基于And roid惡意軟件檢測(cè)技術(shù)的研究

田瑞凡　劉釗遠(yuǎn)

（西安郵電大學(xué)計(jì)算機(jī)學(xué)院　西安　710061）

1　引言

科學(xué)技術(shù)的不斷進(jìn)步，使得移動(dòng)通信越來(lái)越成熟，各種智能移動(dòng)設(shè)備逐漸走進(jìn)了我們的生活，并成為人們?nèi)粘Ｉ钪胁豢苫蛉钡墓ぞ?。人們?cè)谙硎艽螂娫?、發(fā)短信等傳統(tǒng)服務(wù)的同時(shí)，也可以隨時(shí)隨地地通過(guò)各種智能移動(dòng)設(shè)備享受網(wǎng)購(gòu)、社交娛樂(lè)等活動(dòng)，這也為智能移動(dòng)設(shè)備帶來(lái)了廣闊的市場(chǎng)前景，從而吸引越來(lái)越多的開(kāi)發(fā)人員加入到智能移動(dòng)設(shè)備相關(guān)開(kāi)發(fā)工作的行列中來(lái)。目前最流行的移動(dòng)開(kāi)發(fā)平臺(tái)當(dāng)屬Android和IOS了。

Android移動(dòng)開(kāi)發(fā)平臺(tái)于2007年正式發(fā)布，是一種基于Linux的開(kāi)源操作系統(tǒng)。隨后在2008年，Google發(fā)布了Android系統(tǒng)的第一個(gè)版本——Android 1.0系統(tǒng)，自此，Android進(jìn)入了人們的視眼，開(kāi)啟了一個(gè)迅猛發(fā)展的全新旅程。然而Android系統(tǒng)生態(tài)環(huán)境所建立的這種過(guò)于開(kāi)放自由式的應(yīng)用軟件市場(chǎng)，雖然在很大程度上促進(jìn)了Android應(yīng)用軟件數(shù)量的快速增長(zhǎng)，但同時(shí)也為Android應(yīng)用的安全性埋下了諸多的隱患。因?yàn)檫@種開(kāi)放性允許其他組織根據(jù)所需建立屬于自己的Android應(yīng)用市場(chǎng)，而有些應(yīng)用市場(chǎng)并沒(méi)有一個(gè)對(duì)應(yīng)用軟件嚴(yán)格審查、測(cè)試的流程［1］，即無(wú)法有效地防范惡意軟件的存在。

惡意軟件是指能夠?qū)λ拗鳈C(jī)造成傷害、或使用戶(hù)利益遭受損失的一種具有攻擊性的軟件，分為隱私竊取、惡意吸費(fèi)、遠(yuǎn)程控制、資費(fèi)消耗、流氓行為、系統(tǒng)破壞、誘騙欺詐、惡意傳播8類(lèi)。根據(jù)CNCERT/CC統(tǒng)計(jì)的數(shù)據(jù)顯示，2015年共捕獲到1477450個(gè)惡意程序樣本，相比2014年，增長(zhǎng)55.3%，其中，惡意吸費(fèi)類(lèi)程序?yàn)?48859個(gè)，占23.61%，居于榜首，同時(shí)，由于Android系統(tǒng)高度的自由開(kāi)放性，也導(dǎo)致了Android平臺(tái)遭受的惡意攻擊最為嚴(yán)重，由數(shù)據(jù)表明，針對(duì)Android平臺(tái)的惡意程序樣本所占比例約為99.6%，共計(jì)1472381個(gè)，其次是Symbian平臺(tái)，占了0.19%，共計(jì)2917個(gè)，如圖1。

