【正文】 的。layout、menu、xml目錄存放的是軟件界面的布局文件，包括菜單、窗口、主界面和設(shè)置界面等。（5）二進(jìn)制格式的文件，aapt對資源進(jìn)行編譯時(shí)，會(huì)為每一個(gè)資源分配唯一的id值，程序在執(zhí)行時(shí)會(huì)根據(jù)這些id值讀取特定的資源。1）盜發(fā)短信在后臺(tái)偷偷向SP發(fā)送訂購付費(fèi)業(yè)務(wù)短信，這是病毒最常用的手段，病毒獲得發(fā)送短信的權(quán)限后，利用SmsManageY類，在用戶不知道的情況下，向SP發(fā)送訂購付費(fèi)業(yè)務(wù)短信:()sendTextMessage (tel,null,message，null, null)。病毒屏蔽短信是利用了Android的四大組件之一BroadcastReceiver, Android收到短信時(shí)，會(huì)發(fā)出一個(gè)有序廣播，病毒獲得接收短信的權(quán)限后，聲明一個(gè)BroadcastReceiveY并把優(yōu)先級(jí)設(shè)的很高，病毒優(yōu)先收到SP發(fā)來的短信后，判斷是否是特定SP的號(hào)碼，如果是，首先終止廣播的傳播，其他程序就不會(huì)收到短信了。3）網(wǎng)絡(luò)傳輸病毒一般從兩個(gè)方面利用網(wǎng)絡(luò)：第一，在后臺(tái)聯(lián)網(wǎng)，上傳用戶的隱私信息。 其中file是上傳的文件，up_url是上傳服務(wù)器地址、 下載代碼類似于: DownFile ( String url，String path，int thread_ num)。在傳統(tǒng)統(tǒng)計(jì)學(xué)的理論上發(fā)展出來的支持向量機(jī)（SVM）理論表現(xiàn)出其獨(dú)特的性能。圖 310 機(jī)器學(xué)習(xí)模型圖其中系統(tǒng)是我們所要進(jìn)行研究的對象，學(xué)習(xí)機(jī)是我們所要得到的模型。2)損失函數(shù)對于一個(gè)學(xué)習(xí)機(jī)，可以定義一個(gè)損失函數(shù)，用來表示預(yù)測函數(shù)對y進(jìn)行預(yù)測時(shí)造成的損失。其輸出值y是類別號(hào)，一個(gè)號(hào)碼對應(yīng)唯一一個(gè)類別。但在應(yīng)用中，是無法通過直接計(jì)算來得到。前人的研究發(fā)現(xiàn)，期望風(fēng)險(xiǎn)和經(jīng)驗(yàn)風(fēng)險(xiǎn)并不是嚴(yán)格的對應(yīng)關(guān)系，當(dāng)經(jīng)驗(yàn)風(fēng)險(xiǎn)最小時(shí)，期望風(fēng)險(xiǎn)并不一定是最小。有界實(shí)函數(shù)的VC維可以通過用一定的閾值將其轉(zhuǎn)化為指示函數(shù)來定義。5)結(jié)構(gòu)風(fēng)險(xiǎn)最小化經(jīng)驗(yàn)風(fēng)險(xiǎn)最小化原則在樣本有限（即h/n較大）時(shí)是不合理的，此時(shí)一個(gè)小的經(jīng)驗(yàn)風(fēng)險(xiǎn)值并不能保證小的實(shí)際風(fēng)險(xiǎn)值。圖 312結(jié)構(gòu)風(fēng)險(xiǎn)最小化示意圖實(shí)際風(fēng)險(xiǎn)由兩部分組成：經(jīng)驗(yàn)風(fēng)險(xiǎn)，以及置信范圍。對于線性可分?jǐn)?shù)據(jù)的二值分類，如果采用多層前向網(wǎng)絡(luò)來實(shí)現(xiàn)，其機(jī)理可以簡單描述為：系統(tǒng)隨機(jī)的產(chǎn)生一個(gè)超平面并移動(dòng)它，直到訓(xùn)練集合中屬于不同類別的點(diǎn)正好位于該超平面的不同側(cè)面，就完成了對網(wǎng)絡(luò)的設(shè)計(jì)要求。