基于隨機森林算法的Android惡意代碼特征分析

劉賀翔，李英娜，張長勝，任小波，李 川

(昆明理工大學 信息工程與自動化學院，云南 昆明 650500)

隨著手機逐漸成為人們生活中必不可少的產品。惡意代碼開發者利用Android開放性平臺開發出許多惡意代碼，進而對用戶手機進行非法干擾。智能手機終端一經被惡意代碼感染，攻擊者(“黑客”)就可以通過惡意代碼的方式非法獲取到用戶大量的隱私信息[1](包括用戶帳號與密碼信息、用戶手機號碼信息等)，甚至進行截斷短信、刪除用戶移動終端中的應用程序等惡意行為，從而導致一系列嚴重事件發生。因此，對Android惡意代碼的特征分析具有重要的實際意義。

惡意代碼檢測效率的主要因素之一是特征的描述能力，如何更為有效地檢測惡意代碼是目前惡意代碼防御的熱點。中國科學院的王蕊，馮登國等人[2]提出了一種基于語義的惡意代碼行為特征提取及檢測方法，從而提高對惡意代碼變種的檢測能力。西安交通大學智能網絡與網絡安全教育部重點實驗室的胡文君，趙雙等人[3]提出了一種針對Android平臺惡意代碼的檢測方法及系統實現，同時免費提供分析檢測服務，所提檢測方案具有較高的檢測率和較低的誤報率。

本文采用隨機森林算法(Random Forests Algorithm，RF)對應用特征進行匹配訓練，從原始訓練集中有放回的抽取一定數量的樣本，作為根節點并開始不斷進行訓練，直到所有節點都被遍歷，或者訓練結束，從而實現特征葉子節點與案例庫中的特征匹配。

1 Android權限特征的提取

權限特征是對應用程序惡意行為的一種描述，在檢測移動終端惡意代碼的時候，可以根據權限特征對良性應用和惡意應用做出區分。……