CN105426760A - 一种安卓恶意应用的检测方法及装置 - Google Patents

Abstract

本发明提供了一种安卓恶意应用的检测方法及装置，涉及安卓系统技术领域，方法包括获取由恶意应用样本和正常应用样本组成的训练样本集；对所述训练样本集进行融合特征提取，并通过主分量分析法对提取出的融合特征进行选择，获取安卓应用相关融合特征；根据所述安卓应用相关融合特征建立基于极限学习机的恶意应用检测模型；根据所述基于极限学习机的恶意应用检测模型对待测试的安卓应用进行检测，确定所述待测试的安卓应用是否为恶意应用。本发明能够解决当前的通过基于特征码、基于静态源码分析或者基于动态行为等检测方法均可能造成安卓恶意应用的检测失败，不能正确确定恶意应用的问题。

Description

一种安卓恶意应用的检测方法及装置

技术领域

本发明涉及安卓系统技术领域，尤其涉及一种安卓恶意应用的检测方法及装置。

背景技术

当前，随着安卓(Android)移动智能终端的迅速普及，安卓应用(APP)的种类、数量也正在呈井喷式增长。然而，随之而来的网络与信息安全问题日益凸显，移动智能终端安全事件层出不穷，移动恶意应用肆意泛滥，个人隐私窃取、资费消耗等安全问题时有发生，严重影响行业的健康发展。而上述这些问题，大多是由移动恶意代码造成的。移动恶意代码通常在APP软件开发或二次打包过程中植入，通过诱骗欺诈、隐私窃取、恶意扣费等方式攫取经济利益或传播垃圾信息。其中恶意应用增长尤其迅猛，给智能终端用户带来了严重的经济损失。

为了避免恶意应用对安卓用户的损害，一般需要对恶意应用进行检测。国内外典型的安卓平台恶意代码检测技术主要有基于特征码、基于静态源码分析或者基于动态行为的检测方法。基于特征码的恶意应用检测方法是基于在被测样本中检测已经定义好的恶意代码的特征码。特征码是恶意代码分析工程师在对恶意应用进行逆向分析后提取出的一段字节序列。利用该字节序列与目标样本文件做比对判断是否包含恶意代码。特征码包含偏移地址和该地址的二进制信息，比如字符串、操作码、资源信息等。特征码往往需要手工处理分析得到，需要花费很长的时间和人力成本。基于静态源码分析是在不运行代码的方式下，通过语法分析、语言结构分析和控制流/数据流分析等技术对程序代码进行扫描分析得到敏感数据以及应用程序编程接口(ApplicationProgrammingInterface，API)调用；最后，根据预先制定的的对敏感数据以及API调用进行分析，确定是否为恶意行为。然而，基于静态源码分析方法无法检测代码混淆或加密的APP。基于动态行为的检测方法主要是分析安卓应用的系统调用、网络访问、文件和内存等方面的信息。将应用置于一个受控的环境中运行，监控应用与外界发生交互，例如调用操作系统API，或者使用通信功能收发数据，这些行为就会立刻被受控环境捕获并记录在案。通过对这些记录进行分析，判断应用中是否存在恶意行为。当然，动态行为监测方法也容易被恶意代码检测和反制。

可见，由于安卓恶意应用的数量和种类越来越多，以及安卓恶意应用反逆向、加固、抗检测技术不断发展增强当前对安卓恶意应用的检测较为困难，通过基于特征码、基于静态源码分析或者基于动态行为等检测方法均可能造成安卓恶意应用的检测失败，不能正确确定恶意应用。

发明内容

本发明的实施例提供一种安卓恶意应用的检测方法及装置，以解决当前的通过基于特征码、基于静态源码分析或者基于动态行为等检测方法均可能造成安卓恶意应用的检测失败，不能正确确定恶意应用的问题。