該方法的機(jī)理可以簡單描述為：尋找一個(gè)滿足分類要求的最優(yōu)分類超平面，使得該超平面在保證分類精度的同時(shí)，能夠使超平面兩側(cè)的空白區(qū)域最大化；從理論上來說，支持向量機(jī)能夠?qū)崿F(xiàn)對線性可分?jǐn)?shù)據(jù)的最優(yōu)分類。2)支持向量機(jī)的分類原理具體介紹。超平面劃分二元分類示意圖如圖313所示。但是平移是有一定的度的，如果平移到H3的位置，H3不能正確的劃分樣本。根據(jù)泛函的有關(guān)理論，只要一種核函數(shù)滿足Mercer條件，它就對應(yīng)某一空間中的內(nèi)積，因此只要在最優(yōu)分類面上采用適當(dāng)?shù)膬?nèi)積核函數(shù)就可以實(shí)現(xiàn)這種線性不可分的分類問題。該工具完全開源，提供了C++、Java、Matlab、Python等語言的函數(shù)接口，以供不同的環(huán)境下使用。在Libsvm中，參數(shù)的選擇是在訓(xùn)練樣本時(shí)進(jìn)行交叉檢驗(yàn)時(shí)進(jìn)行查找最優(yōu)的。2）數(shù)據(jù)集的縮放處理，把向量組中的數(shù)值縮放到一定的范圍內(nèi)，通常是縮放到[0,1]或者[1,1]之間。Libsvm工具包中在訓(xùn)練程序中提供了多種核函數(shù)以供選擇，其中包括線性核、多項(xiàng)式核、RBF核與Sigmod核四類核函數(shù)。4）對測試數(shù)據(jù)集進(jìn)行預(yù)測，通過在預(yù)測前對待測試數(shù)據(jù)集也進(jìn)行縮放的預(yù)處理。下面對腳本文件做簡單介紹，、。在使用前，即設(shè)定好Libsvm中的各個(gè)程序的路徑以及gnuplot的路徑，然后才能正確使用。反編譯結(jié)束后將得到軟件同名文件夾。設(shè)置libsvm的樣本集、樣本集的標(biāo)簽以及測試集和測試集的標(biāo)簽。 方案二流程 不使用Apktools反編譯APK包，直接利用AXMLPrinter工具從解壓后的APK包中對xml文件進(jìn)行反編譯，減少計(jì)算成本。 方案三流程根據(jù)方案一、二的測試情況和結(jié)果，對95個(gè)權(quán)限進(jìn)行相應(yīng)的分類和分級(jí)。 功能本系統(tǒng)采用不同的方案對大量Android軟件樣本進(jìn)行分析，通過結(jié)合基于權(quán)限統(tǒng)計(jì)分析的檢測方法進(jìn)行機(jī)器學(xué)習(xí)，建立可預(yù)測Android軟件是否為惡意軟件的模型。（1）評估范圍：本系統(tǒng)在初期是比較簡單的，只對apk包中的permission單純地提取，所有的permission以同等地位作為評估因素。我們將會(huì)在更多方面提取能作為惡意軟件檢測的特征，來完善并優(yōu)化本檢測系統(tǒng)。（6）實(shí)用性：本系統(tǒng)與用戶的交互能力很強(qiáng)，預(yù)測結(jié)果可靠，且用戶群體眾多，可以應(yīng)用到很多的領(lǐng)域。2）在系統(tǒng)環(huán)境變量path中添加JDK安裝目錄。 測試目的 本系統(tǒng)使用了三種不同的Android惡意軟件檢測方案。 測試方案 系統(tǒng)方案一的小樣本測試，選取黑白共計(jì)334個(gè)樣本進(jìn)行測試，其中白樣本來源于360安卓市場，且為市場上知名度較高，安全性較可靠的應(yīng)用。 系統(tǒng)方案二測試 系統(tǒng)方案二的無加權(quán)測試，對334個(gè)樣本進(jìn)行權(quán)限篩選后的libsvm訓(xùn)練，將系統(tǒng)方案一中的95個(gè)樣本縮減為51個(gè)，利用libsvm的交叉驗(yàn)證得到model的準(zhǔn)確率，將測試結(jié)果于測試方案1進(jìn)行對比。其中，權(quán)限分類基于權(quán)限的不同功能；權(quán)限分級(jí)基于權(quán)限對Model的影響程度。b)。