【正文】 的。layout、menu、xml目錄存放的是軟件界面的布局文件，包括菜單、窗口、主界面和設(shè)置界面等。（5）二進制格式的文件，aapt對資源進行編譯時，會為每一個資源分配唯一的id值，程序在執(zhí)行時會根據(jù)這些id值讀取特定的資源。1）盜發(fā)短信在后臺偷偷向SP發(fā)送訂購付費業(yè)務(wù)短信，這是病毒最常用的手段，病毒獲得發(fā)送短信的權(quán)限后，利用SmsManageY類，在用戶不知道的情況下，向SP發(fā)送訂購付費業(yè)務(wù)短信:()sendTextMessage (tel,null,message，null, null)。病毒屏蔽短信是利用了Android的四大組件之一BroadcastReceiver, Android收到短信時，會發(fā)出一個有序廣播，病毒獲得接收短信的權(quán)限后，聲明一個BroadcastReceiveY并把優(yōu)先級設(shè)的很高，病毒優(yōu)先收到SP發(fā)來的短信后，判斷是否是特定SP的號碼，如果是，首先終止廣播的傳播，其他程序就不會收到短信了。3）網(wǎng)絡(luò)傳輸病毒一般從兩個方面利用網(wǎng)絡(luò)：第一，在后臺聯(lián)網(wǎng)，上傳用戶的隱私信息。 其中file是上傳的文件，up_url是上傳服務(wù)器地址、 下載代碼類似于: DownFile ( String url，String path，int thread_ num)。在傳統(tǒng)統(tǒng)計學(xué)的理論上發(fā)展出來的支持向量機（SVM）理論表現(xiàn)出其獨特的性能。圖 310 機器學(xué)習(xí)模型圖其中系統(tǒng)是我們所要進行研究的對象，學(xué)習(xí)機是我們所要得到的模型。2)損失函數(shù)對于一個學(xué)習(xí)機，可以定義一個損失函數(shù)，用來表示預(yù)測函數(shù)對y進行預(yù)測時造成的損失。其輸出值y是類別號，一個號碼對應(yīng)唯一一個類別。但在應(yīng)用中，是無法通過直接計算來得到。前人的研究發(fā)現(xiàn)，期望風(fēng)險和經(jīng)驗風(fēng)險并不是嚴格的對應(yīng)關(guān)系，當經(jīng)驗風(fēng)險最小時，期望風(fēng)險并不一定是最小。有界實函數(shù)的VC維可以通過用一定的閾值將其轉(zhuǎn)化為指示函數(shù)來定義。5)結(jié)構(gòu)風(fēng)險最小化經(jīng)驗風(fēng)險最小化原則在樣本有限（即h/n較大）時是不合理的，此時一個小的經(jīng)驗風(fēng)險值并不能保證小的實際風(fēng)險值。圖 312結(jié)構(gòu)風(fēng)險最小化示意圖實際風(fēng)險由兩部分組成：經(jīng)驗風(fēng)險，以及置信范圍。對于線性可分數(shù)據(jù)的二值分類，如果采用多層前向網(wǎng)絡(luò)來實現(xiàn)，其機理可以簡單描述為：系統(tǒng)隨機的產(chǎn)生一個超平面并移動它，直到訓(xùn)練集合中屬于不同類別的點正好位于該超平面的不同側(cè)面，就完成了對網(wǎng)絡(luò)的設(shè)計要求。該方法的機理可以簡單描述為：尋找一個滿足分類要求的最優(yōu)分類超平面，使得該超平面在保證分類精度的同時，能夠使超平面兩側(cè)的空白區(qū)域最大化；從理論上來說，支持向量機能夠?qū)崿F(xiàn)對線性可分數(shù)據(jù)的最優(yōu)分類。2)支持向量機的分類原理具體介紹。超平面劃分二元分類示意圖如圖313所示。但是平移是有一定的度的，如果平移到H3的位置，H3不能正確的劃分樣本。根據(jù)泛函的有關(guān)理論，只要一種核函數(shù)滿足Mercer條件，它就對應(yīng)某一空間中的內(nèi)積，因此只要在最優(yōu)分類面上采用適當?shù)膬?nèi)積核函數(shù)就可以實現(xiàn)這種線性不可分的分類問題。該工具完全開源，提供了C++、Java、Matlab、Python等語言的函數(shù)接口，以供不同的環(huán)境下使用。在Libsvm中，參數(shù)的選擇是在訓(xùn)練樣本時進行交叉檢驗時進行查找最優(yōu)的。2）數(shù)據(jù)集的縮放處理，把向量組中的數(shù)值縮放到一定的范圍內(nèi)，通常是縮放到[0,1]或者[1,1]之間。Libsvm工具包中在訓(xùn)練程序中提供了多種核函數(shù)以供選擇，其中包括線性核、多項式核、RBF核與Sigmod核四類核函數(shù)。