基于BHNB的細(xì)粒度的Android惡意應(yīng)用檢測模型

孫 磊 韓靜丹

(信息工程大學(xué)三院 河南 鄭州 450000)

基于BHNB的細(xì)粒度的Android惡意應(yīng)用檢測模型

孫 磊 韓靜丹

(信息工程大學(xué)三院 河南 鄭州 450000)

為進(jìn)一步提高Android惡意應(yīng)用的檢測效率，提出一種基于BHNB(Bagging Hierarchical Na?ve Bayesian)的細(xì)粒度Android惡意應(yīng)用檢測模型。該模型首先對樣本庫中的應(yīng)用進(jìn)行類別劃分，并分別對其進(jìn)行動(dòng)態(tài)分析，提取各個(gè)應(yīng)用程序的行為信息作為特征；然后，采用層次樸素貝葉斯HNB(Hierarchical Na?ve Bayesian)分類算法對各類應(yīng)用特征集合進(jìn)行分別訓(xùn)練，從而構(gòu)建出多個(gè)層次樸素貝葉斯分類器；最后，采用Bagging集成學(xué)習(xí)方法對構(gòu)建出的多個(gè)層次樸素貝葉斯分類器進(jìn)行集成學(xué)習(xí)，構(gòu)建出基于層次樸素貝葉斯的Bagging集成學(xué)習(xí)分類器BHNB。實(shí)驗(yàn)結(jié)果表明，該模型能夠有效檢測出Android惡意應(yīng)用，且檢測效率較高。

Android 動(dòng)態(tài)分析 層次樸素貝葉斯 集成學(xué)習(xí) 惡意應(yīng)用檢測

0 引 言

隨著Android操作系統(tǒng)的普及，使其成為了惡意攻擊者的首要目標(biāo)。據(jù)360互聯(lián)網(wǎng)安全中心統(tǒng)計(jì)：平均每天截獲新增手機(jī)惡意程序樣本4.5萬個(gè)，平均每天惡意程序感染量達(dá)到了100.6萬人次。經(jīng)研究發(fā)現(xiàn)，移動(dòng)端惡意程序類型中資費(fèi)消耗、惡意扣費(fèi)以及隱私竊取所占比率高達(dá)99.2%，手機(jī)惡意程序趨利性極為明顯，嚴(yán)重?fù)p害用戶的利益。

近年來，隨著機(jī)器學(xué)習(xí)算法的廣泛應(yīng)用，越來越多的學(xué)者使用機(jī)器學(xué)習(xí)算法對未知惡意應(yīng)用進(jìn)行分類與檢測，通過機(jī)器學(xué)習(xí)算法構(gòu)建分類器來區(qū)分良性應(yīng)用和惡意應(yīng)用。2013年，Yerima[1]通過提取Android應(yīng)用樣本的權(quán)限特征和行為特征，并分別對貝葉斯算法進(jìn)行訓(xùn)練構(gòu)建分類器；2014年，Ham等[2]提出了一種基于支持向量機(jī)SVM算法的Android惡意應(yīng)用檢測方法；2014年，Yerima[3]提出了一種基于并行機(jī)器學(xué)習(xí)分類器的Android惡意應(yīng)用檢測方法，通過提取的Android應(yīng)用樣本的特征集合，同時(shí)對決策樹、樸素貝葉斯、Logistic回歸、PART等機(jī)器學(xué)習(xí)算法進(jìn)行訓(xùn)練，構(gòu)建并行機(jī)器學(xué)習(xí)分類器，提高分類器精度。但是這些研究都僅關(guān)注分類器的構(gòu)建，并沒有對樣本庫的規(guī)模以及特征集合的維度進(jìn)行研究。然而，作為分類器的輸入，訓(xùn)練集的規(guī)模與質(zhì)量嚴(yán)重影響著分類器的性能和效率。

為提高分類器的檢測效率，有學(xué)者采用多種優(yōu)化算法對特征集合進(jìn)行選擇，從而降低特征集合的維度。2016年，許艷萍等[4]在分類器訓(xùn)練之前采用信息增益算法優(yōu)化選擇分類特征，特征信息增益越大，表示該特征越好。2015年，胡靜等[5]提出一種基于屬性關(guān)系的特征選擇算法，通過分析特征屬性與類別標(biāo)簽之間的相關(guān)性來刪除無關(guān)特征。