（上圖為自動(dòng)尋找最優(yōu)參的函數(shù)）1)測試文件2）測試過程（與測試方案1相同）1）測試文件（根目錄）（Xmls目錄）2）測試過程a)使用python的zipfile模塊對apk包進(jìn)行批量解壓縮。(上圖為權(quán)限頻數(shù)統(tǒng)計(jì)結(jié)果)根據(jù)以上結(jié)果，判斷可刪除的特征項(xiàng)如下：v = [1 7 9 13 14 17 19 24 26 29 31 33 35 36 40 41 43 45 46 50 52 54 55 57 60 61 70:78 80:85 89 91 92]。1）測試文件 文件目錄與測試方案3相同，測試樣本集不同。d)根據(jù)測試方案3的結(jié)果，直接從訓(xùn)練集中剔除以下序號(hào)的特征項(xiàng)v = [1 7 9 13 14 17 19 24 26 29 31 33 35 36 40 41 43 45 46 50 52 54 55 57 60 61 70:78 80:85 89 91 92]。b)，使其變?yōu)榭勺x取的形式。e)再次通過對特征頻數(shù)的統(tǒng)計(jì)，將特征分為三級(jí):第一級(jí)為超過40%樣本使用的特征；第二級(jí)為超過10%樣本使用的特征；剩下的特征為第三級(jí)。對4000個(gè)樣本apk，用本系統(tǒng)的方案和360殺毒同時(shí)檢測，觀察結(jié)果。結(jié)果：交叉驗(yàn)證準(zhǔn)確率為90%結(jié)論：準(zhǔn)確率較測試方案2有所提升，證明了加權(quán)方案的有效性。創(chuàng)新性說明 對于Android系統(tǒng)下的95個(gè)權(quán)限項(xiàng)，其本身在功能性上存在一定差異性。針對這種現(xiàn)象，本系統(tǒng)試圖通過對Apk權(quán)限特征的分類、分級(jí)，并增加基于閾值的統(tǒng)計(jì)特征，試圖進(jìn)一步挖掘Apk權(quán)限的深度內(nèi)涵，通過權(quán)限本身的功能獨(dú)特性、權(quán)限與權(quán)限之間的相關(guān)聯(lián)系，拓展權(quán)限特征在惡意軟件監(jiān)測中的含義。然而本系統(tǒng)在輕量級(jí)的機(jī)器學(xué)習(xí)上加入了人工的特征處理，一定程度上彌補(bǔ)了基于機(jī)器學(xué)習(xí)方案與基于深度學(xué)習(xí)方案的學(xué)習(xí)效果的差距。加之惡意軟件攻擊手段的不斷變化，其偽裝、混淆能力的不斷加強(qiáng)，想要真正達(dá)到或者接近100%準(zhǔn)確率的惡意軟件監(jiān)測方案可謂難上之難。 ，這對svm訓(xùn)練得出的model準(zhǔn)確率有較大的影響。 ，由于其創(chuàng)新性較強(qiáng)，在具體的實(shí)現(xiàn)方面（準(zhǔn)確的分類、分級(jí)，合適的權(quán)值選擇）仍然存在一定問題尚未解決，使得最終的模型預(yù)測準(zhǔn)確率并沒有得到明顯提升。本作品所提出的Apk權(quán)限加權(quán)、權(quán)限分類分級(jí)統(tǒng)計(jì)并設(shè)置閾值的方法，具有很強(qiáng)的創(chuàng)新性，并且在合適的操作下可以提升預(yù)測模型的準(zhǔn)確率，是本作品的亮點(diǎn)所在。這種判斷的模糊性源于“惡意行為”其本身就在一定程度上難以進(jìn)行規(guī)范的定義和量化。 本作品使用libsvm作為主要的樣本分類器。針對Android系統(tǒng)權(quán)限的這一特性，本系統(tǒng)在基于權(quán)限分析的Android惡意軟件監(jiān)測方案中，使用Apk文件的permission特征組成特征矩陣，并且對特征矩陣進(jìn)行篩選、加權(quán)、優(yōu)化權(quán)值的處理，進(jìn)而提高了檢測模型的準(zhǔn)確率。有待后續(xù)工作的優(yōu)化和加強(qiáng)。結(jié)果：交叉驗(yàn)證準(zhǔn)確率為87%結(jié)論：由于樣本較多，但樣本質(zhì)量不算最佳，交叉準(zhǔn)確率比測試方案1相對降低，但是實(shí)際應(yīng)用中的準(zhǔn)確率更高。