4）對測試數(shù)據(jù)集進行預(yù)測，通過在預(yù)測前對待測試數(shù)據(jù)集也進行縮放的預(yù)處理。下面對腳本文件做簡單介紹，、。在使用前，即設(shè)定好Libsvm中的各個程序的路徑以及gnuplot的路徑，然后才能正確使用。反編譯結(jié)束后將得到軟件同名文件夾。設(shè)置libsvm的樣本集、樣本集的標簽以及測試集和測試集的標簽。 方案二流程 不使用Apktools反編譯APK包，直接利用AXMLPrinter工具從解壓后的APK包中對xml文件進行反編譯，減少計算成本。 方案三流程根據(jù)方案一、二的測試情況和結(jié)果，對95個權(quán)限進行相應(yīng)的分類和分級。 功能本系統(tǒng)采用不同的方案對大量Android軟件樣本進行分析，通過結(jié)合基于權(quán)限統(tǒng)計分析的檢測方法進行機器學(xué)習(xí)，建立可預(yù)測Android軟件是否為惡意軟件的模型。（1）評估范圍：本系統(tǒng)在初期是比較簡單的，只對apk包中的permission單純地提取，所有的permission以同等地位作為評估因素。我們將會在更多方面提取能作為惡意軟件檢測的特征，來完善并優(yōu)化本檢測系統(tǒng)。（6）實用性：本系統(tǒng)與用戶的交互能力很強，預(yù)測結(jié)果可靠，且用戶群體眾多，可以應(yīng)用到很多的領(lǐng)域。2）在系統(tǒng)環(huán)境變量path中添加JDK安裝目錄。 測試目的 本系統(tǒng)使用了三種不同的Android惡意軟件檢測方案。 測試方案 系統(tǒng)方案一的小樣本測試，選取黑白共計334個樣本進行測試，其中白樣本來源于360安卓市場，且為市場上知名度較高，安全性較可靠的應(yīng)用。 系統(tǒng)方案二測試 系統(tǒng)方案二的無加權(quán)測試，對334個樣本進行權(quán)限篩選后的libsvm訓(xùn)練，將系統(tǒng)方案一中的95個樣本縮減為51個，利用libsvm的交叉驗證得到model的準確率，將測試結(jié)果于測試方案1進行對比。其中，權(quán)限分類基于權(quán)限的不同功能；權(quán)限分級基于權(quán)限對Model的影響程度。b)。（上圖為自動尋找最優(yōu)參的函數(shù)）1)測試文件2）測試過程（與測試方案1相同）1）測試文件（根目錄）（Xmls目錄）2）測試過程a)使用python的zipfile模塊對apk包進行批量解壓縮。(上圖為權(quán)限頻數(shù)統(tǒng)計結(jié)果)根據(jù)以上結(jié)果，判斷可刪除的特征項如下：v = [1 7 9 13 14 17 19 24 26 29 31 33 35 36 40 41 43 45 46 50 52 54 55 57 60 61 70:78 80:85 89 91 92]。1）測試文件 文件目錄與測試方案3相同，測試樣本集不同。d)根據(jù)測試方案3的結(jié)果，直接從訓(xùn)練集中剔除以下序號的特征項v = [1 7 9 13 14 17 19 24 26 29 31 33 35 36 40 41 43 45 46 50 52 54 55 57 60 61 70:78 80:85 89 91 92]。b)，使其變?yōu)榭勺x取的形式。e)再次通過對特征頻數(shù)的統(tǒng)計，將特征分為三級:第一級為超過40%樣本使用的特征；第二級為超過10%樣本使用的特征；剩下的特征為第三級。對4000個樣本apk，用本系統(tǒng)的方案和360殺毒同時檢測，觀察結(jié)果。結(jié)果：交叉驗證準確率為90%結(jié)論：準確率較測試方案2有所提升，證明了加權(quán)方案的有效性。創(chuàng)新性說明 對于Android系統(tǒng)下的95個權(quán)限項，其本身在功能性上存在一定差異性。針對這種現(xiàn)象，本系統(tǒng)試圖通過對Apk權(quán)限特征的分類、分級，并增加基于閾值的統(tǒng)計特征，試圖進一步挖掘Apk權(quán)限的深度內(nèi)涵，通過權(quán)限本身的功能獨特性、權(quán)限與權(quán)限之間的相關(guān)聯(lián)系，拓展權(quán)限特征在惡意軟件監(jiān)測中的含義。然而本系統(tǒng)在輕量級的機器學(xué)習(xí)上加入了人工的特征處理，一定程度上彌補了基于機器學(xué)習(xí)方案與基于深度學(xué)習(xí)方案的學(xué)習(xí)效果的差距。加之惡意軟件攻擊手段的不斷變化，其偽裝、混淆能力的不斷加強，想要真正達到或者接近100%準確率的惡意軟件監(jiān)測方案可謂難上之難。 ，這對svm訓(xùn)練得出的model準確率有較大的影響。 ，由于其創(chuàng)新性較強，在具體的實現(xiàn)方面（準確的分類、分級，合適的權(quán)值選擇）仍然存在一定問題尚未解決，使得最終的模型預(yù)測準確率并沒有得到明顯提升。本作品所提出的Apk權(quán)限加權(quán)、權(quán)限分類分級統(tǒng)計并設(shè)置閾值的方法，具有很強的創(chuàng)新性，并且在合適的操作下可以提升預(yù)測模型的準確率，是本作品的亮點所在。這種判斷的模糊性源于“惡意行為”其本身就在一定程度上難以進行規(guī)范的定義和量化。 本作品使用libsvm作為主要的樣本分類器。針對Android系統(tǒng)權(quán)限的這一特性，本系統(tǒng)在基于權(quán)限分析的Android惡意軟件監(jiān)測方案中，使用Apk文件的permission特征組成特征矩陣，并且對特征矩陣進行篩選、加權(quán)、優(yōu)化權(quán)值的處理，進而提高了檢測模型的準確率。有待后續(xù)工作的優(yōu)化和加強。結(jié)果：交叉驗證準確率為87%結(jié)論：由于樣本較多，但樣本質(zhì)量不算最佳，交叉準確率比測試方案1相對降低，但是實際應(yīng)用中的準確率更高。f)通過對apk權(quán)限說明的分析，將其分為三類:第一類為高威脅系統(tǒng)權(quán)限；第二類為高威脅硬件權(quán)限；剩下的權(quán)限為第三類。d)通過對特征頻數(shù)的統(tǒng)計，將特征分為三類：一類為黑白樣本中均頻數(shù)較高且相差不多的特征；二類為黑白樣本中頻數(shù)差距明顯的特征；剩下的特征為第三類。對于三類特征，在一定區(qū)間內(nèi)自動尋找最優(yōu)的三個加權(quán)參數(shù)，使得加權(quán)后的特征矩陣能夠生成達到最高準確率的模型。b)，使其變?yōu)榭勺x取的形式。訓(xùn)練集為 light_apk。c)，得到特征矩陣的過程與系統(tǒng)實驗一種的過程相同。（上圖為特征矩陣）c)在matlab中使用importdata()函數(shù)讀取特征矩陣作為訓(xùn)練集，并根據(jù)樣本黑白屬性建立樣本的標簽集。 實用性測試 測試方案6 360殺毒對比測試，選取一定的樣本，用360殺毒進行檢測，將檢測結(jié)果于測試方案15的結(jié)果進行對比。利用libsvm的交叉驗證得到model的準確率，并將結(jié)果于測試方案2的結(jié)果進行對比。 系統(tǒng)方案二的大樣本測試，選取黑白共計1005個樣本進行l(wèi)ibsvm訓(xùn)練，其中白樣本來源于hiapk安卓網(wǎng)隨機下載的應(yīng)用，經(jīng)過360病毒查殺。2） 由于使用了三種不同檢測方案，通過測試來驗證方案改進方向的正確性和方案改進方法的有效性，得出最優(yōu)的檢測方案。2）在系統(tǒng)環(huán)境變量path中添加Matlab的安裝目錄。2）在系統(tǒng)環(huán)境變量path中添加python安裝目錄。隨著我們對本系統(tǒng)的進一步完善，準確性一直在不斷提高。（2）不確定性：從實驗初期的測試結(jié)果來看，本系統(tǒng)的不確定性相對較低，基本上能夠確保檢測的準確率。 指標本系統(tǒng)實現(xiàn)的是以apk權(quán)限為檢測要素，通過機器學(xué)習(xí)建立模型對安卓平臺的惡意軟件進行評估。對于分類、分級的權(quán)限塊，設(shè)置相應(yīng)的基于權(quán)限個數(shù)的閾值，并加以適當?shù)募訖?quán)處理。 在使用Matlab進行權(quán)限分析時，同樣根據(jù)方案一的測試情況，對樣本集、測試集的權(quán)限特征進行相應(yīng)的加權(quán)處理。根據(jù)準確率調(diào)整libsvm的相關(guān)參數(shù)，以達到一個較高的準確率。其中0代表該APK不含此權(quán)限；1代表該APK含有此權(quán)限。在訓(xùn)練時，其采用交叉驗證（Cross Validation）的方法，對c和gamma在一定范圍內(nèi)進行窮舉尋優(yōu)。而gnuplot是個綠色軟件，放到一個固定路徑即可。順便提到一點，在默認情況下，預(yù)測是不帶概率的，要想得到一個樣本分類到每一類的概率，那么需要在預(yù)測時加上b參數(shù)，而且要求預(yù)測的model文件也具有概率的功能，即在訓(xùn)練時也需要使用b參數(shù)使得到的model具有概率的功能。在該程序參數(shù)中，懲罰系數(shù)c和gamma參數(shù)比較重要，其默認值分別為1和1/k，并通過交叉驗證的方法在一定范圍內(nèi)窮