黃玉書(shū)

摘要：當(dāng)前智能手機(jī)市場(chǎng)中，Android系統(tǒng)的智能手機(jī)市場(chǎng)比例較大，而在豐富的應(yīng)用軟件中混雜著一些不易察覺(jué)的異常軟件，Android平臺(tái)軟件的安全問(wèn)題引起很多學(xué)者的注意。該文從低能耗開(kāi)銷目的出發(fā)初步惡意軟件的檢測(cè)，設(shè)計(jì)了基于權(quán)限特征的異常軟件智能檢測(cè)方法，首先對(duì)樣本的權(quán)限信息的進(jìn)行提取，然后根據(jù)CFS算法進(jìn)行權(quán)限屬性選擇，最后利用AODE分類器對(duì)屬性過(guò)濾后的權(quán)限特征進(jìn)行分類，實(shí)現(xiàn)了異常軟件輕量級(jí)初步檢測(cè)。

關(guān)鍵詞：Android;異常軟件;檢測(cè);特征選取;機(jī)器學(xué)習(xí)

中圖分類號(hào)：TP311? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）06-0068-02

1 緒論

當(dāng)前智能手機(jī)市場(chǎng)中，Android系統(tǒng)的智能手機(jī)市場(chǎng)比例較大，是目前使用范圍最廣的手機(jī)系統(tǒng)。由于Android系統(tǒng)具有免費(fèi)開(kāi)源的特點(diǎn)，在豐富的應(yīng)用軟件中混雜著一些不易察覺(jué)的異常軟件，加之用戶的安全意識(shí)薄弱，Android平臺(tái)軟件安全問(wèn)題亟須解決。本文為了解決Android平臺(tái)中軟件安全問(wèn)題，利用機(jī)器學(xué)習(xí)，結(jié)合惡意軟件特征值的方法進(jìn)行檢測(cè)。根據(jù)能反映軟件惡意傾向的權(quán)限，設(shè)計(jì)檢測(cè)方法，目的在于以較小開(kāi)銷實(shí)現(xiàn)了異常軟件輕量級(jí)初步檢測(cè)。

2 Android平臺(tái)異常軟件相關(guān)檢測(cè)理論

2.1 Android安全機(jī)制

Google公司在設(shè)計(jì)開(kāi)發(fā)Android操作系統(tǒng)時(shí)從Linux內(nèi)核、本地庫(kù)和運(yùn)行環(huán)境以及應(yīng)用程序框架這三個(gè)方面設(shè)置了相應(yīng)的Android安全機(jī)制[1]。

2.2 機(jī)器學(xué)習(xí)概述

機(jī)器學(xué)習(xí)[2]是近20年開(kāi)始興起的利用計(jì)算機(jī)來(lái)模擬人類學(xué)習(xí)的一個(gè)復(fù)雜的學(xué)科。機(jī)器學(xué)習(xí)在人工智能跟統(tǒng)計(jì)分析的這兩個(gè)領(lǐng)域得到最廣泛的應(yīng)用[3]。機(jī)器學(xué)習(xí)理論主要是設(shè)計(jì)和分析一些讓計(jì)算機(jī)可以自動(dòng)“學(xué)習(xí)”的算法，是一類從數(shù)據(jù)中智能分析獲得規(guī)律，并利用規(guī)律對(duì)未知數(shù)據(jù)進(jìn)行預(yù)測(cè)的算法[4]。本文用機(jī)器學(xué)習(xí)的方法進(jìn)行研究，是因?yàn)闄C(jī)器學(xué)習(xí)具有智能性，不強(qiáng)烈依賴重量級(jí)的庫(kù)，而且還具有預(yù)測(cè)未知樣本的能力。本文涉及的機(jī)器學(xué)習(xí)算法中關(guān)鍵的技術(shù)是特征選取和分類算法。在機(jī)器學(xué)習(xí)中分類是比較重要的方向，分類的基本思想是：通過(guò)樣本的學(xué)習(xí)，得出分類器，利用分類器預(yù)測(cè)未知樣本的類型。