圖1　2015年移動(dòng)互聯(lián)網(wǎng)惡意程序數(shù)量按操作系統(tǒng)分布

目前，Android惡意軟件檢測(cè)主要分為兩種：靜態(tài)檢測(cè)、動(dòng)態(tài)檢測(cè)。首先介紹靜態(tài)檢測(cè)方法，傳統(tǒng)的靜態(tài)檢測(cè)方法是基于簽名的，文獻(xiàn)［3］主要介紹了針對(duì)特征碼檢測(cè)的方法，這種方法有一個(gè)缺點(diǎn)，就是無(wú)法檢測(cè)未知惡意應(yīng)用。所以就出現(xiàn)了基于行為的靜態(tài)檢測(cè)方法，其中文獻(xiàn)［3～6］重點(diǎn)介紹了這種檢測(cè)方法，解決了上述所提到的無(wú)法檢測(cè)未知惡意應(yīng)用的問(wèn)題，并且代碼覆蓋率高，但對(duì)于靜態(tài)檢測(cè)無(wú)法檢出的代碼加密、以及在軟件執(zhí)行過(guò)程中惡意代碼才被解碼的問(wèn)題，依然不能夠得到很好地解決。對(duì)于動(dòng)態(tài)檢測(cè)，文獻(xiàn)［7～11］給出了目前常用的一些方法，概括來(lái)講，就是利用虛擬機(jī)、沙盒來(lái)模擬軟件的運(yùn)行，并從中獲取軟件在運(yùn)行時(shí)的CPU使用率、網(wǎng)絡(luò)訪問(wèn)、以及各種調(diào)用系統(tǒng)API的行為等。

從國(guó)內(nèi)外研究現(xiàn)狀來(lái)看，目前針對(duì)惡意軟件檢測(cè)的研究大多都著重或靜態(tài)、或動(dòng)態(tài)的檢測(cè)，而本文將結(jié)合靜態(tài)和動(dòng)態(tài)兩種檢測(cè)技術(shù)，利用靜態(tài)檢測(cè)所提取到的權(quán)限特征值、以及動(dòng)態(tài)檢測(cè)所提取到的行為特征值構(gòu)造一種混合特征，然后使用機(jī)器學(xué)習(xí)以及數(shù)據(jù)挖掘技術(shù)［12～13］對(duì)新的特征集進(jìn)行分類(lèi)判別，并根據(jù)比較結(jié)果，選定一種最優(yōu)的分類(lèi)方法，最大程度的提高用戶(hù)使用軟件的安全性。

2　基于混合特征的Android惡意軟件檢測(cè)方案

本文在對(duì)惡意軟件進(jìn)行檢測(cè)時(shí)，通過(guò)采集正常軟件和惡意軟件運(yùn)行時(shí)的CPU使用率、內(nèi)存占用量等性能指標(biāo)，以及APK文件中所包含的權(quán)限特征，構(gòu)造出一種混合特征集。在進(jìn)行實(shí)驗(yàn)的時(shí)候，將該特征集作為輸入，使用 KNN［14］、J48、Naive Bayes（NB）［15～16］以及SVM這四種分類(lèi)算法構(gòu)建惡意軟件檢測(cè)模型，實(shí)現(xiàn)對(duì)未知軟件的檢測(cè)，流程圖如圖2。

圖2　惡意軟件檢測(cè)總流程圖

2.1　靜態(tài)權(quán)限檢測(cè)

文獻(xiàn)［17］比較了良性樣本和惡意樣本對(duì)權(quán)限信息的使用情況，發(fā)現(xiàn)讀取手機(jī)狀態(tài)、讀寫(xiě)SD卡、訪問(wèn)網(wǎng)絡(luò)狀態(tài)、監(jiān)聽(tīng)手機(jī)短信等權(quán)限在惡意和良性應(yīng)用中都得到了廣泛的使用，不過(guò)，相比于惡意軟件，良性程序較少使用更改WiFi狀態(tài)的權(quán)限、開(kāi)機(jī)自啟權(quán)限以及與短信相關(guān)的權(quán)限。由此可見(jiàn)，Android系統(tǒng)的不同權(quán)限在使用頻率上存在較大差異，而且惡意應(yīng)用和正常應(yīng)用在申請(qǐng)的權(quán)限上也存在著明顯的不同，因此，可以利用Android應(yīng)用程序的權(quán)限信息對(duì)惡意軟件進(jìn)行檢測(cè)。

本模塊將會(huì)提取出惡意樣本和良性樣本在AndroidManifest.xml文件中所聲明的權(quán)限信息，作為分類(lèi)器的一部分輸入數(shù)據(jù)，并以軟件的惡意屬性或良性屬性作為分類(lèi)的唯一依據(jù)。

