【正文】 要，其默認值分別為1和1/k，并通過交叉驗證的方法在一定范圍內(nèi)窮舉對上述兩個參數(shù)進行測試尋優(yōu)。下面具體介紹下該工具包的使用。其對應的分類超平面函數(shù)為： (341)目前用到的最多的SVM工具是臺灣大學林智仁博士的LibsvmError! Reference source not found.，Libsvm中實現(xiàn)的核函數(shù)有：線性核函數(shù)、多項式核函數(shù)、徑向基核函數(shù)（RBF核）與Sigmoid核函數(shù)。那么我們應該選擇那一種超平面作為應用呢？我們首先規(guī)定超平面集中的一個超平面（即圖中的直線）法線方向，如圖314所示，直線H代表是以為法向量的超平面，而且H能夠正確劃分二元分類樣本。支持向量機的主要思想概括起來就是兩點：。這就是為什么出現(xiàn)過學習現(xiàn)象的原因。統(tǒng)計學習理論系統(tǒng)地研究了各種類型函數(shù)集的經(jīng)驗風險（即訓練誤差）和實際風險（即期望風險）之間的關系，即推廣性的界。即用的結果來估計，即我們只需要通過得到經(jīng)驗風險的最小化來進行使期望風險最小化。下面作簡單的介紹。（1） 機器學習1)機器學習模型與定義機器學習[35]的目的是根據(jù)給定的訓練樣本求得系統(tǒng)輸入、輸出之間的關系的，使系統(tǒng)能夠?qū)ζ渌袨樽鞒鲎羁赡苷_的預測。這兩者都將消耗用戶大量的網(wǎng)絡流量，同時也消耗了很多電量。這時，病毒屏蔽SF發(fā)來的確認短信，不讓用戶看到，再次偷偷發(fā)送確認短信給SP，然后刪除相關短信。但由于Android使用的dalvik虛擬機與標準的java虛擬機是不兼容的，dex文件與class文件相比，不論是文件結構還是opcode都不一樣。而在安裝apk包時，應用管理器會按照同樣的算法對包里的文件做校驗，如果校驗結果與METAINF下的內(nèi)容不一致，系統(tǒng)就不會安裝這個apk?？梢钥吹狡浣Y構跟新建立的工程結構有些類似。 Android運行庫包括核心庫和Dalvik虛擬機，前者既兼容了大多數(shù)Java語言所需要調(diào)用的功能函數(shù)，又包括了Android的核心庫，比如 、。（2）應用程序框架層該層是Android應用開發(fā)的基礎，開發(fā)人員大部分情況是在和她打交道。 Android 定義了上百種系統(tǒng)權限，所涉及的功能包括：拍照，訪問網(wǎng)絡，地理位置定位等。特征代碼檢測是一種使用特征庫的檢測方法，本系統(tǒng)中的特征代碼檢測定義如下：從惡意軟件張?zhí)崛〕鋈舾啥尉哂形ㄒ恍?、固定性的字?jié)碼（如，一段特殊代碼或字符串作為該惡意軟件的特征，由上述方法構建特征庫，通過對未知是否惡意的軟件進行字節(jié)碼的特征庫匹配，檢測其是否為惡意軟件。方案二實現(xiàn)的過程中，我們不斷對Android權限的篩選和加權情況進行優(yōu)化和修改，直到使Model的準確率達到難以繼續(xù)提高的數(shù)值。在系統(tǒng)設計的過程中，改變方案的方向不一定是正確的，因此，在制定不同方案的同時，將不同階段的方案隨時進行效果對比，分析不同方案的優(yōu)劣，以尋找出一個或者幾個相對最優(yōu)的方案。同時利用svm工具，根據(jù)機器學習來構造檢測系統(tǒng)。它用于限制應用程序的訪問系統(tǒng)的API 和資源。而簽名信息，除非原作者的私鑰泄露， 被黑客獲取， 一般情況下不可能和原簽名信息一致。因此，病毒庫須頻繁升級以應對病毒的反檢測和新變種。網(wǎng)絡罪犯開始越來越多地使用代碼混淆技術，即故意制造復雜的代碼，這為惡意軟件的分析工作增加了很大的難度。隨著手機惡意軟件愈演愈烈的增長之勢，越來越多的手機惡意軟件以獲取用戶的錢財為目的，其使用的手段也日趨復雜。新型安卓惡意應用程序不斷涌現(xiàn)。Android強大的功能和豐富的應用以及優(yōu)良的性能使其發(fā)展迅猛，短短幾年，Android已經(jīng)成為全球第一大智能手機操作系統(tǒng)。在黑色產(chǎn)業(yè)鏈中，駭客通過技術手段將非法SP提供的扣費號段植入到應用中，實現(xiàn)惡意吸費。