【正文】 若要得到更高的準(zhǔn)確率，需要對樣本進(jìn)行更精心的選擇。 總結(jié)一款A(yù)ndroid應(yīng)用是否為惡意軟件其實(shí)是一種較為模糊的定義。如“允許程序?qū)懚绦拧?、“運(yùn)行程序訪問聯(lián)系人通訊錄”之類的權(quán)限，顯然在Android應(yīng)用的安全性上具有很大的決定性作用；與此同時(shí)，95個(gè)權(quán)限項(xiàng)中又有許多權(quán)限很少被使用或者僅有特定的程序才會進(jìn)行使用。 結(jié)果分析結(jié)果：交叉驗(yàn)證準(zhǔn)確率達(dá)到95%結(jié)論：由于樣本較少，尤其是白樣本的普遍性較低，雖然交叉驗(yàn)證準(zhǔn)確率較高，但是實(shí)際應(yīng)用中的準(zhǔn)確率并不理想。c)，得到特征矩陣的過程與系統(tǒng)實(shí)驗(yàn)一種的過程相同。2）測試過程a)使用python的zipfile模塊對apk包進(jìn)行批量解壓縮。b)，使其變?yōu)榭勺x取的形式。對于不同的類、級設(shè)定一定的閾值，各類、各級權(quán)限的個(gè)數(shù)是否超過閾值的邏輯結(jié)果作為額外的特征加入特征矩陣。利用libsvm的交叉驗(yàn)證得到model的準(zhǔn)確率。 Matlab 2014a1）下載Matlab 2014a版本并安裝。（4）準(zhǔn)確性：在實(shí)驗(yàn)初期，本系統(tǒng)的準(zhǔn)確性高達(dá)80%以上。通過這一模型建立預(yù)估檢測系統(tǒng)，并且在給出檢測結(jié)果時(shí)會同時(shí)給出系統(tǒng)檢測的準(zhǔn)確率，為用戶提供參考。根據(jù)方案一的測試情況，進(jìn)行一定的篩選，剔除極少采用的權(quán)限或者對Model影響較小的權(quán)限。該文件中的每一行為一個(gè)APK文件的權(quán)限特征，其中第一列為縮寫后的文件名，第二列開始為95個(gè)特征的順序0、1序列。首先我們需要安裝python程序包[20]和gnuplot繪圖軟件[19]，python程序包安裝之后，在使用時(shí)，那么我們在安裝python之后，最好針對本機(jī)再重新編譯出該接口文件，不然會導(dǎo)致調(diào)用出錯(cuò)，具體的編譯方法參見Libsvm程序包中的幫助文檔，本文不再詳細(xì)介紹。可以在使用時(shí)通過設(shè)置對應(yīng)的參數(shù)來進(jìn)行調(diào)用對應(yīng)的核函數(shù)。2)libsvm的使用該工具包提供了源代碼以及在win32平臺下的可執(zhí)行文件，主要包括一下文件：。此時(shí)目標(biāo)函數(shù)為： (340)其中。圖 313 超平面劃分二元分類示意圖從圖313中我們可以看出劃分二元分類的超平面不止一種，有很多種超平面都能夠把樣本分開。為了進(jìn)一步解決非線性問題，Vapnik等人通過引入核映射方法轉(zhuǎn)化為高維空間的線性可分問題來解決?？珊唵蔚谋硎緸椋? (339)它表明在有限樣本訓(xùn)練下，學(xué)習(xí)機(jī)VC維越高（機(jī)器的復(fù)雜性越高），則置信范圍越大，導(dǎo)致真實(shí)風(fēng)險(xiǎn)與經(jīng)驗(yàn)風(fēng)險(xiǎn)之間可能的差別越大。VC維反映了函數(shù)集的學(xué)習(xí)能力，VC維越大則學(xué)習(xí)機(jī)器越復(fù)雜（學(xué)習(xí)能力越強(qiáng)）。因此，機(jī)器學(xué)習(xí)方法中一般采用經(jīng)驗(yàn)風(fēng)險(xiǎn)最小化的原則來對期望風(fēng)險(xiǎn)進(jìn)行估計(jì)。對于模式識別、回歸模型和概率密度估計(jì)問題這三個(gè)機(jī)器學(xué)習(xí)的基本問題，有著不同形式的損失函數(shù)。