2.2　動(dòng)態(tài)行為檢測(cè)

惡意軟件靜態(tài)檢測(cè)方法能夠快速地檢測(cè)出己知的惡意軟件，但它也有顯而易見(jiàn)的缺陷。首先，靜態(tài)檢測(cè)方法在檢測(cè)未知惡意軟件方面顯得力不從心。其次，當(dāng)已知的惡意軟件代碼經(jīng)過(guò)加密、混淆并且重打包之后，也會(huì)變得難以辨認(rèn)。因此，針對(duì)靜態(tài)分析的這些缺點(diǎn)，本文將結(jié)合動(dòng)態(tài)檢測(cè)分析來(lái)提高對(duì)惡意軟件的檢出率。

本文所使用的動(dòng)態(tài)檢測(cè)方法主要是使用DroidBox對(duì)Android虛擬機(jī)中運(yùn)行的軟件進(jìn)行動(dòng)態(tài)檢測(cè)，重點(diǎn)監(jiān)測(cè)軟件運(yùn)行過(guò)程中的CPU使用率、內(nèi)存占有率、訪問(wèn)通訊錄、收發(fā)短信，將這些特征作為分類(lèi)器的另一部分輸入，同樣以軟件的惡意屬性或良性屬性作為分類(lèi)的唯一依據(jù)。

2.3　生成混合特征

為了提高惡意軟件檢出率，本文將采用動(dòng)態(tài)檢測(cè)分析與靜態(tài)檢測(cè)分析結(jié)合的方法，即使用靜態(tài)檢測(cè)與動(dòng)態(tài)檢測(cè)所提取到的特征值構(gòu)造出一種混合特征，然后選用KNN、J48、Naive Bayes以及SVM這四種分類(lèi)算法來(lái)構(gòu)建惡意軟件檢測(cè)模型，利用構(gòu)建的四種分類(lèi)模型分別對(duì)新的特征集進(jìn)行分類(lèi)，根據(jù)比較結(jié)果，選定一種最優(yōu)的分類(lèi)方法，實(shí)現(xiàn)對(duì)惡意軟件的檢測(cè)。

3　惡意軟件檢測(cè)實(shí)驗(yàn)

3.1　數(shù)據(jù)準(zhǔn)備

2007年，Android移動(dòng)開(kāi)發(fā)平臺(tái)發(fā)布之后，針對(duì)該平臺(tái)的惡意程序就逐年增多，盡管如此，市場(chǎng)上至今也找不到公開(kāi)的惡意軟件樣本庫(kù)。同時(shí)，由于知名的官方應(yīng)用網(wǎng)站會(huì)對(duì)所有發(fā)布的應(yīng)用軟件進(jìn)行嚴(yán)格的審查與測(cè)試，所以要想通過(guò)官方應(yīng)用市場(chǎng)獲取大量的惡意軟件樣本，幾乎是不可能的。因此本實(shí)驗(yàn)中所采用的惡意軟件樣本數(shù)據(jù)，全部是從在線惡意軟件倉(cāng)庫(kù)VirusShare中下載得到，而正常軟件樣本則全部來(lái)自于華為應(yīng)用市場(chǎng)。

本文所針對(duì)的惡意軟件主要是竊取隱私、惡意扣費(fèi)和資費(fèi)消耗這三類(lèi)軟件，為確保所獲取到的樣本不會(huì)影響到最終的實(shí)驗(yàn)結(jié)果，通過(guò)VirusTotal網(wǎng)站對(duì)所獲取到的軟件樣本進(jìn)行檢測(cè)與分類(lèi)，并最終選定258個(gè)惡意軟件樣本和249個(gè)正常軟件樣本作為本次實(shí)驗(yàn)的樣本，其中訓(xùn)練樣本包括：126個(gè)惡意軟件樣本和118個(gè)正常軟件樣本，測(cè)試樣本包括：132個(gè)惡意軟件樣本和131個(gè)正常軟件樣本。

3.2　特征提取實(shí)驗(yàn)