为达到上述目的，本发明采用如下技术方案：

一种安卓恶意应用的检测方法，包括：

获取由恶意应用样本和正常应用样本组成的训练样本集；

对所述训练样本集进行融合特征提取，并通过主分量分析法对提取出的融合特征进行选择，获取安卓应用相关融合特征；

根据所述安卓应用相关融合特征建立基于极限学习机的恶意应用检测模型；

根据所述基于极限学习机的恶意应用检测模型对待测试的安卓应用进行检测，确定所述待测试的安卓应用是否为恶意应用。

具体的，对所述训练样本集进行融合特征提取，包括：

对所述训练样本集进行基于静态分析的特征提取，形成所述训练样本集的静态特征；

对所述训练样本集进行基于动态分析的特征提取，形成所述训练样本集的动态特征；

对所述训练样本集进行基于网络流量的特征提取，形成所述训练样本集的网络流量特征；

将所述训练样本集的静态特征、动态特征以及网络流量特征进行融合，形成融合特征。

具体的，对所述训练样本集进行基于静态分析的特征提取，形成所述训练样本集的静态特征，包括：

获取所述训练样本集中各应用调用安卓系统组件的情况数据，并根据所述各应用调用安卓系统组件的情况数据确定第一静态特征向量X_static1；

获取所述训练样本集中各应用所申请的安卓系统权限和调用API情况的统计数据，并根据所述各应用所申请的安卓系统权限和调用API情况的统计数据确定第二静态特征向量X_static2。

具体的，对所述训练样本集进行基于动态分析的特征提取，形成所述训练样本集的动态特征，包括：

获取所述训练样本集中各应用调用安卓敏感API的次数；

根据所述各应用调用安卓敏感API的次数确定动态特征向量X_dynamic。

具体的，对所述训练样本集进行基于网络流量的特征提取，形成所述训练样本集的网络流量特征，包括：

获取所述训练样本集中各应用所用TCP数据包的数据包大小、数据包数量、平均数据包大小、连接的IP地址数；

根据各应用所用TCP数据包的数据包大小、数据包数量、平均数据包大小、连接的IP地址数，确定所述训练样本集的网络流量特征向量X_traffic。

具体的，将所述训练样本集的静态特征、动态特征以及网络流量特征进行融合，形成融合特征，包括：

将所述第一静态特征向量X_static1、第二静态特征向量X_static2、动态特征向量X_dynamic以及网络流量特征向量X_traffic进行融合叠加，获取得到融合特征X；X＝[X_static1,X_static2,X_dymatic,X_traffic]。

具体的，通过主分量分析法对提取出的融合特征进行选择，获取安卓应用相关融合特征，包括：

根据所述融合特征X生成融合特征矩阵A；所述融合特征矩阵A为N×K矩阵，且其中，N为训练样本集中的应用样本数目；K为融合特征矩阵A的维数。

对所述融合特征矩阵A进行归一化处理，得到归一化特征矩阵S；其中，S＝(S_ij)_N×K；所述为所述融合特征矩阵A每一列的均值，所述D_j为所述融合特征矩阵A每一列的标准差， $D_j=\sqrt{\frac{1}{N-1}\underset{i=1}{\overset{N}{\Σ}}{(A_{ij}-{\stackrel{\‾}{A}}_j)}^2},j=1,2,...,K;$

确定所述归一化特征矩阵S的相关系数矩阵R_s；其中，S^T为归一化特征矩阵S的转置；

计算相关系数矩阵R_s的特征值的累计贡献率B_t；其中，所述相关系数矩阵R_s的特征值为λ_i，λ_i＝{λ₁,λ₂,...,λ_K}，λ₁≥λ₂≥...≥λ_K，所述特征值λ_i对应的特征向量为E，E＝{E₁,E₂,...,E_K}； $B_t=\underset{i=1}{\overset{t}{\Σ}}{\mathrm{\λ}}_i/\underset{i=1}{\overset{K}{\Σ}}{\mathrm{\λ}}_i;t=1,2,\mathrm{...},K;$