本節(jié)包括機(jī)器學(xué)習(xí)、支持向量機(jī)（SVM）和libsvm的使用。第二，在后臺下載其他應(yīng)用程序或者病毒程序。其中tel為短信發(fā)送地址，message為短信訂購內(nèi)容、通常在向SP發(fā)送訂購業(yè)務(wù)后，SP會回復(fù)一個(gè)確認(rèn)短信給用戶，讓用戶再次確認(rèn)是否訂購該業(yè)務(wù)。（4）。在eclipse編譯生成一個(gè)api包時(shí)，會對所有要打包的文件做一個(gè)校驗(yàn)計(jì)算，并把計(jì)算結(jié)果放在METAINF目錄下。apk文件實(shí)際是一個(gè)zip壓縮包，可以通過解壓縮工具解開。系統(tǒng)庫包括九個(gè)子系統(tǒng)，分別是圖層管理、媒體庫、SQLite、OpenGLEState、FreeType、WebKit、SGL、SSL和libc。這些應(yīng)用程序都是用Java語言編寫的，并且這些應(yīng)用程序都是可以被開發(fā)人員開發(fā)的其他應(yīng)用程序所替換，這點(diǎn)不同于其他手機(jī)操作系統(tǒng)固化在系統(tǒng)內(nèi)部的系統(tǒng)軟件，更加靈活和個(gè)性化。Android的Package Manager在程序安裝時(shí)經(jīng)用戶同意給應(yīng)用程序安裝包賦予權(quán)限，而在執(zhí)行時(shí)由應(yīng)用程序框架層驗(yàn)證權(quán)限，如果應(yīng)用程序未經(jīng)申請使用了受限的資源，應(yīng)用程序會自動關(guān)閉。 實(shí)現(xiàn)原理本系統(tǒng)對Android惡意軟件的檢測主要分為基于特征代碼的檢測和基于權(quán)限統(tǒng)計(jì)分析的檢測。而為了提高預(yù)測準(zhǔn)確率，加入了特征碼檢測過程，該過程可以以很高的準(zhǔn)確率識別出惡意軟件。為此，我們一開始采用了較為直觀簡潔的檢測方案，隨后不斷嘗試對方案進(jìn)行改進(jìn)、豐富、提效。另外，本作品利用機(jī)器學(xué)習(xí)和權(quán)限加權(quán)，大大提高了檢測結(jié)果的準(zhǔn)確度。 應(yīng)用程序權(quán)限控制機(jī)制權(quán)限控制機(jī)制是Android 系統(tǒng)在應(yīng)用程序框架層最核心的機(jī)制。只要黑客試圖對 APK 的內(nèi)部進(jìn)行了變動， 就必須對 APK 文件進(jìn)行重新簽名。并對其定義如下：從惡意軟件的惡意代碼中提取出連續(xù)不含空格的字符串作為該惡意軟件的特征， 保存在病毒庫中， 并依靠由此構(gòu)建的病毒庫來檢測惡意軟件。相較之猛增的“量”變，更讓人感到憂心的是，手機(jī)惡意程序同時(shí)也出現(xiàn)了“質(zhì)”的飛躍。安全漏洞可以使攻擊者以非法手段獲取用戶重要信息及系統(tǒng)的控制權(quán)，并且Android智能終端存儲著用戶大量隱私信息，一旦這些信息泄露或破壞，對用戶造成的損失難以想象。就信息安全事件來講，在2014年各種狀況頻出又豐富多彩。由于其開源性和與應(yīng)用的完美結(jié)合，吸引了大量開發(fā)商和應(yīng)用開發(fā)者轉(zhuǎn)向Android。 國內(nèi)安全公司的數(shù)據(jù)也顯示：流氓推廣、惡意扣費(fèi)、竊取用戶數(shù)據(jù)等惡意軟件增長迅速，危害日益嚴(yán)重。Android作為最受歡迎的智能終端系統(tǒng)，已經(jīng)從最初的智能手機(jī)領(lǐng)域進(jìn)入教育、醫(yī)療、軍事、汽車、家居等重要行業(yè)。本作品的主要特性如下：（1）與用戶的交互能力強(qiáng)，方便操作。