由于Android允許用戶自行安裝各種豐富的應用程序，包括學習、辦公、移動支付、手機購物、以及生活中的各種軟件，使得Android的功能在不斷的升級和擴充。用戶選擇了需要檢測的安卓軟件之后，系統(tǒng)會自動調(diào)用我們預設的相關的模型對軟件進行處理分析，最終給出一個參考的結果；（2）符合時代需求。如今移動平臺逐漸成為人們上網(wǎng)的主要方式，并且基于Android平臺的應用越來越普及， Android在人們?nèi)粘Ｉ钪邪缪葜絹碓街匾慕巧?，導致其逐漸成為大量惡意攻擊者的首選目標之一。隨著手機惡意軟件愈演愈烈的增長之勢，越來越多的手機惡意軟件以獲取用戶的錢財為目的，其使用的手段也日趨復雜。該作品的應用場景廣泛，可以說是智能手機用戶的日常所需。在安卓軟件中，惡意代碼數(shù)量呈指數(shù)增長，并且出現(xiàn)了多種對抗分析、檢測、查殺的技術；應用軟件和數(shù)字內(nèi)容的版權不斷遭到侵害，軟件破解、軟件篡改、廣告庫修改和植入、惡意代碼植入、應用內(nèi)付費破解等普遍存在；應用軟件本身的安全漏洞頻繁出現(xiàn)在國內(nèi)外互聯(lián)網(wǎng)企業(yè)的產(chǎn)品中，數(shù)據(jù)泄露和賬戶被盜等潛在風險讓人擔憂；官方系統(tǒng)、第三方定制系統(tǒng)和預裝軟件的漏洞不斷被發(fā)現(xiàn)，對系統(tǒng)安全與穩(wěn)定產(chǎn)生極大的威脅；Android應用軟件移動支付從概念逐步轉(zhuǎn)為實踐，而對通信技術的攻擊、對算法和協(xié)議的攻擊時常發(fā)生；移動設備正融入辦公環(huán)境，但移動平臺的攻擊與APT攻擊結合的趨勢日益明顯。Android應用軟件依靠Google媒體資源和強大開發(fā)，成為最流行的智能終端平臺，也是各智能終端廠商追逐對象，在帶給用戶豐富多彩的用戶體驗外，隨之而來的安全問題給社會穩(wěn)定、國家安全、用戶隱私帶來巨大的挑戰(zhàn)，移動應用軟件安全現(xiàn)在是一個重要的研究課題，安全漏洞挖掘是降低網(wǎng)絡攻擊以及保障用戶系統(tǒng)及隱私安全的有效的的途徑保證軟件免受攻擊的重要途徑，解決Android軟件惡意軟件泛濫是今后安全信息領域重要的研究方向。但是，中國用戶可能無法直接訪問谷歌應用商店，大都是通過國內(nèi)第三方Android市場下載應用，而谷歌無法控制第三方的應用商店。而在2013年報告中，這種內(nèi)含病毒的應用約為70萬個。在檢測到的銀行木馬中，某些銀行木馬甚至能夠直接從銀行賬號實施錢財竊取。 相關工作 主流檢測方案當前主流惡意軟件檢測方案主要包括， 以特征代碼（signaturebased）為基準的檢測方案和以行為（behaviorbased）為基準的檢測方案?；诎酌麊蔚牡哪Ｐ秃秃诿麊文Ｐ拖喾?，主要對合法行為進行建模，可以有效的檢測未知惡意軟件，但在實際應用中，由于合法行為占據(jù)了較大比例，要對其進行充分的抽象具有極大的挑戰(zhàn)，從而引起誤報。如果一個應用程序需要使用System權限，應用程序的簽名更需要和Framework的簽名保持一致。 Android 定義了上百種系統(tǒng)權限，所涉及的功能包括：拍照，訪問網(wǎng)絡，地理位置定位等。同時在用戶下載的時候，也可以根據(jù)本作品的檢測結果向用戶提供一些建議。使用Google提供的apktool對Android軟件權限進行提取，（“userspermissions”），對大量樣本的所有權限使用情況進行機器學習運算，利用libsvm工具箱得出預測model，進而用model對Android軟件是否為惡意軟件進行檢測。方案二采用更少的特征和具有高準確性的特征碼檢測，而方案一的大量特征則為SVM提供了更大的樣本空間。由于基于特征代碼檢測的上述特性，本系統(tǒng)輔以基于權限統(tǒng)計分析的檢測方案。而Android軟件數(shù)以百萬、千萬級的龐大數(shù)量，則為使用機器學習算法對進行權限分析、建立模型提供了有利的條件。并且，任何一個應用程序都可以發(fā)布自身的功能模塊，而其他應用程序則可以使用這些已發(fā)布的功能模塊。Linux內(nèi)核也是作為硬件與軟件棧的抽象層。