根据一预先设置的提取效率p，从特征向量E中选取T个主成分；其中，T＝min{t|B_t≥p,t＝1,2,…,K}；

确定所述归一化特征矩阵S在提取出的T个特征向量E上的投影X’，将所述X’确定为安卓应用相关融合特征；其中，X'＝SE。

具体的，根据所述安卓应用相关融合特征建立基于极限学习机的恶意应用检测模型，包括：

获取包含所述安卓应用相关融合特征X’的N个训练样本其中Y_i为样本类别标签；Y_i∈{-1,1}；

获取预先设置的隐层节点输出函数g(x)、隐层节点M、前馈神经网络的输入权值W_i和偏置b_i；其中g(x)为径向基函数；

根据训练样本预先设置的隐层节点输出函数g(x)、隐层节点M、前馈神经网络的输入权值W_i和偏置b_i，计算隐层节点的输出矩阵H；

$H(W_1,...,W_M,b_1,...,b_M,X_1,...,X_N)={\left[\begin{array}{ccc}g(W_1\·X_1+b_1)& \mathrm{...}& g(W_M\·X_1+b_M)\\ .& & .\\ .& \mathrm{...}& .\\ .& & .\\ g(W_1\·X_N+b_1)& \mathrm{...}& g(W_M\·X_N+b_M)\end{array}\right]}_{N\×M}$

根据隐层节点的输出矩阵H和期望输出Y，确定输出权重其中， 为所述隐层节点的输出矩阵H的Moore-Penrose广义逆； $Y={\left[\begin{array}{c}{Y_1}^T\\ .\\ .\\ .\\ Y_N^T\end{array}\right]}_{N\×M};$

根据隐层节点的输出矩阵H、前馈神经网络的输入权值W_i、偏置b_i以及输出权重确定基于极限学习机的恶意应用检测模型：

f(X)＝sgn(H(W,b)β)。

具体的，根据所述基于极限学习机的恶意应用检测模型对待测试的安卓应用进行检测，确定所述待测试的安卓应用是否为恶意应用，包括：

获取待测试的安卓应用的安卓应用相关融合特征X”；

根据所述待测试的安卓应用的安卓应用相关融合特征X”以及基于极限学习机的恶意应用检测模型f(X)＝sgn(H(W,b)β)确定待测试的安卓应用的输出值；

若所述输出值为1，则确定所述待测试的安卓应用为正常应用；

若所述输出值为-1，则确定所述待测试的安卓应用为恶意应用。

一种安卓恶意应用的检测装置，包括：

训练样本集获取单元，用于获取由恶意应用样本和正常应用样本组成的训练样本集；

特征提取融合单元，用于对所述训练样本集进行融合特征提取，并通过主分量分析法对提取出的融合特征进行选择，获取安卓应用相关融合特征；

模型建立单元，用于根据所述安卓应用相关融合特征建立基于极限学习机的恶意应用检测模型；

检测单元，用于根据所述基于极限学习机的恶意应用检测模型对待测试的安卓应用进行检测，确定所述待测试的安卓应用是否为恶意应用。

具体的，所述特征提取融合单元，包括：

静态特征提取模块，用于对所述训练样本集进行基于静态分析的特征提取，形成所述训练样本集的静态特征；

动态特征提取模块，用于对所述训练样本集进行基于动态分析的特征提取，形成所述训练样本集的动态特征；

网络流量特征提取模块，用于对所述训练样本集进行基于网络流量的特征提取，形成所述训练样本集的网络流量特征；

融合模块，用于将所述训练样本集的静态特征、动态特征以及网络流量特征进行融合，形成融合特征。

此外，所述静态特征提取模块，具体用于：

获取所述训练样本集中各应用调用安卓系统组件的情况数据，并根据所述各应用调用安卓系统组件的情况数据确定第一静态特征向量X_static1；

获取所述训练样本集中各应用所申请的安卓系统权限和调用API情况的统计数据，并根据所述各应用所申请的安卓系统权限和调用API情况的统计数据确定第二静态特征向量X_static2。

