郭 平

(廣東交通職業(yè)技術(shù)學(xué)院 廣東 廣州 510650)

0 引 言

隨著科技不斷發(fā)展進(jìn)步，智能化終端設(shè)備普及率越來(lái)越高，逐漸深入到日常生活中的方方面面，為大眾帶來(lái)了實(shí)實(shí)在在的便利。Android由于其開(kāi)源性的強(qiáng)大優(yōu)勢(shì)，已普遍應(yīng)用在各種手持設(shè)備和操作系統(tǒng)中。但也正是由于其開(kāi)源優(yōu)勢(shì)大大降低了開(kāi)發(fā)成本，大批惡意應(yīng)用不斷涌現(xiàn)，嚴(yán)重威脅用戶(hù)使用安全。360互聯(lián)網(wǎng)安全中心發(fā)布的《2017年中國(guó)手機(jī)安全狀況報(bào)告》中指出，Android平臺(tái)2017全年截獲新增惡意程序樣本累計(jì)1 403.3萬(wàn)個(gè)，每天平均新增3.8萬(wàn)個(gè)惡意程序樣本[1]。Android平臺(tái)提供了幾種應(yīng)對(duì)惡意軟件威脅的方法：沙箱、訪(fǎng)問(wèn)控制、簽名機(jī)制、權(quán)限機(jī)制等，但是這些機(jī)制都把注意力集中在申請(qǐng)權(quán)限上，對(duì)于不具備相關(guān)專(zhuān)業(yè)知識(shí)的用戶(hù)就會(huì)盲目的賦予未知應(yīng)用程序權(quán)限，無(wú)法避免惡意軟件威脅。目前大多數(shù)的檢測(cè)手段主要是動(dòng)態(tài)分析以及靜態(tài)分析，但效果極其有限。后來(lái)，有人提出采用機(jī)器學(xué)習(xí)算法進(jìn)行惡意軟件檢測(cè)分類(lèi)，在檢測(cè)效果上確實(shí)有了顯著的改善。由于基于A(yíng)ndroid的惡意樣本存在較高難度和準(zhǔn)確性不足的缺點(diǎn)，因此適合樣本數(shù)量少、準(zhǔn)確率高、花費(fèi)小的支持向量機(jī)(SVM)算法被廣泛應(yīng)用[2-4]。

本文在SVM算法基礎(chǔ)上提出采用多核模糊SVM算法進(jìn)行惡意軟件分類(lèi)，主要通過(guò)惡意軟件特征值提取對(duì)惡意軟件進(jìn)行分類(lèi)檢測(cè)，最后和一般支持向量機(jī)的結(jié)果進(jìn)行比對(duì)。

1 技術(shù)介紹

1.1 Android進(jìn)程注入與HOOK技術(shù)

進(jìn)程注入指的是將自行實(shí)現(xiàn)的程序文件注入到目標(biāo)文件中，即通過(guò)程序操作使其在指定的進(jìn)程中被裝載。具體的注入過(guò)程大致如下：

(1) attach上目標(biāo)函數(shù)；

(2) 讓目標(biāo)進(jìn)程的執(zhí)行流程跳轉(zhuǎn)到mmap函數(shù)來(lái)分配內(nèi)存空間；

(3) 加載注入so；

(4) 讓目標(biāo)進(jìn)程跳轉(zhuǎn)到注入so中的代碼執(zhí)行。

通常來(lái)說(shuō)，hook技術(shù)可與進(jìn)程注入融合，進(jìn)而實(shí)現(xiàn)自定義。hook技術(shù)可調(diào)用系統(tǒng)函數(shù)，即通過(guò)控制目標(biāo)來(lái)實(shí)現(xiàn)自定義行為。當(dāng)目標(biāo)函數(shù)被調(diào)用時(shí),實(shí)際上調(diào)用的是自定義的函數(shù)，在該函數(shù)中可以解析原函數(shù)的參數(shù)獲得數(shù)據(jù)，實(shí)現(xiàn)行為攔截。

1.2 Android進(jìn)程間通信機(jī)制

Android是基于Linux來(lái)開(kāi)發(fā)的，并且Linux內(nèi)部集成了豐富的內(nèi)核和通信機(jī)制，例如跟蹤、信號(hào)、報(bào)文隊(duì)列等，但Android并沒(méi)有上述的一種通信機(jī)制，只采用了Binder機(jī)制。

