基于改進決策樹分類的Android惡意軟件檢測

鮑美英

基于改進決策樹分類的Android惡意軟件檢測

鮑美英

(山西大同大學數學與計算機科學學院，山西大同 037009)

針對目前Android手機惡意軟件越來越多的問題，本文在現有研究的基礎上，設計了一個Android惡意軟件檢測框架。該框架通過提取Android應用程序的特征屬性，結合Fisher Score、信息增益和卡方檢驗三種特征選擇方法，對屬性特征進行預處理，然后利用惡意檢測模塊中的改進決策樹算法對軟件進行分類。通過實驗仿真，結果表明使用該檢測框架檢測惡意軟件具有較低的誤報率和較高的精確度。

Android系統；惡意軟件；檢測；決策樹

0 引言

Android系統是基于Linux內核的開源系統[1]，是目前市場占有量最大的智能手機平臺。對Android手機惡意軟件[2]的檢測研究是目前的熱點問題。檢測的方法有多種：靜態、動態和混合檢測，劉偉[3]等研究了Android平臺惡意軟件的行為模式，并總結了惡意軟件的攻擊意圖和攻擊手段。文獻[4]采用多種分類算法檢測惡意軟件，但所考慮的權限不能很好反映Android軟件的特性。文獻[5]中提到一個Andromaly框架，該框架通過分類器、特征選擇和特征數量三方面考慮Android平臺的異常檢測方法，但當時沒有足夠的可以測試的惡意軟件樣本。文獻[6]研究的Amandroid系統，采用靜態分析方法，從數據流和控制流確定對象的指向信息，可生成多種安全分析。文獻[7]通過靜態分析提取上下文中權重較大的API（Application Programming Interface，應用程序接口），通過有向圖解決惡意軟件變種問題。謝麗霞[8]提出了基于良性樣本的檢測模型，該模型在客戶端采集樣本訓練信息，在服務器端檢測判斷出惡意軟件。

本文實現了基于改進決策樹分類算法的Android惡意軟件檢測的框架，該檢測框架是靜態檢測，經過對屬性特征的選擇，然后利用分類算法對應用程序進行分類。該框架中屬性特征選擇后還通過Fisher Score、信息增益和卡方檢驗三種分類方法對這些特征進行預處理，去掉那些對后期分類影響不大的冗余特征，提高分類的精確度。分類器中的分類算法采用決策樹，但是傳統的決策樹分類算法不能滿足框架的需求，所以本文對決策樹分類算法進行了改進，改進后的算法可以達到較好的分類效果。

1 Android惡意軟件行為

近年來出現了許多Android惡意軟件，安全工作人員對這些軟件的惡意行為進行了總結，主要以惡意扣費、資費消耗、惡意傳播、遠程控制[9]、隱私竊取[10]、流氓、誘騙欺詐等行為為主。惡意行為的發生，主要是通過用戶安裝、觸發以及惡意載荷等方式進行的。Android操作系統是基于Linux內核的[11]，不管是哪種惡意方式，在運行時都會涉及到系統調用，也即Android通過應用程序接口API來調用內核操作。

Android應用程序由四大組件Activity、Broadcast Receiver、Service和Content Provider組成，應用程序進行操作的相應權限申請都寫在AndroidManifest. xml配置文件中，而應用程序在進行系統調用時的API都在它的源代碼中，表1列出了部分惡意行為所需的權限和涉及到的系統調用API。

表1 部分惡意行為所需權限及系統調用APITab.1 the required permissions and system calls API of malicious behavior

2 惡意軟件檢測模型

2.1系統整體框架

惡意軟件檢測框架如圖1所示，該框架包括：輸入、特征提取、數據預處理、惡意性判定和輸出五部分，其中各部分詳細描述如下。

圖1 基于改進決策樹的惡意軟件檢測框架Fig.1 malware detection framework based on improved decision tree

特征提取：從配置文件AndroidManifest.xml中提取出權限特征，從程序源代碼中提取出危險系統調用API，本文共整理出235種危險API。

數據預處理：對特征數據去除冗余，去除對后期分類影響不大的特征，可以提高后期分類的效率。本文采用三種方法Fisher Score、卡方檢驗和信息增益進行特征選擇，其中Fisher Score評價特征對數據結構的保持能力，它可以使類別相同的樣本數據投影到特征的近距離處。卡方檢驗是對假設值的驗證，它可以去除關聯性較大的特征值，降低各屬性之間的相關度。信息增益進行全局特征的選擇，提取對后期分類具有明顯作用的屬性特征。

