【正文】 有把所有的特征值縮放在一個范圍之內(nèi)時才可以更好的從該范圍中尋優(yōu)。順便提到一點，在默認情況下，預測是不帶概率的，要想得到一個樣本分類到每一類的概率，那么需要在預測時加上b參數(shù)，而且要求預測的model文件也具有概率的功能，即在訓練時也需要使用b參數(shù)使得到的model具有概率的功能。在訓練時，其采用交叉驗證（Cross Validation）的方法，對c和gamma在一定范圍內(nèi)進行窮舉尋優(yōu)。根據(jù)準確率調(diào)整libsvm的相關參數(shù)，以達到一個較高的準確率。對于分類、分級的權限塊，設置相應的基于權限個數(shù)的閾值，并加以適當?shù)募訖嗵幚?。?）不確定性：從實驗初期的測試結(jié)果來看，本系統(tǒng)的不確定性相對較低，基本上能夠確保檢測的準確率。2）在系統(tǒng)環(huán)境變量path中添加python安裝目錄。2） 由于使用了三種不同檢測方案，通過測試來驗證方案改進方向的正確性和方案改進方法的有效性，得出最優(yōu)的檢測方案。利用libsvm的交叉驗證得到model的準確率，并將結(jié)果于測試方案2的結(jié)果進行對比。（上圖為特征矩陣）c)在matlab中使用importdata()函數(shù)讀取特征矩陣作為訓練集，并根據(jù)樣本黑白屬性建立樣本的標簽集。訓練集為 light_apk。對于三類特征，在一定區(qū)間內(nèi)自動尋找最優(yōu)的三個加權參數(shù)，使得加權后的特征矩陣能夠生成達到最高準確率的模型。f)通過對apk權限說明的分析，將其分為三類:第一類為高威脅系統(tǒng)權限；第二類為高威脅硬件權限；剩下的權限為第三類。有待后續(xù)工作的優(yōu)化和加強。 本作品使用libsvm作為主要的樣本分類器。本作品所提出的Apk權限加權、權限分類分級統(tǒng)計并設置閾值的方法，具有很強的創(chuàng)新性，并且在合適的操作下可以提升預測模型的準確率，是本作品的亮點所在。加之惡意軟件攻擊手段的不斷變化，其偽裝、混淆能力的不斷加強，想要真正達到或者接近100%準確率的惡意軟件監(jiān)測方案可謂難上之難。針對這種現(xiàn)象，本系統(tǒng)試圖通過對Apk權限特征的分類、分級，并增加基于閾值的統(tǒng)計特征，試圖進一步挖掘Apk權限的深度內(nèi)涵，通過權限本身的功能獨特性、權限與權限之間的相關聯(lián)系，拓展權限特征在惡意軟件監(jiān)測中的含義。結(jié)果：交叉驗證準確率為90%結(jié)論：準確率較測試方案2有所提升，證明了加權方案的有效性。e)再次通過對特征頻數(shù)的統(tǒng)計，將特征分為三級:第一級為超過40%樣本使用的特征；第二級為超過10%樣本使用的特征；剩下的特征為第三級。d)根據(jù)測試方案3的結(jié)果，直接從訓練集中剔除以下序號的特征項v = [1 7 9 13 14 17 19 24 26 29 31 33 35 36 40 41 43 45 46 50 52 54 55 57 60 61 70:78 80:85 89 91 92]。(上圖為權限頻數(shù)統(tǒng)計結(jié)果)根據(jù)以上結(jié)果，判斷可刪除的特征項如下：v = [1 7 9 13 14 17 19 24 26 29 31 33 35 36 40 41 43 45 46 50 52 54 55 57 60 61 70:78 80:85 89 91 92]。b)。 系統(tǒng)方案二測試 系統(tǒng)方案二的無加權測試，對334個樣本進行權限篩選后的libsvm訓練，將系統(tǒng)方案一中的95個樣本縮減為51個，利用libsvm的交叉驗證得到model的準確率，將測試結(jié)果于測試方案1進行對比。 測試目的 本系統(tǒng)使用了三種不同的Android惡意軟件檢測方案。（6）實用性：本系統(tǒng)與用戶的交互能力很強，預測結(jié)果可靠，且用戶群體眾多，可以應用到很多的領域。（1）評估范圍：本系統(tǒng)在初期是比較簡單的，只對apk包中的permission單純地提取，所有的permission以同等地位作為評估因素。 