Android是為移動終端打造的包括操作系統(tǒng)、中間件、開發(fā)組件及應(yīng)用軟件的真正開源平臺并于2008年發(fā)布了第一款智能手機(jī)。所以，對Android平臺上惡意軟件的檢測評估迫在眉睫。目前，安卓手機(jī)上惡意軟件引起的安全事件層出不窮，如監(jiān)控手機(jī)的語音通話，并將這些信息發(fā)送到指定主機(jī)，還有一些一鍵root軟件實(shí)則會更改系統(tǒng)權(quán)限盜取信息等。更糟的是，隨著地下產(chǎn)業(yè)鏈的不斷成熟和擴(kuò)大，以及攻擊技術(shù)的不斷發(fā)展和改進(jìn)，這些威脅和相關(guān)攻擊只會來勢更兇。 Android移動開發(fā)平臺是Google與30多家全球移動通訊領(lǐng)域內(nèi)的領(lǐng)軍企業(yè)聯(lián)合開發(fā)。因此，國內(nèi)的Android應(yīng)用安全問題更加突出，安全威脅更高。三分之一Android應(yīng)用被賽門鐵克稱為“灰色軟件”（Greyware或Grayware），這些移動軟件主要是利用大量廣告“轟炸”你。這種惡意軟件已經(jīng)從以往直接扣除受害者手機(jī)賬戶話費(fèi)的老套騙術(shù)中得到“升級”。 以特征代碼（signaturebased）為基準(zhǔn)的檢測方案在不同的文獻(xiàn)中的定義不同，特征方案分為字節(jié)碼特征（bytecode signature）還是行為特征（behavioral signature）， 但本質(zhì)上都是通過分析待檢測文件是否包含已知惡意軟件的特征代碼（ 通常是從一段病毒代碼中提取的代碼和字符常量）來判斷其是否具備惡意行為。 相關(guān)安全公司檢測情況（1）所選取的安全軟件供應(yīng)商產(chǎn)品包名版本AVG小紅傘Symantec諾頓手機(jī)安全軟件Lookout手機(jī)保護(hù)ESETESET移動安全大蜘蛛反病毒軟件Kaspersky卡巴斯基手機(jī)安全軟件Trend micro移動安全個(gè)人版。由此可見，在Android 的應(yīng)用程序和應(yīng)用程序框架層中，簽名機(jī)制起到了十分重要作用，進(jìn)一步保護(hù)了系統(tǒng)的安全。這些權(quán)限可以被分為普通級、危險(xiǎn)級、簽名級和系統(tǒng)級。（2）普通安卓手機(jī)用戶：對于不可信來源下載來的APK利用本軟件進(jìn)行檢測，參考一下是否可以放心使用該軟件。 方案二在Android所有95個(gè)不同權(quán)限中進(jìn)行基于安全相關(guān)性的篩選與加權(quán)，試圖提高SVM model的準(zhǔn)確率。方案三在執(zhí)行類似方案二的過程同時(shí)，對95個(gè)權(quán)限標(biāo)簽進(jìn)行統(tǒng)計(jì)上的分類和分級。權(quán)限控制機(jī)制是Android 系統(tǒng)在應(yīng)用程序框架層最核心的機(jī)制。通過對權(quán)限特征的量化，即可以使用SVM（支持向量機(jī)）分類器對大量的Android惡意軟件、非惡意軟件的樣本的權(quán)限信息進(jìn)行統(tǒng)計(jì)和建模，生成一個(gè)用于預(yù)測Android軟件是否為惡意軟件的Model。基于這樣的重用機(jī)制，用戶就可以方便地替換平臺本 身的各種應(yīng)用程序組件。驅(qū)動：顯示驅(qū)動、攝像頭驅(qū)動、鍵盤驅(qū)動、WiFi驅(qū)動、Audio驅(qū)動、flash內(nèi)存驅(qū)動、Binder（IPC）驅(qū)動、電源管理等。 因此，該文件提供了Android系統(tǒng)所需要的關(guān)于該應(yīng)用程序的必要信息，即在該應(yīng)用程序的任何代碼運(yùn)行之前系統(tǒng)所必須擁有的信息。（3）res目錄存放的大部分是一些圖片資源和界面的布局文件。 