惡意性判定：該部分是一個分類器，其中采用的是改進的決策樹分類算法。對樣本的屬性特征進行評估，判斷惡意性概率和正常概率的值。

輸入和輸出：輸入是從數據庫中取出一部分Android應用程序；輸出是把對應用程序的分類結果輸出到界面，告訴用戶。

上面是對檢測框架各部分功能的描述，下面再給出Android惡意程序檢測方案的流程，見圖2。

圖2 檢測方案流程圖Fig.2 flowchart of the detection schemes

首先對于Android應用程序通過反編譯工具apktool進行解壓縮，得到配置文件AndroidManifest. xml和應用程序的源代碼，對配置文件中的權限申請和源代碼中的系統調用API進行特征提取，然后利用特征選擇方法對特征數據進行預處理，最后利用特征集以及改進的決策樹分類算法建立惡意軟件的檢測模型，通過判斷，輸出檢測的結果。

2.2改進的決策樹分類算法

傳統的決策樹分類算法把數據樣本分成訓練集和測試集兩部分，利用訓練集生成決策樹，采用測試集測試決策樹的精確度，而決策樹分類的精確度取決于樣本的質量，這種通過一批訓練樣本生成的決策樹，精確度很難達到最優。本文對傳統決策樹分類算法進行改進，初始狀態時，不對數據樣本分類，訓練集是通過多次隨機抽取獲得，每次都構建決策樹，并把剩余樣本作為測試集測試決策樹精度，然后進行比較，并且根據它們之間的誤差調整訓練集中的樣本，經過反復多次迭代測試，選取精確度最高的作為最終決策樹。該改進算法的具體描述步驟如下：

（1）假定有樣本數N個，每個樣本都包含M個特征屬性；

（2）從N個樣本中隨機抽取N1個作為訓練集，剩余的N-N1個樣本作為測試集，樣本迭代計數器n=0，決策樹精確度初始值S0=q；

（3）根據樣本訓練集N1生成決策樹T，樣本迭代計數器n=n+1；

（4）對決策樹T計算其精確度Si，若Si＞Si-1，則Si-1=Si；

（5）判斷決策樹兩次迭代結果的精確度的差是否滿足誤差要求，若滿足，則輸出決策樹；否則，轉步驟（6）；

（6）判斷樣本迭代次數n是否小于最大迭代次數C，若小于轉步驟（7），否則輸出決策樹；

（7）對樣本訓練集N1中的樣本進行篩選，找出其特征屬性不能很好用于后期分類的樣本，把這些樣本用等量的測試集中的樣本進行替換，這些樣本放回測試集，由此形成新的訓練集和測試集，測試集賦值給N1，轉步驟（3）。

3 實驗結果

樣本數據包括惡意軟件和正常軟件兩大類，樣本均來自實際的網絡環境，正常軟件主要來自官方軟件市場Google Play，惡意軟件主要來自Virus Share，這是一個惡意軟件的在線倉庫。

對于本文提出的檢測系統模型，通過對大量的惡意軟件和正常軟件樣本進行處理，其中的一部分用于訓練分類器，剩余的樣本數據作為測試分類器的數據，本文中True positives(TP)表示正常軟件被正確分類的數目；True negatives(TN)表示惡意軟件被正確分類的數目；False positives(FP)表示正常軟件被分類器錯誤分類為惡意軟件的數目；False negatives(FN)表示惡意軟件被錯誤分類為正常軟件的數目。結合分類器的性能評估指標，給出如下計算公式。

上面的公式中，Accuracy表示正常軟件與惡意軟件被分類器正確分類的比例，稱為分類正確率；Precision是分類精度，指所有被分類器判定為惡意軟件的，其中確實為惡意軟件的比例，這是分類器性能中的重要指標；FPR表示誤報率，即所有正常軟件中被錯誤分類為惡意軟件的比例；TPR是所有正常軟件能被正確分類的比例，評估分類器能夠判定出正常軟件的能力。

3.1數據是否預處理對分類結果的影響

通過圖3柱狀圖可以看出，將Fisher Score-卡方檢驗-信息增益方法相結合進行數據預處理，剔除冗余數據，可以提高分類模型的正確率和精確度，并有效降低了誤報率。