但是這些研究都是針對樣本庫的所有樣本和特征集合，因此無論在哪個(gè)階段都會(huì)造成處理時(shí)間較長，從而導(dǎo)致檢測效率較低。此外，針對Android應(yīng)用程序，無論是基于權(quán)限特征還是行為特征檢測時(shí)，都會(huì)出現(xiàn)這種現(xiàn)象：某種特征在某類應(yīng)用中是正常的，但是在其他應(yīng)用中就有可能是惡意的。因此，會(huì)造成較高的誤報(bào)率。

基于上述提出的問題，本文提出了一種基于BHNB的細(xì)粒度的Android惡意應(yīng)用檢測模型。該模型首先對樣本庫中的應(yīng)用進(jìn)行類別劃分，然后采用動(dòng)態(tài)分析技術(shù)分別對各類Android應(yīng)用程序進(jìn)行分析，提取其行為信息作為特征，從而構(gòu)建行為特征集合。由于本文首先將應(yīng)用程序進(jìn)行了類別劃分，因此，在分類器訓(xùn)練階段，采用層次樸素貝葉斯分類算法對各類應(yīng)用特征集合進(jìn)行分別訓(xùn)練，從而構(gòu)建出多個(gè)層次樸素貝葉斯分類器。為使得在提高檢測效率的同時(shí)，又保證檢測精度不降低，本文最后采用Bagging集成學(xué)習(xí)方法對構(gòu)建出的多個(gè)層次樸素貝葉斯分類器進(jìn)行集成學(xué)習(xí)，構(gòu)建出基于層次樸素貝葉斯的Bagging集成學(xué)習(xí)分類器。實(shí)驗(yàn)證明，本文提出的細(xì)粒度的Android惡意應(yīng)用檢測模型在保證檢測精度不降低的同時(shí)，能夠有效提高檢測效率。

1 基于層次樸素貝葉斯的Bagging集成學(xué)習(xí)分類器BHNB

本文提出的基于BHNB的細(xì)粒度的Android惡意應(yīng)用檢測模型，首先將待檢測的應(yīng)用進(jìn)行類別的劃分，然后在此基礎(chǔ)上，再判斷其是否為惡意應(yīng)用。因此，本文在對各個(gè)類別的特征集合進(jìn)行學(xué)習(xí)訓(xùn)練分類器時(shí)，采用層次樸素貝葉斯分類算法HNB(Hierarchical Na?ve Bayesian)[6]。由于層次樸素貝葉斯分類算法在標(biāo)簽節(jié)點(diǎn)(即樹的根節(jié)點(diǎn))和特征節(jié)點(diǎn)(葉節(jié)點(diǎn))之間引入潛在節(jié)點(diǎn)，即引入了放松樸素貝葉斯分類算法的某些獨(dú)立性陳述，然而，這種方法降低了樸素貝葉斯分類算法的穩(wěn)定性。因此，本文采用Bagging集成學(xué)習(xí)方法對單個(gè)HNB分類器進(jìn)行集成學(xué)習(xí)，從而構(gòu)建出分類性能穩(wěn)定的BHNB分類器。

1.1 層次樸素貝葉斯分類算法HNB

樸素貝葉斯算法是以貝葉斯最大后驗(yàn)準(zhǔn)則和貝葉斯假設(shè)為理論基礎(chǔ)，具有綜合先驗(yàn)知識(shí)以及樣本信息的能力。通過樸素貝葉斯構(gòu)建的分類器，可以表示特征之間相互依賴的關(guān)系，并且在分類時(shí)可以對分類模型進(jìn)行動(dòng)態(tài)調(diào)整。傳統(tǒng)的樸素貝葉斯分類器結(jié)構(gòu)如圖1所示。

圖1 傳統(tǒng)樸素貝葉斯分類器結(jié)構(gòu)