它位于我們開發(fā)的應用程序的根目錄下，描述了package中的全局數(shù)據(jù)，包括package中暴露的組件（activities, services, 等等），以及他們各自的實現(xiàn)類，各種能被處理的數(shù)據(jù)和啟動位置等重要信息。如此一來就給病毒感染和惡意修改增加了難度，有助于保護系統(tǒng)的安全。在該文件中，如果某個id對應的是string，那么該文件會直接包含該值，如果id對應的資源是某個layout或者drawable資源，那么該文件會存入對應資源的路徑。然后再次偷偷向SP發(fā)送確認短信，最后刪除SP發(fā)來的消息和發(fā)件箱中偷偷發(fā)出的短信。其中，url為所下載文件的源地址，path是文件下載后的保存路徑，thread num是下載的線程數(shù)。系統(tǒng)在一定的輸入x下能夠得到一定的輸出y值，而學習機輸出的為y’。在兩元分類的情況下，y值可以定義為y={0,1}，是二值函數(shù)。其關系如圖311所示。為解決此問題，就需要在保證分類精度（即減小經(jīng)驗風險）的同時，降低學習機器的VC維，從而使得學習機器在整個樣本集上的期望風險得到控制，這就是結構風險最小化（SRM）原則的基本思想。但是這種機理決定了不能保證最終所獲得的分割平面位于兩個類別的中心，這對于分類問題的容錯性是不利的。線性可分主要是指，在二元分類中，存在一個超平面，使得訓練樣本中的兩類不同的輸入分別劃到該超平面的兩側(cè)。圖 314最優(yōu)分類超平面示意圖從圖314中我們可以看出，H直線明顯是最優(yōu)的超平面。當然，這樣也方便了后人根據(jù)自己的需求進行改進程序。這一步在訓練樣本時并不嚴格要求一定要縮放，但是我們一般都在訓練前縮放下，原因具體有二：一是為了加快計算速度，因為在訓練中，樣本數(shù)據(jù)集通常很大，而且未經(jīng)縮放的數(shù)據(jù)集的差距范圍很大，這將影響訓練的處理能力。值得注意的是，訓練樣本集和測試數(shù)據(jù)集的縮放要同時進行，或者使用在對訓練樣本集scale時利用s參數(shù)得到的range范圍文件作為參數(shù)對測試數(shù)據(jù)集進行scale，以保證一致性，不然預測的效果可能不是很好。在使用時，運行該腳本時，腳本會依次調(diào)用縮放程序、訓練程序以及預測程序。設置完成后即可運算得出相應的Model及其準確率。其中分類的原則基于不同權限的不同系統(tǒng)功能性，而分級則基于不同權限對Model的影響效果。這里檢測permission的選擇與加權所要考慮的因素大致有：權限使用率、黑白樣本權限使用差別等。 作品測試與分析 測試環(huán)境搭建 Windows 1）登錄官網(wǎng)。測試目的如下：1） 由于Libsvm機器學習算法所得的Model準確性與所采用的樣本的完備性以及樣本標簽的準確性有很大的關系，在測試過程中選擇出合適的樣本數(shù)量以及樣本集。 測試方案4 系統(tǒng)方案二的加權測試，對1005個樣本進行權限篩選、特征加權、權值優(yōu)化，并將最后的加權特征集進行l(wèi)ibsvm訓練。將95個權限作為單個樣本的95個特征，樣本使用的權限對應特征值為1，未使用的對應特征值為0。使用以下代碼去除v所標注的特征項 light_apk(:,v)=[]。e)對于剔除后的訓練集采用以下處理：通過對特征頻數(shù)的統(tǒng)計，將特征分為三類：一類為黑白樣本中均頻數(shù)較高且相差不多的特征；二類為黑白樣本中頻數(shù)差距明顯的特征；剩下的特征為第三類。對三級特征的統(tǒng)計結果提供三個額外的特征項進行表示，通過對于各級設置閾值，樣本當級特征數(shù)量超過閾值，即將特征項值置為1，反之為0。結果：交叉驗證準確率為87%結論：準確率較測試方案4沒有明顯的提升，說明創(chuàng)新性的分級、分類處理尚未達到最佳，也可能是沒有調(diào)整好額外特征權值以及閾值的因素。最終使得利用輕量化的系統(tǒng)，僅僅統(tǒng)計權限特征就能達到較好的惡意軟件監(jiān)測效果成為可能。本系統(tǒng)在對Apk文件進行簡單分析的情況下，借助強大的機器學習工具以及特征處理方法的創(chuàng)新和改進，能夠在惡意軟件監(jiān)測中達到90%左右的準確率實屬不