f)通過對apk權(quán)限說明的分析，將其分為三類:第一類為高威脅系統(tǒng)權(quán)限；第二類為高威脅硬件權(quán)限；剩下的權(quán)限為第三類。d)通過對特征頻數(shù)的統(tǒng)計(jì)，將特征分為三類：一類為黑白樣本中均頻數(shù)較高且相差不多的特征；二類為黑白樣本中頻數(shù)差距明顯的特征；剩下的特征為第三類。對于三類特征，在一定區(qū)間內(nèi)自動(dòng)尋找最優(yōu)的三個(gè)加權(quán)參數(shù)，使得加權(quán)后的特征矩陣能夠生成達(dá)到最高準(zhǔn)確率的模型。b)，使其變?yōu)榭勺x取的形式。訓(xùn)練集為 light_apk。c)，得到特征矩陣的過程與系統(tǒng)實(shí)驗(yàn)一種的過程相同。（上圖為特征矩陣）c)在matlab中使用importdata()函數(shù)讀取特征矩陣作為訓(xùn)練集，并根據(jù)樣本黑白屬性建立樣本的標(biāo)簽集。 實(shí)用性測試 測試方案6 360殺毒對比測試，選取一定的樣本，用360殺毒進(jìn)行檢測，將檢測結(jié)果于測試方案15的結(jié)果進(jìn)行對比。利用libsvm的交叉驗(yàn)證得到model的準(zhǔn)確率，并將結(jié)果于測試方案2的結(jié)果進(jìn)行對比。 系統(tǒng)方案二的大樣本測試，選取黑白共計(jì)1005個(gè)樣本進(jìn)行l(wèi)ibsvm訓(xùn)練，其中白樣本來源于hiapk安卓網(wǎng)隨機(jī)下載的應(yīng)用，經(jīng)過360病毒查殺。2） 由于使用了三種不同檢測方案，通過測試來驗(yàn)證方案改進(jìn)方向的正確性和方案改進(jìn)方法的有效性，得出最優(yōu)的檢測方案。2）在系統(tǒng)環(huán)境變量path中添加Matlab的安裝目錄。2）在系統(tǒng)環(huán)境變量path中添加python安裝目錄。隨著我們對本系統(tǒng)的進(jìn)一步完善，準(zhǔn)確性一直在不斷提高。（2）不確定性：從實(shí)驗(yàn)初期的測試結(jié)果來看，本系統(tǒng)的不確定性相對較低，基本上能夠確保檢測的準(zhǔn)確率。 指標(biāo)本系統(tǒng)實(shí)現(xiàn)的是以apk權(quán)限為檢測要素，通過機(jī)器學(xué)習(xí)建立模型對安卓平臺(tái)的惡意軟件進(jìn)行評估。對于分類、分級(jí)的權(quán)限塊，設(shè)置相應(yīng)的基于權(quán)限個(gè)數(shù)的閾值，并加以適當(dāng)?shù)募訖?quán)處理。 在使用Matlab進(jìn)行權(quán)限分析時(shí)，同樣根據(jù)方案一的測試情況，對樣本集、測試集的權(quán)限特征進(jìn)行相應(yīng)的加權(quán)處理。根據(jù)準(zhǔn)確率調(diào)整libsvm的相關(guān)參數(shù)，以達(dá)到一個(gè)較高的準(zhǔn)確率。其中0代表該APK不含此權(quán)限；1代表該APK含有此權(quán)限。在訓(xùn)練時(shí)，其采用交叉驗(yàn)證（Cross Validation）的方法，對c和gamma在一定范圍內(nèi)進(jìn)行窮舉尋優(yōu)。而gnuplot是個(gè)綠色軟件，放到一個(gè)固定路徑即可。順便提到一點(diǎn)，在默認(rèn)情況下，預(yù)測是不帶概率的，要想得到一個(gè)樣本分類到每一類的概率，那么需要在預(yù)測時(shí)加上b參數(shù)，而且要求預(yù)測的model文件也具有概率的功能，即在訓(xùn)練時(shí)也需要使用b參數(shù)使得到的model具有概率的功能。在該程序參數(shù)中，懲罰系數(shù)c和gamma參數(shù)比較重要，其默認(rèn)值分別為1和1/k，并通過交叉驗(yàn)證的方法在一定范圍內(nèi)窮