由于本文提出的細(xì)粒度的Android惡意應(yīng)用檢測模型，是將創(chuàng)建的樣本庫進(jìn)行類別劃分，因此，我們采用層次樸素貝葉斯分類器，即在傳統(tǒng)樸素貝葉斯分類器的基礎(chǔ)上引入中間變量Z，其結(jié)構(gòu)如圖2所示。其中，Y代表Android應(yīng)用的標(biāo)簽(惡意性和非惡意性)，Z代表Android應(yīng)用的類別(通信類、音頻類、游戲類等)，X代表Android應(yīng)用的行為特征。

圖2 層次樸素貝葉斯分類器結(jié)構(gòu)

層次樸素貝葉斯分類器學(xué)習(xí)過程包括結(jié)構(gòu)和參數(shù)學(xué)習(xí)兩部分。結(jié)構(gòu)學(xué)習(xí)指的是根據(jù)專家的領(lǐng)域知識(shí)確定指標(biāo)之間的層次關(guān)系；參數(shù)學(xué)習(xí)是使用樣本數(shù)據(jù)進(jìn)行邊緣和條件概率估計(jì)。其具體描述如下：

假設(shè)輸入空間X∈Rn為n維向量的集合，特征向量x∈X，x是定義在輸入空間X上的隨機(jī)變量；輸出空間的標(biāo)簽(惡意性標(biāo)簽或非惡意性標(biāo)簽)集合Y={c1,c2,…,ck}，輸出為標(biāo)簽y∈Y，y是輸出空間Y上的隨機(jī)變量；引入空間的類別集合Z={z1,z2，…,zt}。

(1) 一級和二級指標(biāo)邊緣估計(jì)

通過采用最大似然方法來估計(jì)一級和二級指標(biāo)的邊緣概率。

定義1一級指標(biāo)邊緣概率P(cj|D):在Android應(yīng)用樣本庫D中，樣本的標(biāo)簽為cj的概率。

(1)

其中，N(cj|D)為在Android應(yīng)用樣本庫D中標(biāo)簽為cj(Y=cj)中的應(yīng)用樣本數(shù)量，N(D)為所有應(yīng)用樣本的數(shù)量。

定義2二級指標(biāo)邊緣概率P(zi|D)：在Android應(yīng)用樣本庫D中，應(yīng)用樣本屬于類別zi的概率。

(2)

其中，N(zi|D)為在應(yīng)用樣本庫第zi類(Z=zi)中樣本的數(shù)量。

(2) 二級和三級指標(biāo)條件概率

定義3二級指標(biāo)條件概率P(zi|cj,D)：在Android應(yīng)用樣本庫D中，應(yīng)用樣本的標(biāo)簽是cj的情況下，屬于類別zi的概率。

(3)

其中，N(zi,cj|D)為標(biāo)簽cj(Y=cj)中的第zi類(Z=zi)中樣本的數(shù)量。

定義4三級指標(biāo)的條件概率P(Xm|zi,D)：在Android應(yīng)用樣本庫D中，應(yīng)用樣本屬于類別zi的條件下，特征Xm的概率。

(4)

其中，N(Xm,zi|D)為第zi類(Z=zi)中應(yīng)用樣本的數(shù)量。

(3) 分類器的表示形式與分類過程

基于貝葉斯網(wǎng)絡(luò)理論和貝葉斯公式，以及條件獨(dú)立性可得：

αP(cj)P(z1,z2,…,zt|cj,S)=

(5)

其中α是與cj無關(guān)的量。

βP(zi)P(X1,X2,…,Xn|zi,S)=

(6)

其中β是與zi無關(guān)的量。

根據(jù)上述分解式可得到兩個(gè)層次的分類器表示形式，分別為：

(7)

(8)

分類過程是：首先由下層分類器確定二級指標(biāo)Z1,Z2,…,Zt的值，然后再由基于上層分類器得到一級指標(biāo)的值，整個(gè)分類過程自下而上，對應(yīng)細(xì)粒度的Android惡意應(yīng)用檢測模型的自上而下。

