[发明专利]一种针对Android恶意软件分类的方法及装置

权利要求书

1.一种针对恶意流量的Android恶意软件分类方法，其特征在于，包括以下步骤：

步骤1、在Android移动设备实时执行被测试软件，并收集被测试软件产生的流量信息，或通过公开数据集获得流量信息；

步骤2、将收集获得的流量信息执行过滤第三方流量，获得纯净的第一方流量；

步骤3、提取步骤2得到的第一方流量中的有效信息并将其特征化，得到特征向量；

步骤4、将特征提取模块中的特征向量进行特征工程，生成总特征向量，并把流级流量转换为主机级流量；

步骤5、使用集成学习构建分类模型，针对于二分类情况，分类器只识别出恶意软件及非恶意软件；针对多分类情况，分类器识别出恶意软件和非恶意软件，并将恶意软件划分为具体的恶意类别。

2.根据权利要求1所述的一种针对恶意流量的Android恶意软件分类方法，其特征在于，步骤2包括：

步骤2.1、使用聚类的方式初步筛选出可能的第三方流量，首先提取出PCAP文件中的流，并将不同PCAP文件中的流进行随机排列，将所有的流均匀地分配到相同大小的M个区域中，对每个区域内的流进行聚类，如果一个区域内的某条流被多个PCAP共享，则认为这个流可能是第三方流量，并标记这个流；

步骤2.2、设定一个阈值K，如果步骤2.1中被标记的流在所有区域内的出现比例超过阈值K，则标记该流量为第三方流量，并从原PCAP文件中去除该流量，否则，则将该流量视为第一方流量，不予处理。

3.根据权利要求2所述的一种针对恶意流量的Android恶意软件分类方法，其特征在于，步骤3具体包括：

步骤3.1、使用wireshark从PCAP文件中提取出流；

步骤3.2、借助CICFlowMeter工具从流中提取86个统计特征，得到特征向量。

4.根据权利要求3所述的一种针对恶意流量的Android恶意软件分类方法，其特征在于，步骤4具体包括：

步骤4.1、对得到的特征信息中的流的持续时间、流与流之间的时间间隔特征进行特征工程；

步骤4.2、将所有的流划分为n组，基于统计学方法计算每组流中各个特征值的聚合函数，如最大值、平均值；

步骤4.3、将每组流的特征向量进行聚合，生成能够表示整个PCAP文件的总特征向量。

5.根据权利要求4所述的一种针对恶意流量的Android恶意软件分类方法，其特征在于，步骤5具体包括：

步骤5.1、将步骤4得到的总特征向量处理为libsvm标准格式，并将其输入到csv文件中，作为训练模型的输入样例的数据集；

步骤5.2、将数据集划分为6：2：2的比例，分别作为训练集、验证集和测试集，数据集之间互不交叉；

步骤5.3、训练模型，使用Scikit-learn工具库中的GridSearch进行超参数选择；

步骤5.4、利用交叉验证方法不断进行参数调优，变换训练集和验证集以增强模型的鲁棒性；

步骤5.5、分别输出各分类器针对具体数据的评价值并从中选择最优分类器作为该数据的最终分类器。