Android病毒原理Android平臺的惡意軟件主要由如下幾種攻擊方式：（1）惡意扣費(fèi)：這類病毒在用戶不知情的情況下，向SP訂購付費(fèi)業(yè)務(wù)，扣除用戶的話費(fèi)，（2）竊取隱私：這類惡意軟件主要是竊聽用戶通話，竊取用戶位置信息、通訊錄等資料，并在后臺上傳到服務(wù)器，從中獲取有利信息或者轉(zhuǎn)賣出去，進(jìn)而獲利、)（3）消耗資費(fèi)：這類病毒主要在后臺自動聯(lián)網(wǎng)，不斷下載廣告主推廣的應(yīng)用或其他惡意軟件，從而獲取非法利益，這樣直接導(dǎo)致用戶的網(wǎng)絡(luò)流量和設(shè)備電量消耗過大。2）盜打電話對于Android手機(jī)，通過撥打電話扣費(fèi)的病毒較少，因?yàn)閾芴枱o法做到像偷發(fā)短信一樣那么好的隱蔽性，不過最近也出現(xiàn)了一些病毒，入侵用戶的手機(jī)后，自動撥打指定的號碼，這種號碼通常會收取很高的SP費(fèi)用。 機(jī)器學(xué)習(xí)、SVM介紹和libsvm的使用 基于數(shù)據(jù)的機(jī)器學(xué)習(xí)是現(xiàn)代智能技術(shù)中的重要方面，研究從觀測數(shù)據(jù)（樣本）出發(fā)尋找規(guī)律，利用這些規(guī)律對未來數(shù)據(jù)或無法觀測的數(shù)據(jù)進(jìn)行預(yù)測。假設(shè)輸出y與輸入x之間存在一定的未知聯(lián)系，機(jī)器學(xué)習(xí)的問題就是根據(jù)若干個(gè)獨(dú)立同分布的訓(xùn)練樣本(x1,y1), (x2,y2),…, (xn,yn)（假設(shè)樣本個(gè)數(shù)為n）在一組函數(shù)中，選擇一個(gè)最優(yōu)的函數(shù)對x，y之間的關(guān)系進(jìn)行評估，而就是一個(gè)學(xué)習(xí)機(jī)。一般定義模式識別問題的損失函數(shù)為： (333)?回歸問題回歸問題中的輸出值y是個(gè)連續(xù)變量，其損失函數(shù)一般采用最小平方的誤差，即定義為： (334)?概率密度估計(jì)問題在概率密度估計(jì)問題中，學(xué)習(xí)的目擊是根據(jù)訓(xùn)練樣本確定輸入值x的概率密度。圖 311望風(fēng)險(xiǎn)與經(jīng)驗(yàn)風(fēng)險(xiǎn)關(guān)系圖所以在實(shí)際應(yīng)用中，尋找一個(gè)合適的學(xué)習(xí)函數(shù)對預(yù)測成功率是非常重要的，要尋找期望風(fēng)險(xiǎn)和經(jīng)驗(yàn)風(fēng)險(xiǎn)的最佳匹配函數(shù)。結(jié)構(gòu)風(fēng)險(xiǎn)最小化為我們提供了一種不同于經(jīng)驗(yàn)風(fēng)險(xiǎn)最小化的更科學(xué)的學(xué)習(xí)機(jī)器設(shè)計(jì)原則，顯然，利用結(jié)構(gòu)風(fēng)險(xiǎn)最小化原則的思想，就可以解決神經(jīng)網(wǎng)絡(luò)中的過學(xué)習(xí)問題。保證最終所獲得的分割平面位于兩個(gè)類別的中心對于分類問題的實(shí)際應(yīng)用是很重要的。我們設(shè)訓(xùn)練樣本集為S=(,y1), (,y2),…, (,yn)，其中∈Rn， yi={0,1}（或者yi={1,1}），i=1,…n。這樣我們只需要求得法向量的值之后，我們就可以構(gòu)造出該分類超平面。Libsvm工具包包含了分類問題、回歸問題和分布估計(jì)的解決方法，并提供了線性、多項(xiàng)式、RBF和Sigmod四種常用的核函數(shù)。二是為了提高計(jì)算精度，因?yàn)槲覀冊诮酉聛砝每焖倌_本對訓(xùn)練參數(shù)進(jìn)行選擇時(shí)，參數(shù)會在某一個(gè)范圍內(nèi)進(jìn)行選擇，而此范圍很小，所以我們只