方案三流程根據(jù)方案一、二的測試情況和結(jié)果，對95個權限進行相應的分類和分級。設置libsvm的樣本集、樣本集的標簽以及測試集和測試集的標簽。在使用前，即設定好Libsvm中的各個程序的路徑以及gnuplot的路徑，然后才能正確使用。4）對測試數(shù)據(jù)集進行預測，通過在預測前對待測試數(shù)據(jù)集也進行縮放的預處理。2）數(shù)據(jù)集的縮放處理，把向量組中的數(shù)值縮放到一定的范圍內(nèi)，通常是縮放到[0,1]或者[1,1]之間。該工具完全開源，提供了C++、Java、Matlab、Python等語言的函數(shù)接口，以供不同的環(huán)境下使用。但是平移是有一定的度的，如果平移到H3的位置，H3不能正確的劃分樣本。2)支持向量機的分類原理具體介紹。對于線性可分數(shù)據(jù)的二值分類，如果采用多層前向網(wǎng)絡來實現(xiàn)，其機理可以簡單描述為：系統(tǒng)隨機的產(chǎn)生一個超平面并移動它，直到訓練集合中屬于不同類別的點正好位于該超平面的不同側(cè)面，就完成了對網(wǎng)絡的設計要求。5)結(jié)構(gòu)風險最小化經(jīng)驗風險最小化原則在樣本有限（即h/n較大）時是不合理的，此時一個小的經(jīng)驗風險值并不能保證小的實際風險值。前人的研究發(fā)現(xiàn)，期望風險和經(jīng)驗風險并不是嚴格的對應關系，當經(jīng)驗風險最小時，期望風險并不一定是最小。其輸出值y是類別號，一個號碼對應唯一一個類別。圖 310 機器學習模型圖其中系統(tǒng)是我們所要進行研究的對象，學習機是我們所要得到的模型。 其中file是上傳的文件，up_url是上傳服務器地址、 下載代碼類似于: DownFile ( String url，String path，int thread_ num)。病毒屏蔽短信是利用了Android的四大組件之一BroadcastReceiver, Android收到短信時，會發(fā)出一個有序廣播，病毒獲得接收短信的權限后，聲明一個BroadcastReceiveY并把優(yōu)先級設的很高，病毒優(yōu)先收到SP發(fā)來的短信后，判斷是否是特定SP的號碼，如果是，首先終止廣播的傳播，其他程序就不會收到短信了。（5）二進制格式的文件，aapt對資源進行編譯時，會為每一個資源分配唯一的id值，程序在執(zhí)行時會根據(jù)這些id值讀取特定的資源。比如拿到一個apk 包后，如果想要替換里面的一幅圖片，一段代碼， 或一段版權信息，想直接解壓縮、替換再重新打包，基本是不可能的。它是Android程序的全局配置文件，是每個Android程序中必須的文件。（4）Linux內(nèi)核，如安全性、內(nèi)存管理、進程管理、網(wǎng)絡協(xié)議棧和驅(qū)動模型。在Android平臺上，開發(fā)人員可以完全訪問核心應用程序所使用的API框 架。由與Android軟件所申請的權限與其軟件的功能有著極大的相關性，使得對權限進行分析判斷Android軟件是否惡意軟件成為可能。但其存在以下缺點:1）具有滯后性，無法識別未知的惡意軟件2）字節(jié)碼特征容易通過加密和混淆的方式被改變，導致特征庫需要頻繁更新。在對權限進行篩選、加權的同時，依然對所有權限進行分類統(tǒng)計、分級統(tǒng)計的操作，統(tǒng)計出各類、各級權限的個數(shù)，并且根據(jù)設定的閾值將邏輯判斷結(jié)果作為測試集特征的一部分。 方案一對軟件的Android所有95個不同權限的使用情況進行機器學習分析，得到基于大量權限特征的Model進行預測。本作品應用市場有：（1）軟件應用市場：可以通過本產(chǎn)品對于市場上要上架的軟件進行檢測，作為審核上架的一道工序，以便更好地為用戶提供一個下載安全好用的軟件的地方。Android的Package Manager在程序安裝時經(jīng)用戶同意給應用程序安裝包賦予權限，而在執(zhí)行時由應用程序框架層驗證權限，如果應用程序未經(jīng)申請使用了受限的資源，應用程序會自動關閉。