疏贝叶斯学习算法进行模型训练；使用稀疏贝叶斯算法中，引入基于遗传粒子群的混合算法对对准参数进行寻优；在遗传粒子群的混合算法的变异中引入了粒子群算法，辅助原有的遗传粒子群的混合算法在进行变异操作时进行方向性的寻优；

使用训练好的模型进行未知Android应用程序的识别；对未知的Android应用程序进行反编译、opcode提取及3-gram概率的提取；提取后以每一个3位指令序列为一维度向量，以在多维空间中所属的位置与训练模型形成的超平面进行比对，确定是否属于正常的Android程序区间。

2.如权利要求1所述的基于稀疏贝叶斯模型的安卓恶意行为软件识别方法，其特征在于，将Dalvik序列转变为由字母表示的opcode序列前，对获取的正常应用程序和已知的恶意应用程序进行采用工具apktool进行反编译获取其smali文件及Dalvik指令序列。

3.如权利要求1所述的基于稀疏贝叶斯模型的安卓恶意行为软件识别方法，其特征在于，将Dalvik序列转变为由字母表示的opcode序列中，仅提取Dalvik指令。

4.一种实现权利要求1～3任意一项所述基于稀疏贝叶斯模型的安卓恶意行为软件识别方法的计算机程序。

5.一种实现权利要求1～3任意一项所述基于稀疏贝叶斯模型的安卓恶意行为软件识别方法的信息数据处理终端。

6.一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行如权利要求1-3任意一项所述的基于稀疏贝叶斯模型的安卓恶意行为软件识别方法。

7.一种如权利要求1所述基于稀疏贝叶斯模型的安卓恶意行为软件识别方法的基于稀疏贝叶斯模型的安卓恶意行为软件识别控制系统，其特征在于，所述基于稀疏贝叶斯模型的安卓恶意行为软件识别控制系统包括：

转换模块，用于将Dalvik序列转变为由字母表示的opcode序列：

提取模块，分别提取应用程序的4-gram序列的概率；

训练模块，使用稀疏贝叶斯学习算法进行模型训练；

识别模块，使用训练好的模型进行未知恶意软件的识别。

8.一种搭载有权利要求7所述基于稀疏贝叶斯模型的安卓恶意行为软件识别控制系统的信息数据处理终端。