1.2 集成學(xué)習(xí)方法Bagging

集成學(xué)習(xí)[7]通過將多個(gè)弱分類器經(jīng)過組合得到一個(gè)強(qiáng)分類器，強(qiáng)分類器比弱分類器有更好的預(yù)測能力，并且這種方式實(shí)現(xiàn)強(qiáng)分類比直接獲取一個(gè)強(qiáng)分類器要簡單的多。所以，本文利用集成學(xué)習(xí)Bagging方法，對多個(gè)層次樸素貝葉斯分類器進(jìn)行集成學(xué)習(xí)，從而構(gòu)建出分類性能更好的BHNB強(qiáng)分類器。其基本的集成方案如圖3所示。

圖3 集成學(xué)習(xí)方案

其具體的算法描述如下：

Step1對i=1,2，…,t重復(fù)進(jìn)行如下計(jì)算。

從原始訓(xùn)練樣本集中隨機(jī)選取選取n個(gè)訓(xùn)練樣本，允許重復(fù)，生成若干個(gè)與原始原始訓(xùn)練樣本集有些許差異的新樣本集。

使用上述得到的樣本集求得弱分類器φi。

(9)

1.3 BHNB分類算法

BHNB分類算法的具體流程如下：

Step1對原始的Android應(yīng)用樣本集進(jìn)行按應(yīng)用類別進(jìn)行分類，得到t個(gè)不同類別的Android應(yīng)用樣本庫Z={z1,z2，…,zt}。

Step2分別提取各類Android應(yīng)用樣本庫中每個(gè)樣本的特征(x1,x2,…,xn′)(其中n′表示該Android應(yīng)用樣本中的n′個(gè)特征)與該應(yīng)用所屬的標(biāo)簽cj，使其構(gòu)成特征向量Xi′=(x1,x2,…,xn′,cj)(其中i′表示：在該類應(yīng)用中第i′個(gè)樣本的特征向量)，該向量代表一個(gè)Android應(yīng)用，將所有代表應(yīng)用的特征向量構(gòu)成特征集合。

Step3按照式(7)、式(8)對各個(gè)類別的特征集合(X1,…,Xm′)(其中m′表示該類應(yīng)用樣本庫中樣本的數(shù)量)進(jìn)行學(xué)習(xí)，分別構(gòu)造出針對某種類別的層次樸素貝葉斯分類器φi，i=1,2,…,t。

(10)

其中ω1，ω2，…，ωt分別用“0”、“1”表示，當(dāng)待檢測的Android應(yīng)用屬于zi類應(yīng)用時(shí)，則由該類應(yīng)用特征集訓(xùn)練的HNB分類器所對應(yīng)的權(quán)重ωi值為1。相應(yīng)的，其他分類器的權(quán)重取值為0；若待檢測的Android應(yīng)用無法明確判定其類別，即包含所有類別的特征，那么所有的HNB分類器的權(quán)重取值均為1。最后利用式(10)判定其是否為惡意應(yīng)用。

2 基于BHNB的細(xì)粒度的Android惡意應(yīng)用檢測模型

本文提出的基于BHNB的細(xì)粒度Android惡意應(yīng)用檢測模型，首先創(chuàng)建非惡意樣本庫和惡意樣本庫，然后對其進(jìn)行類別劃分，并采用動(dòng)態(tài)分析技術(shù)來提取各個(gè)類別中應(yīng)用的行為信息作為特征，構(gòu)建行為特征集合，并對其進(jìn)行格式化處理；其次，采用HNB分類算法對各個(gè)類別的行為特征集合進(jìn)行學(xué)習(xí)，從而構(gòu)建出多個(gè)HNB分類器，各個(gè)HNB分類器的構(gòu)建并行且獨(dú)立；最后，采用Bagging集成學(xué)習(xí)方法，對多個(gè)HNB分類器進(jìn)行學(xué)習(xí)，從而構(gòu)建出分類性能更好的BHNB強(qiáng)分類器。該檢測模型主要包括預(yù)處理模塊、特征提取模塊、特征集合構(gòu)建模塊、格式化處理模塊以及分類器構(gòu)建模塊如圖4所示。