2.3 Android惡意軟件檢測(cè)技術(shù)

目前針對(duì)異常軟件檢測(cè)方法有兩大類，根據(jù)軟件在檢測(cè)過(guò)程中是否需要運(yùn)行軟件，將檢測(cè)技術(shù)劃分為動(dòng)態(tài)檢測(cè)技術(shù)和靜態(tài)檢測(cè)技術(shù)。

本文從節(jié)省開(kāi)銷方面考慮，設(shè)計(jì)了基于機(jī)器學(xué)習(xí)的特征值檢測(cè)方法，通過(guò)學(xué)習(xí)正常軟件和惡意軟件特征，形成分類器，利用分類器對(duì)待測(cè)樣本實(shí)現(xiàn)分類。這種方法不強(qiáng)烈依賴重量級(jí)的庫(kù)，能夠用來(lái)檢測(cè)未知的惡意軟件。本文設(shè)計(jì)了基于權(quán)限特征的智能檢測(cè)方法進(jìn)行檢測(cè)，這種方法對(duì)系統(tǒng)資源開(kāi)銷較小。

3 基于權(quán)限特征的異常軟件檢測(cè)方法

3.1 權(quán)限特征檢測(cè)方案設(shè)計(jì)

本章根據(jù)權(quán)限特征進(jìn)行分類，首先要進(jìn)行樣本的權(quán)限信息的提取，然后根據(jù)CFS算法進(jìn)行權(quán)限屬性選擇，選擇權(quán)限屬性與類屬性相關(guān)度高的屬性并且去除掉冗余屬性，然后用AODE分類器對(duì)屬性過(guò)濾后的權(quán)限特征進(jìn)行分類，通過(guò)先驗(yàn)概率計(jì)算正常與惡意的后驗(yàn)概率，最后把后驗(yàn)概率最大的類別作為該軟件的類別。整個(gè)方案的流程圖如圖1所示。

3.2 權(quán)限信息處理模塊

根據(jù)本文設(shè)計(jì)的權(quán)限特征檢測(cè)方案，要對(duì)獲取權(quán)限特征值，首先要提取軟件的權(quán)限信息，然后對(duì)提取的權(quán)限進(jìn)行特征映射形成特征向量。本文采用的是CFS算法對(duì)權(quán)限信息進(jìn)行特征提取，該算法采用的是CfsSubsetEval的評(píng)價(jià)方法，利用相關(guān)性來(lái)評(píng)價(jià)屬性子集，選取的是對(duì)類屬性具有強(qiáng)相關(guān)的以及屬性與屬性之間具有弱相關(guān)或者不相關(guān)的屬性子集作為權(quán)限特征。

3.3 AODE分類模型

本文根據(jù)一種緩解屬性間相互獨(dú)立地條件假設(shè)且性能較為出色的平均、一依賴分類器（Aggregating One-Dependence Estimators，簡(jiǎn)稱AODE）算法進(jìn)行分類。

其中，[Πxk]為[xk]的父親結(jié)點(diǎn)。由于AODE分類器是基于樸素貝葉斯算法改進(jìn)的，是對(duì)屬性間相互獨(dú)立的一種弱化，符合本文權(quán)限屬性之間不一定獨(dú)立實(shí)際情況，具有較好的應(yīng)用場(chǎng)景，所以本文中的權(quán)限特征分類的算法選用該算法來(lái)實(shí)現(xiàn)分類預(yù)測(cè)。

4 權(quán)限特征的異常軟件檢測(cè)實(shí)驗(yàn)結(jié)果與分析

4.1 實(shí)驗(yàn)樣本

為了保證樣本的多樣性，本文的正常軟件樣本包含了十類常見(jiàn)的軟件，本文實(shí)驗(yàn)中的正常和異常軟件樣本的數(shù)量，經(jīng)過(guò)人工整理，組成了500個(gè)正常樣本和 500個(gè)惡意樣本，共同組成實(shí)驗(yàn)樣本。

