[发明专利]一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置

权利要求书

1.一种基于朴素贝叶斯的安卓恶意应用检测方法，其特征是，首先构建加权的朴素贝叶斯检测模型；再根据加权的朴素贝叶斯检测模型对待检测的安卓应用进行分类，识别该待检测应用是否为恶意应用；

构建加权的朴素贝叶斯检测模型包括步骤1～步骤3：

步骤1，对训练样本集中的正常应用或恶意应用文件进行解析，提取其中的静态特征；

步骤2，对提取出来的静态特征采用特征归约方法进行处理，得到精简后的特征集合T，并基于特征集合T中的特征，对训练样本集提取得到特征矩阵；特征矩阵中每个元素表示为a_ij，取值为0或1；当取值为0时表示第i个应用中不存在第j个特征，当取值为1时表示第i个应用中存在第j个特征；所述特征归约方法包括基于区分度的特征规约；

所述基于区分度的特征规约，通过去除恶意应用中区分度小于区分度阈值的特征，由此减少需提取的特征数量；

设恶意应用样本总量为M，正常应用的样本总量为B，具有特征f_i的恶意应用样本数量为M_i，具有特征f_i的恶意应用样本数量为B_i；

特征f_i在恶意应用中出现的频率：FM_i＝M_i/M；在正常应用中出现的频率为FB_i＝B_i/B；

将区分度Diff(f_i)表示为：

Diff(f_i)＝1-min{FM_i,FB_i}/max{FM_i,FB_i}

其中，Diff(f_i)取值为[0,1]；

步骤3，将特征矩阵作为检测模型训练的输入，训练加权的朴素贝叶斯检测模型，得到训练好的加权的朴素贝叶斯检测模型；即通过统计得到每个特征属性在正常应用样本中出现的频率P(f₁|Benignware)，P(f₂|Benignware)，...，P(f_n|Benignware)和在恶意应用样本中出现的频率P(f₁|Malware)，P(f₂|Malware)，...，P(f_n|Malware)；其中，n为训练样本集中特征属性的数量；

步骤4，对待检测安卓应用文件进行解析，提取静态特征，包括：权限信息、组件信息、API调用信息；

步骤5，将所获取的静态特征形成特征向量，输入加权的朴素贝叶斯检测模型中，分别采用式1和式2计算得到待检测安卓应用为正常应用的概率和待检测安卓应用为恶意应用的概率；

其中，P(Benignware)为待检测应用为正常应用的概率；P(Malware)为待检测应用为恶意应用的概率；Diff(f_i)为特征f_i的区分度权重；P(f_i|Benignware)为特征F_i在训练集的正常样本中出现的频率；P(f_i|Malware)为特征F_i在训练集的恶意样本中出现的频率；

步骤6，通过比较待检测安卓应用为正常应用和恶意应用的概率，将其识别为正常应用或恶意应用；当待检测应用为正常应用的概率P(Benignware)大于待检测应用为恶意应用的概率P(Malware)时，则将该待检测应用识别为正常应用；当待检测应用为正常应用的概率P(Benignware)小于该待检测应用为恶意应用的概率P(Malware)时，则将该应用识别为恶意应用；

通过上述步骤，实现基于朴素贝叶斯的安卓恶意应用检测。