為了構(gòu)造出分類(lèi)所需的混合特征集，本文將分別提取APK文件中的權(quán)限特征，以及通過(guò)動(dòng)態(tài)檢測(cè)提取軟件運(yùn)行時(shí)信息特征，然后對(duì)這兩種特征進(jìn)行整合。

3.2.1靜態(tài)提取權(quán)限特征值

本實(shí)驗(yàn)需要分析Android軟件包中的相關(guān)文件，即配置文件中的權(quán)限信息，因此，對(duì)Android軟件的APK文件進(jìn)行解壓縮和反編譯，通過(guò)Apktool工具對(duì)AndroidManifest.xm l進(jìn)行反編譯，然后對(duì)反編譯后的AndroidManifest.xml文件進(jìn)行權(quán)限分析，抽取其中的權(quán)限信息單獨(dú)存儲(chǔ)。

經(jīng)過(guò)遍歷244個(gè)APK文件（惡意樣本126個(gè)、正常樣本118個(gè)），我們共得到136種權(quán)限，將這些軟件所聲明的權(quán)限特征存儲(chǔ)在矩陣中，以權(quán)限名作為橫坐標(biāo)，應(yīng)用名作為縱坐標(biāo)。當(dāng)提取一個(gè)應(yīng)用程序的權(quán)限時(shí)，若某權(quán)限特征被提取到則標(biāo)志為1，否則標(biāo)志為0。這樣，當(dāng)遍歷完所有的應(yīng)用程序時(shí)，就會(huì)得到一個(gè)明顯的數(shù)據(jù)，可以直觀地顯示每一個(gè)APK文件對(duì)權(quán)限的調(diào)用情況。

由文獻(xiàn)［17～19］可知，選擇合適的屬性子集往往會(huì)提高分類(lèi)的準(zhǔn)確率，冗余或不相關(guān)的屬性反而可能導(dǎo)致不準(zhǔn)確的模型。因此需要對(duì)所得到的種類(lèi)繁多的權(quán)限進(jìn)行篩選，刪除不利于分類(lèi)的權(quán)限特征，選取合適數(shù)量的特征用于分類(lèi)模型的構(gòu)建，以提高惡意軟件檢測(cè)的準(zhǔn)確率。

本文將通過(guò)Weka數(shù)據(jù)挖掘軟件對(duì)權(quán)限進(jìn)行分級(jí)評(píng)分，即使用InfoGainAttributeEval評(píng)估器，評(píng)估各個(gè)權(quán)限屬性，利用Ranker“搜索”方法，對(duì)這些屬性在預(yù)測(cè)目標(biāo)方面的重要程度進(jìn)行排名，得出各個(gè)權(quán)限的危險(xiǎn)系數(shù)評(píng)分，根據(jù)評(píng)分選取評(píng)分最高的30個(gè)權(quán)限作為最終分類(lèi)特征，然后對(duì)這30個(gè)權(quán)限特征進(jìn)行整理，放入一個(gè).arff文件中，以作為分類(lèi)器的輸入。

3.2.2提取軟件運(yùn)行時(shí)信息

本文將使用DroidBox進(jìn)行自動(dòng)分析，DroidBox是一款基于TrainDroid設(shè)計(jì)的沙盒分析工具，可以自動(dòng)對(duì)Android APP進(jìn)行動(dòng)態(tài)分析，所得到的結(jié)果被放入log.txt日志文件中，該文件包含的內(nèi)容有：1）發(fā)送短信及通話信息；2）使用Android API操作的密碼活動(dòng)；3）繞過(guò)的權(quán)限信息；4）內(nèi)外部通信數(shù)據(jù)信息等等。

此外，由于Android是基于Linux系統(tǒng)內(nèi)核的，在Linux系統(tǒng)中查看系統(tǒng)資源消耗情況可以直接通過(guò)命令行，在Android系統(tǒng)上保留了此功能，因此，對(duì)于實(shí)驗(yàn)所需的CPU占有量、內(nèi)存使用率均可以在進(jìn)入模擬器的Shell模式后，使用命令行的方式獲取得到。