此外，所述动态特征提取模块，具体用于：

获取所述训练样本集中各应用调用安卓敏感API的次数；

根据所述各应用调用安卓敏感API的次数确定动态特征向量X_dynamic。

另外，所述网络流量特征提取模块，具体用于：

获取所述训练样本集中各应用所用TCP数据包的数据包大小、数据包数量、平均数据包大小、连接的IP地址数；

根据各应用所用TCP数据包的数据包大小、数据包数量、平均数据包大小、连接的IP地址数，确定所述训练样本集的网络流量特征向量X_traffic。

此外，所述融合模块，具体用于：

将所述第一静态特征向量X_static1、第二静态特征向量X_static2、动态特征向量X_dynamic以及网络流量特征向量X_traffic进行融合叠加，获取得到融合特征X；X＝[X_static1,X_static2,X_dymatic,X_traffic]。

另外，特征提取融合单元，具体用于：

根据所述融合特征X生成融合特征矩阵A；所述融合特征矩阵A为N×K矩阵，且其中，N为训练样本集中的应用样本数目；K为融合特征矩阵A的维数。

对所述融合特征矩阵A进行归一化处理，得到归一化特征矩阵S；其中，S＝(S_ij)_N×K；所述为所述融合特征矩阵A每一列的均值，所述D_j为所述融合特征矩阵A每一列的标准差， $D_j=\sqrt{\frac{1}{N-1}\underset{i=1}{\overset{N}{\Σ}}{(A_{ij}-{\stackrel{\‾}{A}}_j)}^2},j=1,2,...,K;$

确定所述归一化特征矩阵S的相关系数矩阵R_s；其中，S^T为归一化特征矩阵S的转置；

计算相关系数矩阵R_s的特征值的累计贡献率B_t；其中，所述相关系数矩阵R_s的特征值为λ_i，λ_i＝{λ₁,λ₂,...,λ_K}，λ₁≥λ₂≥...≥λ_K，所述特征值λ_i对应的特征向量为E，E＝{E₁,E₂,...,E_K}； $B_t=\underset{i=1}{\overset{t}{\Σ}}{\mathrm{\λ}}_i/\underset{i=1}{\overset{K}{\Σ}}{\mathrm{\λ}}_i;t=1,2,\mathrm{...},K;$

根据一预先设置的提取效率p，从特征向量E中选取T个主成分；其中，T＝min{t|B_t≥p,t＝1,2,…,K}；

确定所述归一化特征矩阵S在提取出的T个特征向量E上的投影X’，将所述X’确定为安卓应用相关融合特征；其中，X'＝SE。

此外，所述模型建立单元，具体用于：

获取包含所述安卓应用相关融合特征X’的N个训练样本其中Y_i为样本类别标签；Y_i∈{-1,1}；

获取预先设置的隐层节点输出函数g(x)、隐层节点M、前馈神经网络的输入权值W_i和偏置b_i；其中g(x)为径向基函数；

根据训练样本预先设置的隐层节点输出函数g(x)、隐层节点M、前馈神经网络的输入权值W_i和偏置b_i，计算隐层节点的输出矩阵H；

$H(W_1,...,W_M,b_1,...,b_M,X_1,...,X_N)={\left[\begin{array}{ccc}g(W_1\·X_1+b_1)& \mathrm{...}& g(W_M\·X_1+b_M)\\ .& & .\\ .& \mathrm{...}& .\\ .& & .\\ g(W_1\·X_N+b_1)& \mathrm{...}& g(W_M\·X_N+b_M)\end{array}\right]}_{N\×M}$

根据隐层节点的输出矩阵H和期望输出Y，确定输出权重其中， 为所述隐层节点的输出矩阵H的Moore-Penrose广义逆； $Y={\left[\begin{array}{c}{Y_1}^T\\ .\\ .\\ .\\ Y_N^T\end{array}\right]}_{N\×M};$