Binder是與COM和CORBA極為相似的分布式組件架構(gòu)，Binder的實(shí)質(zhì)功能是提供遠(yuǎn)程過(guò)程調(diào)用(RPC)。該機(jī)制的通信模式采用客戶(hù)端-服務(wù)器的形式，包括四部分組件：Client、Binder Driver、Server和Server Manager，其基本通信架構(gòu)如圖1所示。

圖1 Binder機(jī)制基本通信架構(gòu)

Server：它定義實(shí)現(xiàn)了各種方法(服務(wù))，并且繼承了Binder的對(duì)象。

Binder Driver：當(dāng)一個(gè)新的Binder對(duì)象被創(chuàng)建的時(shí)候，Binder驅(qū)動(dòng)器則會(huì)創(chuàng)建mRemote對(duì)象。

Client：通過(guò)獲取Binder驅(qū)動(dòng)的mRemote對(duì)象就可以調(diào)用相應(yīng)的Binder對(duì)象的服務(wù)。

Server Manager：用來(lái)管理Server，并向Client提供查詢(xún)Server接口的能力。Binder機(jī)制的基本通信過(guò)程即服務(wù)器定義服務(wù)，客戶(hù)端通過(guò)獲取服務(wù)器的對(duì)象引用的方式就可以調(diào)用服務(wù)器定義的各種服務(wù)。應(yīng)用程序調(diào)用系統(tǒng)函數(shù)執(zhí)行敏感行為的過(guò)程，就是使用Binder機(jī)制進(jìn)行進(jìn)程間通信的過(guò)程。

2 特征值

2.1 Android 惡意應(yīng)用特征

目前惡意軟件的種類(lèi)很多且改變很多，給檢測(cè)工作帶來(lái)了相當(dāng)大的困難。雖然不同的惡意應(yīng)用程序一直出現(xiàn)，但在安裝方式、功能觸發(fā)和惡意負(fù)載方面都具有以下典型特征：

(1) 惡意應(yīng)用通常會(huì)以非常熱門(mén)應(yīng)用的方式來(lái)包裝，從而吸引客戶(hù)下載，而主要的方式有應(yīng)用更新、重打包、偷渡下載等方式。

(2) 安裝完畢后，應(yīng)用會(huì)誘導(dǎo)客戶(hù)誤點(diǎn)擊運(yùn)行，從而秘密地進(jìn)行竊聽(tīng)行為。

(3) 惡意負(fù)載包括遠(yuǎn)程控制、特權(quán)提升、吸取話(huà)費(fèi)、竊取隱私和自我保護(hù)等。

2.2 特征值選取

目前流行的提取方式有Smali hook、Binder IPC 注入、ROM定制、Zygote注入和虛擬機(jī)自省(VMI)。本文使用IPC注入方法來(lái)對(duì)惡意應(yīng)用進(jìn)行特征提取，并用ioctl()函數(shù)進(jìn)行通信，此函數(shù)可通過(guò)解析BINDER_WRITE_READ來(lái)實(shí)現(xiàn)攔截。在攔截到應(yīng)用行為后，即可輸出攔截日志，形成特征向量，并將該向量作為分類(lèi)器的輸入，獲得檢測(cè)效果。

Smali hook:在對(duì)監(jiān)控模塊進(jìn)行插入前，需要對(duì)APK編譯后的代碼進(jìn)行修改。

Binder IPC注入：利用Android進(jìn)程間通信機(jī)制binder注入關(guān)鍵函數(shù)ioctl()，以此獲取進(jìn)程敏感行為調(diào)用的信息。

ROM定制：插入監(jiān)控模塊后，對(duì)內(nèi)核模塊重新編譯。

Zygote注入：利用zygote進(jìn)程創(chuàng)建新進(jìn)程，注入并監(jiān)控應(yīng)用程序框架層的API調(diào)用。

虛擬機(jī)自?。夯趆ypervisor的虛擬化解決方案，從Android虛擬器外部監(jiān)控系統(tǒng)及應(yīng)用程序的狀態(tài)。

在系統(tǒng)對(duì)惡意行為進(jìn)行攔截并形成攔截日志后，輸出攔截特征，構(gòu)造對(duì)應(yīng)樣本的特征向量，并作為分類(lèi)器的輸入。