圖3 不同預處理方式實驗結果Fig.3 The experimental results of different pretreatment methods

3.2傳統決策樹與改進決策樹的比較

為了進一步提高決策樹分類算法分類的性能，本文對決策樹分類算法進行了改進，從圖4可以看出，對決策樹分類算法進行改進之后，比傳統的決策樹樹分類算法在正確率、分類精度和正常樣本的檢出率都有了大幅度提高，而在正常軟件被誤報為惡意軟件的比率也有所下降，說明本文對算法的改進是有效的。

圖4 分類算法的實驗比較Fig.4 The comparison of classification algorithms

并且，圖4中，分類器對應用程序的分類是基于前面對數據進行預處理之后進行的，對比圖3和圖4，通過數據預處理，再應用本文提出的改進算法，可以大大提高分類效果。

4 結束語

本文提出了基于改進的決策樹分類算法的Android惡意軟件檢測框架，并介紹了其中的核心部分和檢測流程。對該惡意軟件檢測框架進行了仿真實驗，通過實驗比較發現，基于改進的決策樹分類算法的Android惡意軟件檢測模型能有效提高惡意軟件的檢測性能，對Android應用程序的分類判定工作具有實用價值。后期主要研究方向包括：實現樣本分析的自動化，通過網絡實現聯合檢測，提高檢測惡意軟件的效率。

[1] 石旭東. 基于Android 平臺的NFC 技術的研究與實現[J].軟件, 2013, 34(1): 64-68.

[2] 榮艷冬. Android 軟件權限系統的設計與實現[J]. 軟件, 2014, 35(2): 50-51.

[3] 劉偉, 孫其博. Android平臺惡意軟件行為模式研究[J]. 軟件, 2012, 33(11): 150-155.

[4] BORJA S, IGOR S, CARLOS L, et al. PUMA: Permission Usage to Detect Malware in Android[C]// International Jiont Conference CISIS’12-ICEUTE’12-SOCO’12 Special Sessions. Berlin, Germany: Springer, 2012: 289-298.

[5] SHABTAI A, KANONOV U, ELOVICI Y, et al. “Androma1y”: a Behavioral Malware Detection Framework for Android Devices[J]. Journal of Intelligent Information Systems, 2012, 38(1): 161-190.

[6] WEI F, ROY S, OU X. Amandroid: a precise and general intercomponent data flow analysis framework for security vetting of Android APPS [C]//Proceedings of the 2014 AGM SIGSAC Conference on Computer and Communications Security. New York: ACM, 2014: 1329-1341.

[7] ZHANG M, DUAN Y, YIN H, et al. Semantics-aware Android malware classification using weighted contextual API dependency graphs[C]//Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security. New York: ACM, 2014:1105-1116.

[8] 謝麗霞, 趙彬彬. 基于良性樣本的Android系統惡意軟件檢測[J]. 計算機工程與設計, 2016, 37(5): 1191-1195.

[9] 汪文彬，楊少輝. 基于短信控制的Android手機安全系統的設計與實現[J]. 軟件, 2015, 36(6): 21-25.

[10] 李淑民. Android 手機隱私泄露研究[J]. 軟件, 2015, 36(2): 69-72.

[11] 李錚山, 林干, 范文浩, 吳帆. Android的應用程序安全評估系統設計[J]. 軟件, 2012, 33(12):287-291.

Android Malware Detection Based on Improved Decision Tree Classification

BAO Mei-ying
(School of Mathmatics and Computer Science, Shanxi Datong University, Datong Shanxi, 037009)

At present, the mobile phone for Android is facing more and more malicious threats, this paper designs an Android malware detection framework. A malicious detection framework is implemented which adopts Android application extraction feature, Fisher Score and information gain and chi-square test as the feature selection method. The attributes are pre processed, and then the improved decision tree algorithm is used to classify the software. The simulation results show that the malware detection framework own lower false alarm rate and higher accuracy.

Android system; Malicious software; Detection; Decision trees

TP311

A

10.3969/j.issn.1003-6970.2017.02.008

國家自然科學基金青年科學基金項目(批準號：11301312)；山西大同大學大學生創新創業項目(批準號：XDC2016232)）

鮑美英，女，(1975-），山西大同人，碩士，副教授，主要研究方向：網格計算，嵌入式

本文著錄格式：鮑美英. 基于改進決策樹分類的Android惡意軟件檢測[J]. 軟件，2017，38（2）：33-36