1.一種基于應用類別的安卓惡意軟件檢測方法，其特征在于，包括以下步驟：

步驟1、特征提取階段

在電腦中安裝ubuntu系統，對應用進行反編譯，從AndroidManifest.xml中提取權限，從META-INF中提取簽名，使用dex2jar和JD-GUI把class.dex轉換為應用的源代碼，通過Droidbox和測試機分析程序運行時的行為；

步驟2、危險權重賦予階段

根據每類行為特征不同的危險水平，賦予不同的危險權重；權重為0.5的是交互類，特別危險類，網絡活動類和信息泄露類這幾類行為特征；交互類特征被用來和其他手機或網頁進行信息交換，如果應用不包含該類，那么其他類特征就不會構成威脅，所以交互類特征危險程度最高；動態特征中，網絡活動包括打開連接和流量進出，信息泄露類可能泄露用戶的隱私信息，給用戶帶來難以預估的危害；特別危險類行為包括重啟、關機和重打包；

權重為0.4的是控制類，系統類，源代碼類和簽名類這幾類行為特征；控制類和系統類控制了手機系統的權限和活動，比花費類和隱私類更加危險；通過源代碼，分析是否包含惡意的包和類；通過簽名，可以判斷應用是否來自某個惡意軟件家族；

權重為0.3的是花費類，隱私類和文件類行為特征；權重為0.2的是新特征類，單特征類；

步驟3、基于類別的危險值計算階段

對于每一個應用軟件來說，來實現應用功能的行為特征是正常的，不是實現其功能的特征可能是惡意的；在第二步的基礎上，根據應用的類別，把實現正常功能的特征賦予權重0.1；將不是實現正常功能的危險權限賦予權重值為1；計算每類特征的危險值總和，再計算整個應用的危險值總和；

步驟4、機器學習分類階段

將一個應用的每類危險值放到數組中，作為測試集和樣本集；在樣本集中，將相似度特別大的點刪除其中一個，采用各種危險值從小到大不同的大量樣本，同時使樣本分布均勻；使用k-means算法，使樣本集產生聚類中心；對樣本集進行優化有利于減少誤判率；計算測試集中的數據和聚類中心的距離，找到最近的聚類中心；然后使用kNN算法，計算測試集中數據與聚類中心周圍的點的距離，找到最近的k個點；這k個點的標簽中，如果標簽是惡意軟件的點比標簽是正常軟件的點多，那么測試集中的應用是惡意軟件；如果標簽是正常軟件的點比標簽是惡意軟件的點多，那么測試集中的應用是正常軟件；

步驟5、加入新特征新樣本階段

重復上述過程，將應用的新特征和應用的危險值，加入樣本集數據庫，為下次的應用軟件檢測作樣本。