分類(lèi)工作的一個(gè)很關(guān)鍵步驟是構(gòu)造特征向量，在對(duì)已有方案的應(yīng)用存在的不足作出了描述，本文將采取系統(tǒng)函數(shù)及其組合來(lái)對(duì)應(yīng)用行為進(jìn)行描述。具體地，該種方式具備以下優(yōu)勢(shì)：與靜態(tài)的檢測(cè)方法相比，抗代碼混淆和加密能力更為突出；與采取CPU使用率和網(wǎng)絡(luò)流量等系統(tǒng)數(shù)據(jù)作為特征向量相比，瞬時(shí)攻擊可被識(shí)別，能檢測(cè)出更多的惡意應(yīng)用；與底層系統(tǒng)描述行為相比，該種方式更為細(xì)致，范圍也更加廣闊。

系統(tǒng)函數(shù)和權(quán)限有著非常緊密的對(duì)應(yīng)關(guān)系，根據(jù)官方文檔，當(dāng)前可申請(qǐng)的權(quán)限達(dá)137項(xiàng)，另外，部分對(duì)應(yīng)權(quán)限的分類(lèi)和敏感權(quán)限的界定如表1所示。

表1 部分敏感權(quán)限列表

由于敏感權(quán)限與敏感API之間存在著映射關(guān)系，因此從敏感權(quán)限中去發(fā)掘敏感API，并參考存在A(yíng)ndroid應(yīng)用行為的研究，可更加改善確定攔截的行為。

通常敏感行為可大致分為兩種，單一組合和行為組合。首先單一組合指的是可通過(guò)系統(tǒng)函數(shù)來(lái)描述的行為，而行為組合指的是用多個(gè)系統(tǒng)函數(shù)進(jìn)行描述的行為，一般來(lái)說(shuō)，后轉(zhuǎn)更具有威脅性。比如，將獲取聯(lián)系人信息看似一個(gè)系統(tǒng)函數(shù)，那么一些良性的應(yīng)用就會(huì)調(diào)用它，如果只是獲取該應(yīng)用所需的信息來(lái)完成某個(gè)功能，這種行為并不過(guò)敏，但如果獲取完畢后進(jìn)行了聯(lián)網(wǎng)，則這個(gè)行為很有可能泄露用戶(hù)隱私，因此該組合比單一的獲取聯(lián)系人的信息更為敏感。通過(guò)上述類(lèi)似原理，本文自定義了需要攔截的一系列行為組合，它們的共同特征都是需要獲取用戶(hù)隱私信息，并通過(guò)與外網(wǎng)連接等手段將信息泄露出去，除此之外，后臺(tái)發(fā)送短信也是一種非常敏感的行為[6]。本方案最終定義需要記錄的敏感行為和敏感行為組合，共計(jì) 17項(xiàng)作為特征值來(lái)構(gòu)造特征向量，均在表2中列出。

表2 需要記錄的敏感行為

續(xù)表2

3 多核模糊支持向量機(jī)(MSVM)算法

3.1 算法流程

Android惡意應(yīng)用的可變性和模糊性是很多分類(lèi)算法所不能很好處理的。綜合已有的這些實(shí)際問(wèn)題，支持向量機(jī)(SVM)在針對(duì)小樣本、高維度的確定性分類(lèi)問(wèn)題上，表現(xiàn)出特別的優(yōu)勢(shì)，并且其分類(lèi)算法有嚴(yán)格的統(tǒng)計(jì)學(xué)論據(jù)，在編程邏輯上是透明的，這使得該算法更容易切入實(shí)際分類(lèi)需求[9]。

Android惡意應(yīng)用具有非線(xiàn)性、樣本分布不平坦、噪聲大等問(wèn)題，支持向量機(jī)雖然在解決小樣本數(shù)據(jù)上表現(xiàn)出許多特有的優(yōu)勢(shì)，但對(duì)于A(yíng)ndroid惡意應(yīng)用的模糊性等問(wèn)題，仍存在如下的缺陷[10]：

(1) 所有的訓(xùn)練點(diǎn)在支持向量機(jī)下被視為同等地位，具有局限性，在實(shí)際應(yīng)用中，會(huì)盡可能維持支持向量的作用，弱化非支持向量的租用。

基于此，本文采用Lin等提出的模糊支持向量機(jī)FSVM(Fuzzy support vector machine)作為分類(lèi)的基本方法，以減小非重要樣本對(duì)SVM分類(lèi)器學(xué)習(xí)的干擾[7]。