按照上述方法，遍歷所有的軟件樣本，提取本實(shí)驗(yàn)所需的特征值，即軟件運(yùn)行中的CPU使用率、內(nèi)存占有率、訪問(wèn)通訊錄、收發(fā)短信，然后將這些特征值添加到3.2.1節(jié)創(chuàng)建的.arff文件中，作為分類(lèi)器的輸入。

4　實(shí)驗(yàn)結(jié)果與分析

4.1　分類(lèi)模型評(píng)估

分類(lèi)模型最常用到的評(píng)估標(biāo)準(zhǔn)有五種：預(yù)測(cè)的準(zhǔn)確率、魯棒性、速度、可解釋性、可伸縮性。

其中，預(yù)測(cè)的準(zhǔn)確率常常用來(lái)對(duì)分類(lèi)器的性能進(jìn)行評(píng)估和比較，對(duì)于二元分類(lèi)問(wèn)題，預(yù)測(cè)可能會(huì)產(chǎn)生四種相異的結(jié)果，如表1所示。TP（True Positive）表示良性軟件預(yù)測(cè)為真的個(gè)數(shù)，TN（Ture Negative）表示惡意軟件預(yù)測(cè)為真的個(gè)數(shù)，這兩個(gè)都是正確分類(lèi)的結(jié)果。FP（False Positive）表示良性軟件預(yù)測(cè)為假的個(gè)數(shù)，即真實(shí)類(lèi)別為no、而預(yù)測(cè)類(lèi)別為yes；FN（False Negative）表示惡意軟件預(yù)測(cè)為假的個(gè)數(shù)，即真實(shí)類(lèi)別為yes、預(yù)測(cè)類(lèi)別為no。

表1　二元分類(lèi)預(yù)測(cè)的四種結(jié)果

二元分類(lèi)問(wèn)題的度量標(biāo)準(zhǔn)簡(jiǎn)單描述如下。

真陽(yáng)性率（True Positive Rate，TPR）表示在所有實(shí)際為正常的軟件中，被正確的預(yù)測(cè)為良性軟件的比例，該值越大，表明分類(lèi)效果越好，公式如下：

假陰性率（False Negative Rate，F(xiàn)NR）表示惡意軟件漏檢率，該值越小，表明分類(lèi)效果越好，公式如下：

準(zhǔn)確率（Accuracy，ACC）表示軟件樣本預(yù)測(cè)正確的比例，該值越大，表明分類(lèi)效果越好，公式如下：

本文將通過(guò)上述度量標(biāo)準(zhǔn)對(duì)測(cè)試結(jié)果進(jìn)行評(píng)估驗(yàn)證。

4.2　實(shí)驗(yàn)結(jié)果及分析

本文采用動(dòng)態(tài)檢測(cè)分析和靜態(tài)檢測(cè)分析相結(jié)合的方法，構(gòu)建惡意軟件檢測(cè)模型。為了表明該方法的有效性，首先對(duì)靜態(tài)檢測(cè)所提取到的特征值進(jìn)行分類(lèi)，根據(jù)4.1節(jié)所介紹的度量標(biāo)準(zhǔn)，利用式（1）～（3）進(jìn)行分類(lèi)評(píng)估，結(jié)果如表2。

表2　靜態(tài)檢測(cè)的分類(lèi)評(píng)估結(jié)果

然后，再對(duì)動(dòng)態(tài)檢測(cè)所提取到的行為特征值進(jìn)行分類(lèi)，同樣利用式（1）～（3）進(jìn)行分類(lèi)評(píng)估，結(jié)果如表3。

表3　動(dòng)態(tài)檢測(cè)的分類(lèi)評(píng)估結(jié)果

最后，我們通過(guò)對(duì)本實(shí)驗(yàn)所提出的方案進(jìn)行測(cè)試驗(yàn)證，即通過(guò)靜態(tài)檢測(cè)提取出的權(quán)限特征值、動(dòng)態(tài)檢測(cè)提取出的行為特征值，構(gòu)造一種混合特征集，然后對(duì)該混合特征集進(jìn)行分類(lèi)檢測(cè)，分類(lèi)結(jié)果和評(píng)估結(jié)果分別如表4、表5。

