[发明专利]一种基于改进朴素贝叶斯算法和门控循环单元混合的恶意软件检测方法

权利要求书

1.一种基于改进朴素贝叶斯算法和门控循环单元混合的恶意软件检测方法，其特征在于：所述方法通过以下步骤实现：

步骤一、使用apktool对待检测软件样本集文件进行反编译，得到应用程序的反编译资源文件，包括：AndroidManifest.xml清单文件和smali字节码文件；

步骤二、从反编译资源文件中提取特征集合，包括：Permission集合、Intent集合和敏感API集合；将提取的特征几何按使用次数从低到高排序，选择频率高的特征合并为特征集，并对特征集进行量化；其中，

Permission集合和Intent集合从AndroidManifest.xml文件中得到；

敏感API集合从smali文件中得到；通过baksmali工具对classes.dex文件进行反编译解析，得出被调用的API接口，chmod是用于改变用户权限的敏感API；通过解析classes.dex文件，得到敏感API特征；

步骤三、采用门控循环单元处理具有时序变化的特征，以进行检测动态特征。

2.根据权利要求1所述一种基于改进朴素贝叶斯算法和门控循环单元混合的恶意软件检测方法，其特征在于：步骤二所述的从反编译资源文件中提取特征集合，具体为利用规则挖掘算法和TF-IDF算法相关联的方法处理静态特征，去除关联性较大的特征，提取静态特征，并对朴素贝叶斯算法进行加权处理，降低特征维度，去除冗余特征；其中，静态特征包括请求的权限、组件、意图和敏感API。

3.根据权利要求1所述一种基于改进朴素贝叶斯算法和门控循环单元混合的恶意软件检测方法，其特征在于：步骤三所述的采用门控循环单元处理具有时序变化的特征，以进行检测动态特征具体为，通过模拟器或者移动设备安装Xpoesd框架，获得root权限，通过自动化测试工具Monkey Runner+动态分析工具Inspeckage来提取动态特征；

其中，动态特征是指Android应用软件运行时的行为特征，包括文件读写操作、通话请求、短信请求、数据加解密操作、网络数据输入输出、读取私人信息，这些行为能够表现应用软件的行为意图。