本發(fā)明公布了一種基于稀疏表示和模型融合的Android Malware安卓惡意軟件的分類方法，通過采用稀疏表示的方法，表示安卓惡意程序Android Malware的行為特征；再采用Stacking模型融合方法進(jìn)行分類預(yù)測(cè)，由此提升模型預(yù)測(cè)性能。本發(fā)明方法對(duì)從程序中提取的原始特征進(jìn)行了稀疏表示，獲得惡意程序更加本質(zhì)的特征；模型的擬合可在基礎(chǔ)模型之上，從而實(shí)現(xiàn)更加高泛化能力的模型，提高安卓惡意軟件分類的精確程度。

技術(shù)領(lǐng)域

本發(fā)明屬于信息安全技術(shù)領(lǐng)域，涉及惡意軟件檢測(cè)技術(shù)，尤其涉及一種基于稀疏表示和模型融合的Android Malware(Android malicious softwar，安卓惡意軟件)分類方法。

背景技術(shù)

在移動(dòng)安全領(lǐng)域，Android系統(tǒng)由于其普及性和開放性，成為了眾多黑客攻擊的對(duì)象，Android惡意軟件成為Android系統(tǒng)面臨的巨大威脅。

2017年，根據(jù)Newzoo的報(bào)告，全球安卓手機(jī)用戶達(dá)到了23億。2017年，根據(jù)騰訊的報(bào)告，感染安卓手機(jī)病毒用戶數(shù)達(dá)到了1.88億。如此眾多安卓手機(jī)用戶和手機(jī)病毒，單靠人工檢測(cè)顯得身單力薄。能夠自動(dòng)地進(jìn)行惡意程序分類檢測(cè)這一問題已經(jīng)迫在眉睫。用機(jī)器學(xué)習(xí)的方法，通過對(duì)安卓惡意程序特征(行為特征)的學(xué)習(xí)，可以讓機(jī)器學(xué)習(xí)模型自動(dòng)對(duì)惡意程序進(jìn)行分類。但是，現(xiàn)有機(jī)器學(xué)習(xí)技術(shù)檢測(cè)惡意代碼，主要是將提取的特征直接輸入單個(gè)模型訓(xùn)練，實(shí)際的檢測(cè)效果十分有限。

發(fā)明內(nèi)容

為了克服上述現(xiàn)有技術(shù)的不足，本發(fā)明提供一種基于稀疏表示和模型融合的Android Malware(Android malicious softwar，安卓惡意軟件)分類方法，通過采用機(jī)器學(xué)習(xí)方法，高效、準(zhǔn)確地對(duì)安卓惡意程序進(jìn)行分類，使得惡意程序識(shí)別接近自動(dòng)化，能夠更好地解決現(xiàn)實(shí)中對(duì)于安卓惡意程序分類的需求。

為方便起見，本發(fā)明中定義以下術(shù)語簡(jiǎn)稱及相應(yīng)的全稱：

RF：Random Forest，隨機(jī)森林；

ET：Extremely Randomized Trees，極端隨機(jī)樹；

AB：AdaBoost；

GBDT：Gradient Boosting Decision Tree；

XgBoost：Extreme Gradient Boosting。

本發(fā)明通過學(xué)習(xí)Android程序的行為特征，現(xiàn)有技術(shù)往往只是把提取的特征直接進(jìn)行學(xué)習(xí)，而本發(fā)明采用稀疏表示的方法，本發(fā)明用K-SVD算法(一種經(jīng)典的字典訓(xùn)練算法)對(duì)從惡意程序中提取的原始特征進(jìn)行稀疏表示，能夠進(jìn)一步發(fā)現(xiàn)更為本質(zhì)的特征。現(xiàn)有技術(shù)對(duì)特征的學(xué)習(xí)通常直接針對(duì)單個(gè)模型學(xué)習(xí)，本發(fā)明采用Stacking模型融合方法，提升模型整體的預(yù)測(cè)性能。

本發(fā)明提供的技術(shù)方案是：

一種基于稀疏表示和模型融合的Android Malware安卓惡意軟件分類方法，通過采用稀疏表示的方法，挖掘得到Android Malware代碼更加本質(zhì)的行為特征；采用Stacking模型融合方法，提升模型的預(yù)測(cè)性能；包括如下步驟：

A.提取安卓惡意程序的行為特征，執(zhí)行如下操作：

A1.下載并安裝開源的QEMU模擬器；

A2.針對(duì)安卓惡意程序的數(shù)據(jù)集，在QEMU模型器上運(yùn)行數(shù)據(jù)集中的每一個(gè)安卓惡意程序，對(duì)其系統(tǒng)調(diào)用的API進(jìn)行檢測(cè)；

A3.得到API時(shí)序調(diào)用序列及其相關(guān)信息(包括類名、函數(shù)名、函數(shù)參數(shù))，標(biāo)記病毒類型存入病毒庫(kù)；

B.稀疏表示API時(shí)序調(diào)用序列數(shù)據(jù)，作為惡意程序的行為特征,執(zhí)行如下操作：