表4　混合特征的分類(lèi)結(jié)果

表5　混合特征的評(píng)估結(jié)果

通過(guò)實(shí)驗(yàn)對(duì)比結(jié)果可知，混合特征的檢測(cè)準(zhǔn)確率均比靜態(tài)權(quán)限特征值或動(dòng)態(tài)行為特征值的檢測(cè)率高，表明本文所提出的方案能夠有效地提高惡意軟件檢測(cè)的準(zhǔn)確率，并且在選定的這四種分類(lèi)算法中，J48的分類(lèi)準(zhǔn)確率最高，為87.07%，說(shuō)明該分類(lèi)算法對(duì)本文所構(gòu)造的混合特征的分類(lèi)效果最優(yōu)。

根據(jù)實(shí)驗(yàn)比較結(jié)果，最終選定J48作為本實(shí)驗(yàn)方案的分類(lèi)算法，以此提高用戶(hù)使用軟件的安全性。

5　結(jié)語(yǔ)

本文采用動(dòng)態(tài)分析和靜態(tài)分析相結(jié)合的方法，并使用機(jī)器學(xué)習(xí)及數(shù)據(jù)挖掘技術(shù)，對(duì)258個(gè)惡意樣本和249個(gè)良性樣本進(jìn)行仿真實(shí)驗(yàn)，結(jié)果表明，該方法能夠有效地提高惡意軟件檢測(cè)的準(zhǔn)確率。

本文所提出的方案雖然具備一定的檢測(cè)效果，但只針對(duì)惡意吸費(fèi)、隱私竊取及資費(fèi)消耗這三類(lèi)惡意軟件，不能夠很好地檢測(cè)所有的惡意軟件類(lèi)別，因此，提出一種可針對(duì)任意類(lèi)別惡意軟件的檢測(cè)方案至關(guān)重要。

［1］李曉洲.Android應(yīng)用程序組件漏洞測(cè)試方法研究［D］.太原：太原理工大學(xué)，2015.LI Xiaozhou.Study of Android Application Component Vulnerability Testing Method［D］.Taiyuan：Taiyuan University of Technology，2015.

［2］王菲飛.基于Android平臺(tái)的手機(jī)惡意代碼檢測(cè)與防護(hù)技術(shù)研究［D］.北京：北京交通大學(xué)，2012.WANG Feifei.Study on Detection and Protection Techniques of Mobile Phone Malicious Code Under the Android Platform［D］.Beijing：Beijing Jiaotong University，2012.

［3］房鑫鑫.Android惡意軟件實(shí)現(xiàn)及檢測(cè)研究［D］.南京：南京郵電大學(xué)，2013.FANG Xinxin.Malware Implementation and Detection on Android［D］.Nanjing：Nanjing University of Posts and Telecommunications，2013.

［4］Wang，T.-Y.，Wu，C.-H.，Hsieh，C.-C.：A Virus Prevention Model Based on Static Analysis and Data Mining Methods［C］//In：Proceedings of the 2008 IEEE 8th InternationalConference on Computerand Information TechnologyWorkshops，CITWORKSHOPS 2008，pp.288-293.

［5］ MZheng，MSun，JCS Lui，Droid Analytics：A Signature-Based Analytic System to Collect，Extract，Analyze and Associate Android Malware［J］.IEEE Computer Society，2013，8（1）：163-171.

［6］劉曉東，何加銘，等.一種靜態(tài)Android程序惡意性檢測(cè)方法［J］.無(wú)線電通信技術(shù)，2014，40（2）：74-77.LIU Xiaodong，HE Jiaming，et al.Malicious Android Application Detection Method Based on Static Behavior Characteristics［J］.Radio Communications Technology，2014，40（2）：74-77.

［7］Blasing T，Batyuk L，Schmidt A D，etal.An android application sandbox system for suspicious software detection［C］//Malicious and unwanted software（MALWARE），2010 5th international conference on.IEEE，2010：55-62.