圖4 基于BHNB的細(xì)粒度的Android惡意應(yīng)用檢測模型

基于BHNB的細(xì)粒度的Android惡意應(yīng)用檢測模型具體的流程如下：

(1) 創(chuàng)建樣本庫

主要包括非惡意樣本庫和惡意樣本庫。非惡意應(yīng)用樣本庫利用爬蟲技術(shù)從Google Play商城批量下載，包含各種類別的應(yīng)用；惡意應(yīng)用樣本庫主要包括49個(gè)惡意應(yīng)用家族的所有類別，主要從https://virusshare.com、http://sanddroid.xjtu.edu.cn網(wǎng)站上收集。

(2) 預(yù)處理模塊

該模塊主要通過人工分析，將樣本庫中的應(yīng)用進(jìn)行分類，如游戲類、網(wǎng)上購物類、系統(tǒng)工具類、通信社交類、金融理財(cái)類等。

(3) 特征提取及特征集合構(gòu)建模塊

主要利用沙盒技術(shù)對各類應(yīng)用進(jìn)行動(dòng)態(tài)分析，通過對運(yùn)行時(shí)的應(yīng)用進(jìn)行監(jiān)控，提取各個(gè)應(yīng)用程序的行為信息作為特征，構(gòu)建行為特征集合。

(4) 格式化處理模塊

采用CSV(Comma Separated Values)格式，即逗號分隔值格式。對提取的各類應(yīng)用的特征集合統(tǒng)一進(jìn)行格式化處理。其中，每一行為一個(gè)應(yīng)用程序的特征集合。

(5) 分類器構(gòu)建模塊

使用各類應(yīng)用的特征集合對HNB分類算法進(jìn)行訓(xùn)練，構(gòu)建單分類器。然后，利用集成學(xué)習(xí)Bagging方法將構(gòu)建好的單分類器集成為分類性能更好的BHNB分類器。

3 實(shí)驗(yàn)結(jié)果與分析

3.1 實(shí)驗(yàn)樣本

實(shí)驗(yàn)樣本主要包括兩部分：(1) 非惡意應(yīng)用樣本1 255個(gè)。主要利用爬蟲技術(shù)從廣受信賴的應(yīng)用商城Google Play上批量下載，這些應(yīng)用程序包含了所有的應(yīng)用類別。(2) 惡意應(yīng)用樣本1 200個(gè)。主要從https://virusshare.com、http://sanddroid.xjtu.edu.cn網(wǎng)站上收集，覆蓋49個(gè)惡意應(yīng)用家族的所有類別。

3.2 樣本分析

對于上述采集到的應(yīng)用樣本，經(jīng)過人工處理，將其分為各個(gè)應(yīng)用類別。主要包括游戲類，網(wǎng)上購物類，資訊閱讀類，系統(tǒng)工具類，影音圖像類，通信社交類，生活服務(wù)類，交通工具類，學(xué)習(xí)教育類，商業(yè)辦公類，運(yùn)動(dòng)保健類和金融理財(cái)類等，其所占比例如圖5所示。

圖5 Android應(yīng)用樣本庫中各類應(yīng)用所占比例

其中游戲類、通信社交類與影音圖像類應(yīng)用所占的比例相對較高，分別為20.4%、15.7%和11.2%；資訊閱讀類應(yīng)用所占比例最少，為3.2%。

3.3 實(shí)驗(yàn)結(jié)果分析

為驗(yàn)證本文提出的基于層次樸素貝葉斯算法的Android惡意應(yīng)用檢測方法的高效性和準(zhǔn)確性，我們比較了樣本分類之前和樣本分類之后的分類器性能。樣本分類之前是將所有樣本的特征構(gòu)成一個(gè)集合，采用NB或DT分類器進(jìn)行分類；樣本劃分之后是將樣本按照類別進(jìn)行劃分，構(gòu)建多個(gè)不同類別的特征集合，采用本文提出的BHNB分類器進(jìn)行分類。

(1) 分類器的評價(jià)參數(shù)

