[发明专利]一种基于级联分类器的安卓恶意代码检测模型方法

权利要求书

1.一种基于级联分类器的安卓恶意代码检测模型方法，其特征在于，具体的实现步骤为：

步骤1：将待检测的apk文件使用apktool反汇编，提取资源文件、图片文件和布局文件；

步骤2：扫描字节码文件和java代码中的API，从中提取API调用序列；

步骤3：以API的调用序列对API调用的参数进行查找，判断调用是否为用户个人隐私，是否通过网络将个人数据发送到指定服务器或者邮箱；

步骤4：对API调用序列和操作码序列各提取十个特征值记录，采用矩阵相乘方法将两个特征合并为一个新的特征；

步骤5：进行弱分类器的训练；

将特征值按递增顺序排列，分别计算良性软件和恶意软件的权重和，将排序的训练样本权重和训练，计算分类误差取得分类误差最小值，得到最优的弱分类器；

步骤6：进行强分类器的训练；

设定每次强分类器的最小检测率和最大误检率，作为训练结束的标志；设置迭代次数后，初始化正负样本权重，训练后选出本次最优弱分类器计算错误率，调整权重后计算弱分类器在强分类器的权值，将弱分类器加权组合得到强分类器；

步骤7：将多个弱分类器组合成强分类器，将多个强分类器组合成级联分类器；

步骤8：将新的特征输入级联分类器，当样本软件被判定为恶意样本的时候，则不再对该样本进行检测。

2.根据权利要求1所述的一种基于级联分类器的安卓恶意代码检测模型方法，其特征在于：所述步骤1的具体过程为，使用dex2jar将apk反编译成java源码，查看源码文件，提取的字节码文件和AndroidManifest.xml文件作为数据源，提取操作码序列和api调用作为特征。

3.根据权利要求1所述的一种基于级联分类器的安卓恶意代码检测模型方法，其特征在于：所述步骤6的强分类器的训练采用“自举”的方法收集负样本。