4.2 全部權(quán)限屬性分類算法實(shí)驗(yàn)

本實(shí)驗(yàn)用AODE分類模型與其他三種常用的分類模型進(jìn)行對(duì)比實(shí)驗(yàn)，分別對(duì)不同測(cè)試數(shù)據(jù)進(jìn)行均值計(jì)算，得出結(jié)果如表1所示。

4.3 權(quán)限特征屬性分類算法實(shí)驗(yàn)

1）實(shí)驗(yàn)過(guò)程

前面對(duì)樣本的全部權(quán)限作為特征進(jìn)行分類實(shí)驗(yàn)檢測(cè)率有較高的檢測(cè)率，接著對(duì)權(quán)限特征進(jìn)行選擇，進(jìn)行CfsSubsetEval屬性選擇后，產(chǎn)生最佳屬性子集。權(quán)限屬性由不包含類標(biāo)記的135個(gè)全部屬性，減少為15個(gè)，屬性特征數(shù)量明顯減少。

2）實(shí)驗(yàn)結(jié)果

本次實(shí)驗(yàn)與權(quán)限的全部屬性分類中采用的是相同的數(shù)據(jù)集，針對(duì)不同的訓(xùn)練樣本和測(cè)試樣本數(shù)量進(jìn)行實(shí)驗(yàn)，分別對(duì)不同測(cè)試數(shù)據(jù)進(jìn)加權(quán)平均計(jì)算，得出經(jīng)過(guò)CFS屬性選擇后的上述分類算法在不同訓(xùn)練數(shù)據(jù)的平均值如表2所示。

4.4 實(shí)驗(yàn)結(jié)果對(duì)比分析

經(jīng)過(guò)屬性選擇的AODE分類算法具有較高的準(zhǔn)確率和檢測(cè)率。屬性選擇前后，基于權(quán)限特征的異常軟件檢測(cè)結(jié)果如表3所示。

經(jīng)過(guò)屬性選擇后的特征數(shù)量明顯減少，只有15個(gè)，說(shuō)明經(jīng)過(guò)權(quán)限屬性特征選擇的AODE分類器的維數(shù)顯著減少，而分類精度基本保持不變，能明顯減小能耗開(kāi)銷，具有較好的性能。

5 結(jié)論

以上實(shí)驗(yàn)表明，本文基于AODE分類模型的分類精度相較于基礎(chǔ)的NB模型有了明顯的提高，也高于ID3和IBK的分類精度。而利用CFS算法對(duì)權(quán)限屬性進(jìn)行特征選取，得到的權(quán)限特征數(shù)量明顯減少，節(jié)省了能耗開(kāi)銷，AODE分類算法的檢測(cè)率變化不大，仍然具有較高的準(zhǔn)確率。驗(yàn)證了運(yùn)用CFS屬性選擇與AODE分類器相結(jié)合的檢測(cè)方案的優(yōu)良性，實(shí)現(xiàn)了異常軟件輕量級(jí)初步檢測(cè)。

參考文獻(xiàn)：

[1] 吳倩，趙晨嘯，郭瑩.Android安全機(jī)制解析與應(yīng)用實(shí)踐[M].北京：機(jī)械工業(yè)出版社，2013.

[2] Mitchell. Machine learning[M].Burr Ridge，IL：McGraw Hill，1997.

[3] 高新波，張軍平.機(jī)器學(xué)習(xí)及其應(yīng)用[M].北京：清華大學(xué)出版社，2015.

[4] 李航.統(tǒng)計(jì)學(xué)習(xí)方法[M].北京：清華大學(xué)出版社，2012.

【通聯(lián)編輯：代影】