[发明专利]基于稀疏贝叶斯模型的安卓恶意行为软件识别方法及系统

说明书

本发明属于软件程序技术领域，公开了一种基于稀疏贝叶斯模型的安卓恶意行为软件识别方法及系统，将Dalvik序列转变为由字母表示的opcode序列；分别提取应用程序的3‑gram序列的概率；使用稀疏贝叶斯学习算法进行模型训练；在使用稀疏贝叶斯算法中，使用GA‑PSO的混合算法对对准参数进行寻优，利用遗传粒子群的混合算法与粒子群算法的全局迅速搜索特性，在有限的时间内获取到足够好的对准参数；使用训练好的模型进行未知Android应用程序的识别。本发明基于相关向量机算法可以很好的避免由于支持向量机算法参数选择错误导致的识别精度下降，即在不进行更多参数输入的情况下依旧保持其较高的识别精确度。

技术领域

本发明属于软件程序技术领域，尤其涉及一种基于稀疏贝叶斯模型的安卓恶意行为软件识别方法及系统。

背景技术

目前，业内常用的现有技术是这样的：

现有的移动设备恶意软件识别方法更多是源自电脑恶意软件识别方法，大部分恶意软件识别方法的原理是通过发现软件的恶意行为后再对软件的一些特征进行标注记录，当识别软件在操作系统中再次遇到被标注过的软件时即可将其判断为具有恶意行为的软件，从而避免感染。而如果对软件的部分特征进行更改，老的方法就没办法进行识别。基于机器学习的恶意软件识别方法的发展可以弥补上述不足。现有的对安卓恶意软件识别的方法中基于支持向量机的方法是其中一个重要分支。

综上所述，现有技术存在的问题是：

(1)由于支持向量机本身的局限，在进行识别时将会需要对其中的参数进行设置。参数设置的好坏决定着识别的精确度高低，影响很深。现有很多基于支持向量机的方案都是围绕着如何更好的进行参数选择开展的，支持向量机核函数的设定还有诸多限定(比如还需要满足merci规则等)。

(2)可以实现在较短的时间内获取到足够高的识别精确度，这使得可以更快的跟上新的恶意程序出现的时间进行即使的识别。

解决上述技术问题的难度和意义：

主要的难度在于维持足够好的精确度的同时，降低整个工具的时间耗费情况。

本发明由于采用的是稀疏贝叶斯算法代替了原有的支持向量机算法，可以实现整个算法不需要进行人为的参数设置，即可获得相当好的精确度。与原有方法相比大大的降低了使用的便利性。

发明内容

针对现有技术存在的问题，本发明提供了一种基于稀疏贝叶斯模型的安卓恶意行为软件识别方法及系统。

本发明是这样实现的，一种基于稀疏贝叶斯模型的安卓恶意行为软件识别方法，基于稀疏贝叶斯模型的安卓恶意行为软件识别方法，包括：

步骤一，将Dalvik序列转变为由字母表示的opcode序列；

步骤二，分别提取应用程序的3-gram序列的概率；

步骤三，使用稀疏贝叶斯学习算法进行模型训练；在使用稀疏贝叶斯算法中，第一次引入基于遗传粒子群的混合算法对对准参数进行寻优。