［8］Burguera I，Zurutuza U，Nadjm-TehraniS.Crowdroid：behavior-based malware detection system for android［C］//Proceedings of the 1st ACM workshop on Security and privacy in smartphones and mobile devices.ACM，2011：15-26.

［9］Yan L K，Yin H.DroidScope：Seam lessly Reconstructing the OS and Dalvik Semantic Views for Dynamic Android Malware Analysis［C］//USENIXSecurity Symposium，2012：569-584.

［10］李銘.Android平臺(tái)下基于行為的惡意代碼檢測(cè)技術(shù)研究［D］.成都：電子科技大學(xué)，2014.Li Ming.Android Malware Detection Based on Behavior Analysis［D］.Chengdu：University of Electronic Science and Technology of China，2014.

［11］楊文.基于支持向量機(jī)的Android惡意軟件檢測(cè)方法研究［D］.南京：南京理工大學(xué)，2015.YANG Wen.Research on Android malware detection method based on SVM［D］.Nanjing：Nanjing University of Science and Technology，2015.

［12］蔡澤廷.基于機(jī)器學(xué)習(xí)的Android惡意軟件檢測(cè)模型研究［D］.青島：青島理工大學(xué)，2013.CAI Zeting.Research of Android Malware Detection Model Based on Machine Learning［D］.Qingdao：Qingdao Technological University，2013.

［13］李駿驍.基于監(jiān)督型機(jī)器學(xué)習(xí)分類(lèi)方法的Android惡意軟件檢測(cè)技術(shù)研究［D］.南京：南京大學(xué)，2014.LI Junxiao.The Research on Android Malware Deletion Techniques in Supervised Machine Learning Classification Methods［D］.Nanjing：Nanjing University，2014.

［14］劉曉明.基于KNN算法的Android應(yīng)用異常檢測(cè)技術(shù)研究［D］.北京：北京交通大學(xué)，2016.LIU Xiaoming.Anomaly Detection of Malicious Android Application Based on K-Nearest Neighbor［D］.Beijing：Beijing Jiaotong University，2016.

［15］張國(guó)印，曲家興，李曉光.基于貝葉斯網(wǎng)絡(luò)的Android惡意行為檢測(cè)方法［J］.計(jì)算機(jī)工程與應(yīng)用，2016，52（17）：16-23.ZHANG Guoyin，QU Jiaxing，LIXiaoguang.Way of Android malicious behavior detection based on Bayesian net-works.Computer Engineering and Applications，2016，52（17）：16-23.

［16］遲慶云，劉夢(mèng)琳，姜振鳳，等.特征提取方法對(duì)樸素貝葉斯文本分類(lèi)器的影響分析［J］.長(zhǎng)江大學(xué)學(xué)報(bào)（自科版），2013，10（25）：91-93.CHIQingyun，LIUMenglin，JIANG Zhenfeng，etal.Analysis of the influence of feature extractionmethods on Naive Bayes text classifier［J］.Journal of Yangtze University（Natural Science Edition），2013，10（25）：91-93.

［17］ZHOU Yajin，JIANG Xuxian.Dissecting Android malware：characterization and evolution［C］//Proc of IEEE Symposium on Security and Privacy.Washington DC：IEEEComputer Society，2012：95-109.

［18］Aswini A M，Vinod P.Droid permission miner：mining prominentpermissions for Androidmalware analysis［C］//Proc of the 5th International Conference on the Applications ofDigital Information andWeb Technologies，2014：81-86.

［19］盧文清，何加銘，曾興斌，等.基于混合特征的Android惡意軟件靜態(tài)檢測(cè)［J］.無(wú)線電通信技術(shù)，2014，40（6）：64-68.LUWenqing，HE Jiaming，ZENG Xingbin，etal.Android Malware Static Detection Based on Hybrid Features［J］.Radio Communications Technology，2014，40（6）：64-68.

［20］張銳，楊吉云.基于權(quán)限相關(guān)性的Android惡意軟件檢測(cè)［J］.計(jì)算機(jī)應(yīng)用，2014，34（5）：1322-1325.ZHANG Rui，YANG Jiyun.Android malware detection based on permission correlation［J］.Computer Technology，2014，34（5）：1322-1325.