1.一種Android系統(tǒng)惡意軟件檢測中動靜混合特征提取方法，其特征在于包括下述步驟：

步驟一：基于CHI統(tǒng)計方法篩選高危權限；

基于CHI統(tǒng)計方法篩選高危權限，具體流程如下：

(1)選取N個樣本，包含惡意樣本N_K個和正常樣本個，且滿足

(2)選取Android系統(tǒng)的所有權限作為權限集P＝{p₁,p₂,...,p_M}；

(3)對于權限p_i∈P(i＝1,2,...,M)：

表1 權限樣本分組

計算權限p_i的CHI值：

其中，N＝A+B+C+D，A表示屬于類別K且含有權限p_i的樣本數，B表示屬于類別K但不含權限p_i的樣本數，C表示不屬于類別K但含有權限p_i的樣本數，D表示不屬于類別K且不含權限p_i樣本數；

(4)按照CHI值從大到小排序，選取高危權限列表如表2所示：

表2 高危權限列表

步驟二：基于凝聚層次和K-Means結合方法去除權限之間相關性

通過使用凝聚層次聚類算法優(yōu)化K-Means聚類算法中的初始聚類中心，對步驟一中的高危權限進行聚類處理；即，先使用凝聚層次聚類算法對高危權限進行初始聚類獲得初始聚類中心，再使用K-Means聚類算法基于初始聚類中心對高危權限進行重定位聚類；其中，權限之間的相關程度使用“皮爾遜相關系數”進行衡量；

設惡意樣本集為權限集為P_per＝{p₁,p₂,...,p₃₀}，權限集對應的特征向量為對于權限集P_per中的每一個權限p_i(i＝1,2,...,30)，遍歷惡意樣本集S_vir，若惡意樣本s_j∈S_vir(j＝1,2,...,N_K)中含有權限p_i，則權限p_i對應惡意樣本s_j的特征向量值為f_j＝1(j＝1,2,...,N_K)，否則f_j＝0,(j＝1,2,...,N_K)；

聚類后的權限共分成14組，設為P_High-Risk＝{P₁,P₂,...,P₁₄}，其中P_i(i＝1,2,...,14)表示每一組高危權限集合，具體如表3所示：

表3 聚類后的權限組

步驟三：篩選敏感API；

針對每一組高位權限對應的API函數集合進行篩選，對于重載的函數或者功能一致的多個API函數，只保留其中一個，最后共篩選出40個敏感API，部分敏感API如表4所示：

表4 部分敏感API

步驟四：基于反編譯技術提取靜態(tài)特征

靜態(tài)特征由高危權限特征和敏感API特征組成；

依據步驟二中篩選出來的14組高危權限P_High-Risk＝{P₁,P₂,...,P₁₄}，其中P_i(i＝1,2,...,14)表示每一組高危權限集合，設P_High-Risk對應的靜態(tài)權限特征向量為：F_APK(Per)＝{f₁,f₂,...,f₁₄}，其中f_i＝{0,1}(i＝1,2,...,14)；

依據步驟三篩選出來的敏感API集合API_Sensitive＝{api₁,api₂,...,api₄₀}，設靜態(tài)敏感API調用特征向量為：F_APK(API)＝{f₁,f₂,...,f₄₀}，其中f_j＝{0,1}(j＝1,2,...,40)；

先將APK文件中的dex文件反編譯成smali文件，再對smali文件進行分析；

步驟五：基于開源框架Xposed提取動態(tài)特征

基于Xposed框架動態(tài)Hook敏感API，以提取動態(tài)特征；

依據步驟三篩選出來的敏感API集合API_Sensitive＝{api₁,api₂,...,api₄₀}，設動態(tài)敏感API調用頻次特征向量為F_APP(API)＝{f₁,f₂,...,f₄₀}，其中f_j＝{0,1}(j＝1,2,...,40)；

在提取敏感API調用頻次特征的同時，記錄當前系統(tǒng)狀態(tài)特征作為輔助分析參數；

結合步驟四中靜態(tài)特征向量F_apk＝{f₁,f₂,...,f₁₄,...,f₅₄}和步驟五中系統(tǒng)敏感API調用頻次特征向量F_app＝{f₁,f₂,...,f₄₀}，以及步驟五中動態(tài)敏感API調用時的系統(tǒng)狀態(tài)特征向量F_sys＝{f₁,f₂,f₃}，拼接得到混合特征如下：

F＝{F_apk,F_app,F_sys}＝{f₁,f₂,...,f₁₄,...,f₅₄,...,f₉₄,f₉₅.f₉₆,f₉₇}

其中，F(xiàn)_apk＝{f₁,...,f₅₄}為靜態(tài)特征向量，F(xiàn)_app＝{f₅₅,...,f₉₄}為系統(tǒng)敏感API調用頻次特征向量，F(xiàn)_sys＝{f₉₅,f₉₆,f₉₇}為動態(tài)敏感API調用時的系統(tǒng)狀態(tài)特征向量。