1.一種基于改進灰狼算法的Android惡意應用檢測方法，其特征在于，包括下列步驟：

1)收集樣本集，也就是Android應用程序，包括良性APK和惡意APK；

2)對良性APK和惡意APK分別進行反編譯，提取出樣本特征形成樣本特征集；

3)基于k折交叉驗證方法，將樣本特征集分成k份，取其中一份為測試集，其余k-1份為訓練集；

4)使用改進后灰狼算法進行包裹式特征選擇，選擇出最優特征子集，使用常見機器學習分類器進行分類檢測，采用fitness(x)作為灰狼算法的適應度函數；

所述的使用改進后灰狼算法進行包裹式特征選擇，具體為：

4a)初始化：初始化灰狼算法的種群規模noP，個體維度noV，于是得到一個noP×noV的01矩陣，矩陣每一行表示一個個體，具體為：X_i＝(X_i1,X_i2,…,X_inoV)，行中的每一列對應著一個特征，其值為0表示不選擇該特征，其值為1表示選擇該特征；另外設置算法搜索的最大迭代次數為Max_iteration；

4b)對灰狼種群中每一個個體所表示的特征集合，分別用訓練集訓練分類器，并用測試集測試分類效果，得到TP、FN和FP；并使用fitness(x)計算灰狼個體的適應度值，將適應度值最大的前三個個體確定為：

4c)判斷是否達到最大迭代次數，若是，輸出和的適應度值并根據得到最優特征子集，所有為1的列所組成的集合即為最優特征子集，若否，執行4d)～4e)；

4d)采用公式(6)～公式(7)更新灰狼種群中各個個體的位置：

在這里，是一個向量，表示一個個體，而X_i,d(i＝1,2,3)表示該向量的第d位，X_i(t)表示第i個個體的第t次迭代時的位置；S_i,d表示X_i,d取1的概率，rand()是[0,1]之間的隨機數；

4e)計算改變位置后的各個個體的適應度，更新

所述的適應度函數fitness(x)為：

其中，F-value和G-mean的計算公式分別為：

其中，TP表示惡意應用軟件被正確識別的數量，FP表示良性應用軟件被誤識別為惡意應用軟件的數量，FN表示惡意應用軟件被誤識別的數量；使用k折交叉驗證訓練分類器可以得到TP、FP、FN，再根據公式計算得到F-value和G-mean；|x|表示個體中1的個數，n是所有特征的數量，等于noV；

5)對分類器使用選擇出的最優特征子集進行訓練，得到訓練好的分類器；

6)根據步驟2)提取待檢測APK特征，將其映射到最優特征子集中得到特征向量，用訓練好的分類器判斷該特征向量是否惡意，即完成檢測。