本文將非惡意應(yīng)用樣本定義為正樣本，惡意應(yīng)用樣本定義為負(fù)樣本。

分類器性能評價(jià)標(biāo)準(zhǔn)：

正確接受TP，即實(shí)際為真，預(yù)測為真，指分類器將非惡意應(yīng)用正確識(shí)別為非惡意應(yīng)用；

正確拒絕TN，即實(shí)際為假，預(yù)測為假，指分類器將惡意應(yīng)用正確識(shí)別為惡意應(yīng)用；

錯(cuò)誤接受FP，即實(shí)際為假，預(yù)測為真，指分類器將惡意應(yīng)用錯(cuò)誤識(shí)別為非惡意應(yīng)用；

錯(cuò)誤拒絕FN，即實(shí)際為真，預(yù)測為假，指分類器將非惡意應(yīng)用錯(cuò)誤識(shí)別為惡意應(yīng)用；

分類器的分類精度，即正確率Accuracy，

召回率Recall，在所有實(shí)際樣本中，被預(yù)測為正樣本的數(shù)量，即

ROC曲線反映分類器的優(yōu)劣，其顯示了給定模型的TP概率與FP概率之間的比較評定。以假正率FPR(false positive rate)為橫軸，真正率TPR(true positive rate)為縱軸，描繪分類器的靈敏度，曲線越接近左上角，說明該分類器性能越好。

ROC曲線下面的面積是模型準(zhǔn)確率的度量AUC。為了評估模型的準(zhǔn)確率，可以測量曲線下方的面積，面積越接近0.5，對應(yīng)模型的準(zhǔn)確率越低，完全準(zhǔn)確的模型的面積為1。AUC值越大，說明分類效果越好。在ROC曲線無法清晰反映分類效果時(shí)，比較AUC的值，有助于增強(qiáng)分類器之間的比對。

圖6 樣本劃分之前與樣本劃分之后的ROC曲線和AUC比較

(2) 不同分類器間的比較

在分類器精度測試過程中，采用十折交叉的驗(yàn)證方法，輪流將各類應(yīng)用樣本集中的90%作為訓(xùn)練集，10%作為測試集，取十次實(shí)驗(yàn)的平均結(jié)果，作為對分類器精度的估計(jì)。

本文在使用過程中對DT、NB以及BHNB分類器進(jìn)行了比較，結(jié)果如表1所示。

表1 不同分類器分類結(jié)果

從表1中我們可以看出，DT分類器的分類精度雖然最高，但是其構(gòu)建的時(shí)間卻最長，在效率上不如NB分類器。BHNB分類器在構(gòu)建時(shí)間上雖然稍微遜色于NB分類器，但是其精度卻比NB分類器要高。因此，BHNB針對Android惡意應(yīng)用檢測具有較高的精度與效率。在本文提出的細(xì)粒度的Android惡意應(yīng)用檢測模型基礎(chǔ)上，構(gòu)建的BHNB分類器可以有效檢測出Android惡意應(yīng)用。

4 結(jié) 語

本文提出的基于BHNB的細(xì)粒度的Android惡意應(yīng)用檢測模型，首先通過人工分析的方法將樣本庫中的應(yīng)用劃分多個(gè)類別，然后基于動(dòng)態(tài)分析技術(shù)提取各個(gè)應(yīng)用程序的行為信息作為特征，構(gòu)建行為特征集合。再采用HNB分類算法對各類應(yīng)用的特征集合進(jìn)行訓(xùn)練，構(gòu)建出多個(gè)HNB分類器。由于分類器的訓(xùn)練僅針對小規(guī)模的特征集合，且構(gòu)建過程并行而獨(dú)立，因此，在一定程度上提高了效率。為了在提高檢測效率的同時(shí)，也能夠穩(wěn)定分類器的性能。本文最后采用Bagging集成學(xué)習(xí)方法，對構(gòu)建出的多個(gè)HNB分類器進(jìn)行集成學(xué)習(xí)，從而構(gòu)建出分類性能更加穩(wěn)定的BHNB強(qiáng)分類器。實(shí)驗(yàn)結(jié)果證明，本文提出的基于BHNB的細(xì)粒度的Android惡意應(yīng)用檢測模型，能夠有效檢測出Android惡意應(yīng)用，且誤報(bào)率低、檢測效率較高。

[1] Yerima S Y, Sezer S, Mcwilliams G. Analysis of Bayesian classification-based approaches for Android malware detection[J]. Information Security Iet, 2013, 8(1):25-36.

[2] Ham H S, Kim H H, Kim M S, et al. Linear SVM-Based Android Malware Detection for Reliable IoT Services[J]. Journal of Applied Mathematics, 2014, 2014:1-10.