如果用戶在更新應用程序時，兩者的簽名信息不一致， 系統(tǒng)將會禁止此次更新。（2）以行為為基準的惡意軟件檢測方案以行為（behaviorbased）為基準的檢測方法又可以實現(xiàn)方式分為白名單模型和黑名單模型，黑名單模型對惡意行為進行建模，但和基于特征代碼的檢測（signaturebased）一樣，無法檢測未知惡意程序。網(wǎng)絡罪犯會使用安卓漏洞增強惡意程序的權限，大幅增加惡意程序的功能，并且使清除惡意程序變得更為困難。在眾多手機惡意軟件類型之中，銀行木馬對用戶造成的危害最為巨大。此外，互聯(lián)網(wǎng)安全技術全球領導廠商賽門鐵克在最新公布的《互聯(lián)網(wǎng)安全威脅報告》中發(fā)出警告，所有Android應用中，有17%（約100萬個）實際上是惡意軟件偽裝的。國外用戶一般是從谷歌應用商店下載應用，由于谷歌自身安全檢測機制的保障，其安全性不太可能出現(xiàn)大的問題。為了更好地防范惡意軟件和駭客帶來的威脅，最好的辦法是了解他們的攻擊方法和工具，建立技術壁壘。同時存儲著SMS、聯(lián)系人等重要信息，Android智能終端成為用戶大量隱私辦公等信息存儲的設備。該作品采用了多個因素作為評估檢測的評估標準，包括簽名、使用權限、特征碼等，相對于一些單一的標準來說，綜合性更強，從而可信度更高；（4）實用性強。安全漏洞可以使攻擊者以非法手段獲取用戶重要信息及系統(tǒng)的控制權，并且Android智能終端存儲著用戶大量隱私信息，一旦這些信息泄露或破壞，對用戶造成的損失難以想象。Android應用軟件智能終端受到攻擊主要原因是用戶從Android第三方市場下載的軟件可以不經(jīng)檢測就放到Android軟件市場供用戶下載，其代碼中存在的安全漏洞是受到攻擊的根源?，F(xiàn)如今智能手機應用廣泛，Android系統(tǒng)更是用戶群體龐大，對惡意軟件的可靠檢測迫在眉睫；（3）預測結(jié)果可靠性強。另外Android智能終端用戶可以通過移動通訊網(wǎng)絡隨時隨地進行網(wǎng)上辦公，收發(fā)郵件，瀏覽網(wǎng)頁，網(wǎng)上信息注冊，網(wǎng)上購物及網(wǎng)上銀行轉(zhuǎn)賬等，Android終端進行著各種信息的構(gòu)建。手機駭客的攻擊目標正在瞄準用戶的手機支付與消費行為。如今移動平臺逐漸成為人們上網(wǎng)的主要方式，并且基于Android平臺的應用越來越普及， Android在人們?nèi)粘Ｉ钪邪缪葜絹碓街匾慕巧?，導致其逐漸成為大量惡意攻擊者的首選目標之一。具體來講，銀行木馬無數(shù)的修改版本攻擊了許多位于不同國家的設備且它的數(shù)量仍在不斷增長。為了實現(xiàn)釣魚攻擊、竊取銀行卡信息和銀行賬戶錢財，手機惡意軟件變種數(shù)量增長了近20倍。惡意軟件使用的代碼混淆越復雜，反病毒解決方案檢測和清除其所花費的時間也越長，從而讓網(wǎng)絡罪犯有時間竊取到更多的錢財。同時，基于特征代碼的檢測方案具有滯后性，無法識別未知的惡意軟件。同時， 簽名機制在 Android 應用程序更新時也能起到保護作用。應用程序必須在權限以內(nèi)運行，而不能訪問權限外的任何資源。 應用前景分析目前，安卓手機上惡意軟件引起的安全事件層出不窮，如監(jiān)控手機的語音通話，并將這些信息發(fā)送到指定主機，還有一些一鍵root軟件實則會更改系統(tǒng)權限盜取信息等。下面介紹了本系統(tǒng)設計中Android惡意軟件檢測與評估的不同方案。 方案三結(jié)合方案一和方案二?；谔卣鞔a的檢測方案是現(xiàn)代病毒檢測的核心技術之一。這些權限可以被分為普通級、危險級、簽名級和系統(tǒng)級。應用程序框架層包括活動管理器、窗口管理器、內(nèi)容提供者、視圖系統(tǒng)、包管理器、 電話管理器、資源管理器、位置管理器、通知管理器和XMPP服務十個部分。后者是一種基于寄存器的java虛擬機，Dalvik虛擬機主要是完成對生命周期的管理、堆棧的管理、線程的管理、安全和異常的管理以及垃圾回收等重要功能。（1）。這就保證了apk包里的文件不能被隨意替換。目前常見的java反編譯工具都不能處理dex文件。這樣，