[发明专利]一种基于半监督K-Means聚类算法的Android恶意软件检测方法

说明书

本发明公开了一种基于半监督K‑Means聚类算法的Android恶意软件检测方法，所述方法包括，步骤S1：解析Android应用软件包，选择适量有标签的样本和两倍数量的无标签的样本，使用解压缩工具打开这些样本的Android应用软件包，得到权限集合P1、P2、P3；步骤S2：构建特征矩阵，通过信息增益算法统计每个样本的权限集合P1、P2、P3的评分结果为s1、s2、s3，选择适量有标签的样本构建成特征矩阵FN和FM；步骤S3：恶意软件检测：运用半监督k‑means算法对特征矩阵FN和特征矩阵FM中的样本进行恶意软件的检测，本技术方案使用大量的无标签样本，同时使用尽量少的有标签样本，来进行分类，对恶意软件检测具有较高的准确性。

技术领域

本发明涉及恶意软件检测及网络安全技术领域，尤其涉及一种基于半监督K-Means聚类算法的Android恶意软件检测方法。

背景技术

由于系统开源性、免费性的特点，Android系统作为主流的移动操作系统成为了恶意软件攻击的主要目标。从2017年新增恶意软件分布来看资费消耗类型的恶意样本占比已达到 3/4，说明恶意软件依然是以推销广告、消耗流量、增加手机用户的流量资费等来谋取经济利益，用户的安全得不到保障，所以研究Android恶意软件检测方法仍然是很有必要的。

Android恶意代码分析研究目前主要有两种方法，即静态分析和动态检测。静态分析是指通过分析程序代码来判断程序行为；动态分析是指在严格控制的环境下执行应用程序，尽可能的触发软件的全部行为并记录，以检测应用程序是否包含恶意行为。目前，关于Android恶意应用程序的检测方法较多，但总体而言，其大致是围绕权限机制和API的调用这两大方面来进行展开的；权限控制着应用软件对资源的访问，但程序员在APP的开发过程中存在过度申请权限的行为，这加大了恶意软件检测的难度。应用程序可以通过对API的调用在一定程度上反映出一款应用程序真实的行为特点，因此可以运用于Android恶意软件检测。

在静态分析中主要运用机器学习的方法来进行数据挖掘，主要分为两类，有监督学习和无监督学习，有监督学习主要分为分类模型和预测模型，无监督学习主要分为关联分析和聚类分析。分类算法主要有k近邻算法，朴素贝叶斯、决策树归纳、随机森林、支持向量机SVM、遗传算法等，这些分类算法在Android恶意软件检测中频繁运用。现在研究中的Android恶意软件检测方法大多是有监督学习的算法，但是有监督学习的算法需要大量的恶意Android软件作为训练样本，由于恶意软件更新换代很快，收集足够多的最新型恶意软件的代价是昂贵的。无监督学习的算法因为具有太多不确定性，所有很少用于检测Android恶意软件。用K-Means聚类算法检测Android恶意软件易受初始聚类中心影响，当初始聚类中心选取合适时，准确率高，初始聚类中心选取不合适时，准确率低。2018年《Android恶意软件检测方法研究综述》表明，Android恶意软件检测经过多年努力，已经取得了一定的成果，研究结果都表示机器学习算法在Android恶意软件检测的研究中起着积极的作用，但随着新型恶意软件的增多，恶意软件样本库需要不断更新，能够检测出现有恶意软件的同时还能够应对不断出现的新型恶意软件的成果还未曾出现。

发明内容

本发明的目的在于提供一种基于半监督K-Means聚类算法的Android恶意软件检测方法，以解决K-Means聚类算法检测Android恶意软件易受初始聚类中心影响的问题。运用半监督 K-Means聚类算法进行Android恶意软件检测，首先通过约束种子即有标签的样本集合确定初始聚类中心，然后运用kmeans聚类算法根据欧式距离对无标签的样本集合进行聚类，直到每个类别中的样本不再发生变化，使用大量的无标签样本，同时使用尽量少的有标签样本，来进行分类，对恶意软件检测具有较高的准确性。

为实现上述技术目的，本发明提供的一种技术方案是，一种基于半监督K-Means聚类算法的Android恶意软件检测方法，所述方法包括：