(2) SVM在解決非線(xiàn)性分類(lèi)或回歸問(wèn)題過(guò)程中，核函數(shù)的選取非常重要。傳統(tǒng)的SVM或者FSVM都是基于單個(gè)核函數(shù)的。對(duì)于A(yíng)ndroid惡意應(yīng)用分類(lèi)工作，由于分類(lèi)樣本間的差異化，如何選擇一個(gè)合適的核函數(shù)是非常棘手的任務(wù)，一般要通過(guò)大量反復(fù)的實(shí)驗(yàn)來(lái)完成。這樣操作對(duì)于智能分類(lèi)來(lái)說(shuō)，顯然并不科學(xué)。

基于此，本文將在FSVM的基礎(chǔ)上引入多個(gè)核函數(shù)映射，利用不同核函數(shù)之間的互補(bǔ)性特性來(lái)更加準(zhǔn)確地適應(yīng)Android惡意應(yīng)用模糊、噪聲大、樣本差異不顯著的特點(diǎn)。我們提出一種基于多核的FSVM算法用于A(yíng)ndroid惡意應(yīng)用分類(lèi)，來(lái)更有效地模擬Android惡意應(yīng)用數(shù)據(jù)模糊性等實(shí)際問(wèn)題。此算法決策樹(shù)中的模糊核權(quán)重主要借助于樣本無(wú)監(jiān)督自學(xué)習(xí)來(lái)確定，能根據(jù)實(shí)際Android惡意應(yīng)用數(shù)據(jù)的模糊性，形成一種更合適的分類(lèi)算法。

MSVM算法分類(lèi)流程如圖2所示。

圖2 MSVM分類(lèi)流程圖

3.2 MSVM算法的構(gòu)造

SVM是基于統(tǒng)計(jì)學(xué)習(xí)理論的機(jī)器學(xué)習(xí)方法，從它的提出開(kāi)始，就受到數(shù)據(jù)分類(lèi)領(lǐng)域的廣泛關(guān)注和歡迎。SVM擁有嚴(yán)整統(tǒng)計(jì)學(xué)理論基礎(chǔ)作為支撐，在解決小樣本、高維度和非線(xiàn)性模式識(shí)別中具有很大的優(yōu)勢(shì)，與其他類(lèi)經(jīng)驗(yàn)風(fēng)險(xiǎn)最小化算法相比，它的泛化能力更強(qiáng)，在減少訓(xùn)練和識(shí)別時(shí)間上有很重要的實(shí)際意義。

支持向量機(jī)分類(lèi)器的數(shù)學(xué)模型原理圖如圖3所示。

圖3 支持向量機(jī)分類(lèi)模型圖

定義1設(shè)X是一個(gè)非空集合，則稱(chēng)

F={〈x,uF(xi)〉|x∈X,i=1,2,…,l}

(1)

式中：F為模糊集，uF(xi)為模糊隸屬度矩陣中，樣本集x中第i個(gè)樣本屬于模糊集F的隸屬度，uF(xi)取值范圍在[0,1]之間。

在對(duì)FSVM分類(lèi)器進(jìn)行訓(xùn)練前，首先對(duì)數(shù)據(jù)執(zhí)行預(yù)處理，計(jì)算得到合適的隸屬度函數(shù)后，將獲得每一個(gè)數(shù)據(jù)樣本xi的隸屬度uF(xi)矩陣。隸屬度函數(shù)uF(xi)，本文根據(jù)數(shù)據(jù)去類(lèi)標(biāo)無(wú)監(jiān)督自學(xué)習(xí)的方式得到。

模糊隸屬度uF{xi}是指訓(xùn)練集{xl,yl,uF(x)}隸屬某一類(lèi)的程度，而εi是對(duì)錯(cuò)分程度的度量，因此用uF(xi)·εi(i=1,2,…,l)衡量對(duì)于重要程度不同的變量錯(cuò)分程度。由此得到最優(yōu)分類(lèi)超平面的目標(biāo)函數(shù)的最優(yōu)結(jié)構(gòu)：

(2)

s.t.yi[ω·φ(xi)+b]-1+εi≥0

(3)

εi≥0,i=1,2,…,l

式中：懲罰因子C為常量，ω表示線(xiàn)性分類(lèi)函數(shù)的權(quán)系數(shù)，ε=(ε1,ε2,…,εl)T,φ(xi)表示將xi從多維特征空間映射到高維特征空間。相應(yīng)的最優(yōu)分類(lèi)超平面的判別函數(shù)式為：

(4)