[3] Yerima S Y, Sezer S, Muttik I. Android Malware Detection Using Parallel Machine Learning Classifiers[C]// Eighth International Conference on Next Generation Mobile Apps, Services and Technologies. IEEE, 2014:493-494.

[4] 許艷萍, 伍淳華, 侯美佳,等. 基于改進(jìn)樸素貝葉斯的Android惡意應(yīng)用檢測技術(shù)[J]. 北京郵電大學(xué)學(xué)報(bào), 2016, 39(2):43-47.

[5] 胡靜, 華俊, 姜羽,等. 一種基于屬性關(guān)系的特征選擇算法[J]. 控制與決策, 2015(10):1903-1906.

[6] 范敏, 石為人. 層次樸素貝葉斯分類器構(gòu)造算法及應(yīng)用研究[J]. 儀器儀表學(xué)報(bào), 2010, 31(4):776-781.

[7] 杉山將．圖解機(jī)器學(xué)習(xí)[M]. 北京:人民郵電出版社,2015.

[8] 哈林頓.機(jī)器學(xué)習(xí)實(shí)戰(zhàn)[M]. 北京：人民郵電出版社, 2013.

[9] 黃梅根，曾云科.基于權(quán)限組合的Android竊取隱私惡意應(yīng)用檢測方法[J]．計(jì)算機(jī)應(yīng)用與軟件，2016，33(9)：320-323,333.

[10] 王輝，陳泓予.基于樹加權(quán)樸素貝葉斯算法的入侵檢測技術(shù)研究[J].計(jì)算機(jī)應(yīng)用與軟件，2016,33(2)：294-298.

[11] 奚琪, 曾勇軍, 王清賢,等. 一種基于模型檢測的惡意行為識(shí)別方法[J]. 計(jì)算機(jī)應(yīng)用與軟件, 2015, 32(7):284-287.

[12] 卿斯?jié)h. Android安全研究進(jìn)展[J]. 軟件學(xué)報(bào), 2016(1):45-71.

[13] 楊歡, 張玉清, 胡予濮,等. 基于多類特征的Android應(yīng)用惡意行為檢測系統(tǒng)[J]. 計(jì)算機(jī)學(xué)報(bào), 2014, 37(1):15-27.

[14] 楊歡, 張玉清, 胡予濮,等. 基于權(quán)限頻繁模式挖掘算法的Android惡意應(yīng)用檢測方法[J].通信學(xué)報(bào)，2013(s1):106-115.

AFINE-GRAINEDANDROIDMALWAREDETECTIONMETHODBASEDONBHNB

Sun Lei Han Jingdan

(CollegeofCryptographyEngineering,InformationEngineeringUniversity,Zhengzhou450000,Henan,China)

In order to further improve the detection efficiency of Android malicious applications, this paper proposes a fine-grained Android malware detection model based on BHNB (Bagging Hierarchical Na?ve Bayesian). First, the model classified the applications in the sample database and dynamically analyzed them respectively, and extracted the behavior information of each application as features. Then, HNB (Hierarchical Na?ve Bayesian) classification algorithm was used to train all kinds of application feature sets respectively, so as to construct several layers of Na?ve Bayesian classifier. Finally, the multi-level Na?ve Bayesian classifier was constructed by using bagging ensemble learning method, building up the Bagging ensemble learning classifier based on Hierarchy Na?ve Bayesian algorithm-BHNB. The experimental results demonstrate that the proposed model can effectively improve the detection efficiency while improving the detection accuracy.

Android Dynamic analysis Hierarchical Na?ve Bayesian Ensemble learning Malware detection

TP301

A

10.3969/j.issn.1000-386x.2017.10.055

2016-11-23。國家重點(diǎn)研發(fā)計(jì)劃項(xiàng)目“協(xié)同精密定位技術(shù)”(2016YFB0501900)；國防預(yù)研基金項(xiàng)目(910A26010106JB5201)。孫磊，研究員，主研領(lǐng)域：云計(jì)算基礎(chǔ)設(shè)施可信增強(qiáng)、可信虛擬化技術(shù)。韓靜丹，碩士生。