1.一種基于稀疏表示和模型融合的安卓惡意程序Android Malware分類方法，通過采用稀疏表示的方法，表示安卓惡意程序Android Malware的行為特征；再采用Stacking模型融合方法進行分類預測，由此提升模型預測性能；包括如下步驟：

A.提取安卓惡意程序的行為特征；執(zhí)行如下操作：

A1.下載并安裝QEMU模擬器；

A2.針對安卓惡意程序的數(shù)據(jù)集，在QEMU模型器上運行數(shù)據(jù)集中的每一個安卓惡意程序，對其系統(tǒng)調(diào)用的API進行檢測；

A3.得到API時序調(diào)用序列及相關(guān)信息，標記病毒類型并存入病毒庫；

B.稀疏表示API時序調(diào)用序列數(shù)據(jù)，作為惡意程序的行為特征；具體執(zhí)行如下操作：

B1.設置F是n*p的惡意程序行為特征的矩陣，其中，n表示惡意程序的數(shù)量，p表示從惡意程序中提取出行為特征的維度；

B2.使用K-SVD算法進行訓練學習，目標函數(shù)為下式：

D,X＝argmin{||X||₀}；s.t.||F-D*X||₂≤ε

其中，D是從數(shù)據(jù)集中學習得到的字典集；X是數(shù)據(jù)集的稀疏表示；ε是重構(gòu)特征矩陣所允許誤差的最大值；

B3.經(jīng)過學習得到惡意程序行為特征矩陣的稀疏表示X’；

C.模型的Stacking融合,執(zhí)行如下操作：

C1.選擇{RF，ET，AdaBoost，GBDT}作為第一層的基礎模型，對X’做出預測并輸出每個類對應的概率；

C2.將XgBoost作為第二層的融合模型，模型輸入是第一層基礎模型的預測結(jié)果，輸出最終的分類結(jié)果，即惡意程序類型；

通過上述步驟，實現(xiàn)基于稀疏表示和模型融合的Android Malware安卓惡意軟件分類。