式中：K(xi,x)是核函數(shù)，是將高維空間的復(fù)雜運(yùn)算轉(zhuǎn)換為低維空間的簡(jiǎn)單函數(shù)運(yùn)算。

模糊因子uF(xi)的確定是決定FSVM性能的關(guān)鍵所在，當(dāng)uF(xi)的值比較小時(shí)，該樣本點(diǎn)對(duì)支持向量機(jī)的訓(xùn)練作用將大為降低，從而降低了它對(duì)訓(xùn)練SVM分類(lèi)器過(guò)程的影響。

3.3 分類(lèi)算法中模糊隸屬度函數(shù)的確定

模糊C均值聚類(lèi)FCM (Fuzzy C-Means)算法是比較有效的一種模糊聚類(lèi)方法。在很多應(yīng)用當(dāng)中，它較之其他硬聚類(lèi)算法更為靈活。

模糊隸屬度函數(shù)的確定采用FCM算法ui矩陣的無(wú)監(jiān)督、不斷自學(xué)習(xí)的方法，這是算法的關(guān)鍵。

FCM算法給定聚類(lèi)數(shù)目C=2，以及樣本空間X，其中X包含N個(gè)l=17維的樣本xi，i為樣本序列號(hào)，F(xiàn)CM算法輸出隸屬度值uic，即樣本xi屬于第c類(lèi)的可能性。于是我們需要最小化以下目標(biāo)函數(shù)：

(5)

(6)

式中：m為模糊化程度，其值大于1；d(·,·)是歐氏距離；vc是第c個(gè)類(lèi)的中心；U=[uic]i=1..N,c=1..C是一個(gè)N×C隸屬度矩陣，其元素由uic組成；V=[v1,v2,…,vC]是一個(gè)l×C矩陣，其列向量對(duì)應(yīng)C個(gè)聚類(lèi)中心。我們可以通過(guò)拉格朗日乘數(shù)法求解約束優(yōu)化問(wèn)題，得：

(7)

可以用迭代更新隸屬度(固定聚類(lèi)中心)和更新各類(lèi)中心點(diǎn)(固定隸屬度)去解決問(wèn)題，由式(7)求偏導(dǎo)并設(shè)為0可導(dǎo)出以下式子：

(8)

(9)

在這，沒(méi)有將式(6)中的非負(fù)約束加入到拉格朗日乘數(shù)法中是因?yàn)樯鲜龅墓浇Y(jié)果已經(jīng)蘊(yùn)涵uic≥0，?i,c。此外，當(dāng)m值接近1時(shí)候，F(xiàn)CM算法退化成為k-means(k-means 與c-means在不同的文獻(xiàn)中都有表述，為同一算法)算法。據(jù)此，通過(guò)無(wú)監(jiān)督的學(xué)習(xí)，得到uic。

FCM算法的實(shí)現(xiàn)步驟如下：

Step1Procedure FCM(DataX, NumberC)；

Step2初始化隸屬度矩陣U(0)；

Step3重復(fù)計(jì)算第4、5步，

循環(huán)條件：‖U(t)-U(t-1)‖<ε；

更新U(t)=[uic]；

Step6ReturnU(t)；

Step7End Procedure。

3.4 MSVM分類(lèi)算法實(shí)現(xiàn)步驟

在上節(jié)中，式(4)的決策樹(shù)只能對(duì)應(yīng)于某些特定核函數(shù)的組合，但不能對(duì)應(yīng)于混合的核函數(shù)組合。

應(yīng)用分類(lèi)中，組合多核函數(shù)的模糊支持向量機(jī)算法，其決策樹(shù)和算法調(diào)整如下：

(10)

(11)

引理1Mercer核的非負(fù)線(xiàn)性組合仍為Mercer核。

以定理2為理論邏輯基礎(chǔ)，可以利用現(xiàn)有常用‘linear’、‘poly’、‘rbf’、‘erbf’核函數(shù)構(gòu)造新的模糊多核核函數(shù)，使其能夠適用于樣本集的訓(xùn)練學(xué)習(xí)。

MSVM算法分類(lèi)步驟如下：

Step1將特征矩陣?yán)锏臄?shù)據(jù)進(jìn)行歸一化處理。

Step2按照式(9)，構(gòu)建分類(lèi)數(shù)據(jù)的模糊集。

Step3根據(jù)式(8) 和式(9)計(jì)算樣本點(diǎn)模糊隸屬度。

Step4根據(jù)式(11)選擇不同的核函數(shù)進(jìn)行組合。

Step5根據(jù)式(10)的決策樹(shù)，運(yùn)用數(shù)據(jù)對(duì)MSVM算法進(jìn)行訓(xùn)練，然后進(jìn)行樣本測(cè)試。

