[发明专利]一种基于稀疏表示和模型融合的Android Malware分类方法有效
| 申请号: | 201811331646.2 | 申请日: | 2018-11-09 |
| 公开(公告)号: | CN109508545B | 公开(公告)日: | 2021-06-04 |
| 发明(设计)人: | 文伟平;胡浩然;汪子龙 | 申请(专利权)人: | 北京大学 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06K9/62 |
| 代理公司: | 北京万象新悦知识产权代理有限公司 11360 | 代理人: | 黄凤茹 |
| 地址: | 100871*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公布了一种基于稀疏表示和模型融合的Android Malware安卓恶意软件的分类方法,通过采用稀疏表示的方法,表示安卓恶意程序Android Malware的行为特征;再采用Stacking模型融合方法进行分类预测,由此提升模型预测性能。本发明方法对从程序中提取的原始特征进行了稀疏表示,获得恶意程序更加本质的特征;模型的拟合可在基础模型之上,从而实现更加高泛化能力的模型,提高安卓恶意软件分类的精确程度。 | ||
| 搜索关键词: | 一种 基于 稀疏 表示 模型 融合 android malware 分类 方法 | ||
【主权项】:
1.一种基于稀疏表示和模型融合的安卓恶意程序Android Malware分类方法,通过采用稀疏表示的方法,表示安卓恶意程序Android Malware的行为特征;再采用Stacking模型融合方法进行分类预测,由此提升模型预测性能;包括如下步骤:A.提取安卓恶意程序的行为特征;执行如下操作:A1.下载并安装QEMU模拟器;A2.针对安卓恶意程序的数据集,在QEMU模型器上运行数据集中的每一个安卓恶意程序,对其系统调用的API进行检测;A3.得到API时序调用序列及相关信息,标记病毒类型并存入病毒库;B.稀疏表示API时序调用序列数据,作为恶意程序的行为特征;具体执行如下操作:B1.设置F是n*p的恶意程序行为特征的矩阵,其中,n表示恶意程序的数量,p表示从恶意程序中提取出行为特征的维度;B2.使用K‑SVD算法进行训练学习,目标函数为下式:D,X=argmin{||X||0};s.t.||F‑D*X||2≤ε其中,D是从数据集中学习得到的字典集;X是数据集的稀疏表示;ε是重构特征矩阵是允许误差的最大值;B3.经过学习得到恶意程序行为特征矩阵的稀疏表示X;C.模型的Stacking融合,执行如下操作:C1.选择{RF,ET,AB,GBDT}作为第一层的基础模型,对X做出预测并输出每个类对应的概率;C2.将XgBoost作为第二层的融合模型,模型输入是第一层基础模型的预测结果,输出最终的分类结果,即恶意程序类型;通过上述步骤,实现基于稀疏表示和模型融合的Android Malware安卓恶意软件分类。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京大学,未经北京大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201811331646.2/,转载请声明来源钻瓜专利网。
