[发明专利]一种基于稀疏表示和模型融合的Android Malware分类方法

权利要求书

1.一种基于稀疏表示和模型融合的安卓恶意程序Android Malware分类方法，通过采用稀疏表示的方法，表示安卓恶意程序Android Malware的行为特征；再采用Stacking模型融合方法进行分类预测，由此提升模型预测性能；包括如下步骤：

A.提取安卓恶意程序的行为特征；执行如下操作：

A1.下载并安装QEMU模拟器；

A2.针对安卓恶意程序的数据集，在QEMU模型器上运行数据集中的每一个安卓恶意程序，对其系统调用的API进行检测；

A3.得到API时序调用序列及相关信息，标记病毒类型并存入病毒库；

B.稀疏表示API时序调用序列数据，作为恶意程序的行为特征；具体执行如下操作：

B1.设置F是n*p的恶意程序行为特征的矩阵，其中，n表示恶意程序的数量，p表示从恶意程序中提取出行为特征的维度；

B2.使用K-SVD算法进行训练学习，目标函数为下式：

D,X＝argmin{||X||₀}；s.t.||F-D*X||₂≤ε

其中，D是从数据集中学习得到的字典集；X是数据集的稀疏表示；ε是重构特征矩阵所允许误差的最大值；

B3.经过学习得到恶意程序行为特征矩阵的稀疏表示X’；

C.模型的Stacking融合,执行如下操作：

C1.选择{RF，ET，AdaBoost，GBDT}作为第一层的基础模型，对X’做出预测并输出每个类对应的概率；

C2.将XgBoost作为第二层的融合模型，模型输入是第一层基础模型的预测结果，输出最终的分类结果，即恶意程序类型；

通过上述步骤，实现基于稀疏表示和模型融合的Android Malware安卓恶意软件分类。

2.如权利要求1所述分类方法，其特征是，安卓恶意程序的数据集具体通过网络下载得到。

3.如权利要求1所述分类方法，其特征是，步骤A3具体对每一个受监控进程，通过进程PC指针对比每一个调用的主程序API，进行API的捕获，得到API的时序调用序列及相关信息；相关信息包括类名、函数名和函数参数。

4.如权利要求1所述分类方法，其特征是，步骤C具体通过调用sklearn.ensemble的python库中的RF、ET、AdaBoost、GBDT，作为第一层的基础模型；具体通过调用sklearn.model_selection的GridSearchCV，对X’进行自动调参的训练。

5.如权利要求4所述分类方法，其特征是，对基础模型，将X’分成训练集和测试集，采用5-Fold的交叉验证，每次留出其中的1份数据，其余的4份数据用于训练；利用训练得到的模型对留出的一份数据和测试集分别进行预测；预测过程包括多次循环，每次预测得到的结果为每个类对应的概率。

6.如权利要求5所述分类方法，其特征是，将在测试集上进行多次预测得到的多个结果求取算数平均数，作为预测结果。