4 實(shí)驗(yàn)結(jié)果

本實(shí)驗(yàn)中使用到的良性應(yīng)用樣本均搜集自第三方應(yīng)用市場(chǎng)，惡意應(yīng)用樣本從各個(gè)安全論壇的病毒樣本區(qū)搜集。使用到良性應(yīng)用 150 個(gè)，惡意應(yīng)用 150 個(gè)。

據(jù)訓(xùn)練數(shù)據(jù)集得到的用于測(cè)試的MSVM經(jīng)過(guò)訓(xùn)練，算法中′linear′、′poly′、′rbf′、′erbf′等4個(gè)核函數(shù)的權(quán)值及參數(shù)值如表3所示[8]。

表3 采用數(shù)據(jù)集訓(xùn)練得到的MSVM參數(shù)

其中權(quán)值為上述核函數(shù)線(xiàn)性組合的權(quán)重，參數(shù)為對(duì)應(yīng)核函數(shù)的調(diào)節(jié)因子。

為了評(píng)估MSVM算法的分類(lèi)性能，Kappa系數(shù)的計(jì)算被引入進(jìn)來(lái)，進(jìn)行系統(tǒng)健壯性的評(píng)估。Kappa系數(shù)(κ)是兩種或者兩種以上精度之間的一致情況的靜態(tài)測(cè)量方法，其計(jì)算公式如下：

κ=(Po-Pe)/(1-Pe)

(12)

式中：Po是總的一致可能性，Pe是估計(jì)的一致可能性。這樣計(jì)算就明顯比單純的統(tǒng)計(jì)準(zhǔn)確率要健壯。對(duì)Kappa系數(shù)值的意義說(shuō)明如下：Kappa計(jì)算得數(shù)是-1～1，但我們一般取Kappa在 0～1 之間的數(shù)值，并分成5個(gè)檔次來(lái)區(qū)別不同層級(jí)的一致性：0.0～0.20代表極低的一致性，0.21～0.40代表一般的一致性，0.41～0.60 代表中等的一致性，0.61～0.80代表高度的一致性，0.81～1代表幾乎完全的一致性。本文實(shí)驗(yàn)分類(lèi)結(jié)果的平均Kappa系數(shù)值是0.74。

在本次實(shí)驗(yàn)中，實(shí)驗(yàn)對(duì)數(shù)據(jù)特征值進(jìn)行了標(biāo)準(zhǔn)化，得到300個(gè)樣本，17維度的特征向量作為分類(lèi)器的輸入數(shù)據(jù)。進(jìn)行交叉檢驗(yàn)，數(shù)據(jù)集4/5為訓(xùn)練樣本，1/5為測(cè)試樣本。表4詳細(xì)地給出了應(yīng)用此分類(lèi)器的結(jié)果及Kappa系數(shù)值的比較。分類(lèi)準(zhǔn)確率從80.11%到85.50%不等，平均的分類(lèi)準(zhǔn)確率是83.01%，實(shí)驗(yàn)結(jié)果表明本文提出的分類(lèi)器能達(dá)到比較理想的分類(lèi)結(jié)果。表4中平均的Kappa系數(shù)值是0.74。最后得出平均的分類(lèi)準(zhǔn)確率為83.01%。實(shí)驗(yàn)結(jié)果表明本文實(shí)驗(yàn)提出的MSVM分類(lèi)算法準(zhǔn)確率是比較穩(wěn)定的。

表4 MSVM的分類(lèi)結(jié)果與Kappa系數(shù)

5 結(jié) 語(yǔ)

基于目前普遍存在的Android惡意軟件檢測(cè)問(wèn)題，本文在以往分類(lèi)方法的基礎(chǔ)上提出了采用多核模糊支持向量機(jī)算法對(duì)惡意軟件進(jìn)行檢測(cè)分類(lèi)，通過(guò)交叉驗(yàn)證法進(jìn)行實(shí)驗(yàn)來(lái)評(píng)估檢測(cè)效果。實(shí)驗(yàn)結(jié)果表明采用多核模糊支持向量機(jī)算法對(duì)惡意軟件進(jìn)行分類(lèi)的方法是可行的，且在分類(lèi)準(zhǔn)確度上優(yōu)于一般支持向量機(jī)算法，能夠更好地對(duì)惡意軟件進(jìn)行檢測(cè)分類(lèi)。