根据隐层节点的输出矩阵H、前馈神经网络的输入权值W_i、偏置b_i以及输出权重确定基于极限学习机的恶意应用检测模型：

f(X)＝sgn(H(W,b)β)。

另外，所述检测单元，具体用于：

获取待测试的安卓应用的安卓应用相关融合特征X”；

根据所述待测试的安卓应用的安卓应用相关融合特征X”以及基于极限学习机的恶意应用检测模型f(X)＝sgn(H(W,b)β)确定待测试的安卓应用的输出值；

在所述输出值为1时，确定所述待测试的安卓应用为正常应用；

在所述输出值为-1时，确定所述待测试的安卓应用为恶意应用。

本发明实施例提供一种安卓恶意应用的检测方法及装置，通过对已知的训练样本集进行融合特征提取，能够使安卓恶意应用的检测涉及不同类型的特征所起的不同作用。通过主分量分析法对提取出的融合特征进行选择，获取安卓应用相关融合特征，并建立基于极限学习机的恶意应用检测模型，从而能够根据该模型确定未知的应用是否为恶意应用。避免了当前单一地通过基于特征码分析、基于静态源码分析或者基于动态行为等检测方法均可能造成不能正确确定恶意应用的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供一种安卓恶意应用的检测方法的流程图一；

图2为本发明实施例提供一种安卓恶意应用的检测方法的流程图二；

图3为本发明实施例提供一种安卓恶意应用的检测装置的结构示意图一；

图4为本发明实施例提供一种安卓恶意应用的检测装置的结构示意图二。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供一种安卓恶意应用的检测方法，如图1所示，包括：

步骤101、获取由恶意应用样本和正常应用样本组成的训练样本集。

步骤102、对所述训练样本集进行融合特征提取，并通过主分量分析法对提取出的融合特征进行选择，获取安卓应用相关融合特征。

步骤103、根据所述安卓应用相关融合特征建立基于极限学习机的恶意应用检测模型。

步骤104、根据所述基于极限学习机的恶意应用检测模型对待测试的安卓应用进行检测，确定所述待测试的安卓应用是否为恶意应用。

本发明实施例提供一种安卓恶意应用的检测方法，通过对已知的训练样本集进行融合特征提取，能够使安卓恶意应用的检测涉及不同类型的特征所起的不同作用。通过主分量分析法对提取出的融合特征进行选择，获取安卓应用相关融合特征，并建立基于极限学习机的恶意应用检测模型，从而能够根据该模型确定未知的应用是否为恶意应用。避免了当前单一地通过基于特征码分析、基于静态源码分析或者基于动态行为等检测方法均可能造成不能正确确定恶意应用的问题。

为了使本领域的技术人员更好的了解本发明，下面列举一个更为详细的实施例，如图2所示，本发明实施例提供一种安卓恶意应用的检测方法，包括：

步骤201、获取由恶意应用样本和正常应用样本组成的训练样本集。之后分别执行步骤202至步骤204。

步骤202、对所述训练样本集进行基于静态分析的特征提取，形成所述训练样本集的静态特征。

此处，对所述训练样本集进行基于静态分析的特征提取，形成所述训练样本集的静态特征的过程可以是：获取所述训练样本集中各应用调用安卓系统组件的情况数据，并根据所述各应用调用安卓系统组件的情况数据确定第一静态特征向量X_static1。获取所述训练样本集中各应用所申请的安卓系统权限和调用API情况的统计数据，并根据所述各应用所申请的安卓系统权限和调用API情况的统计数据确定第二静态特征向量X_static2。

此处，对所述训练样本集进行基于静态分析的特征提取，首先可以分析可执行文件特征、权限等静态特征信息。一般情况下恶意应用和正常应用在程序实现上存在较大差异。按API与恶意应用的相关性，将API分为敏感API和普通API，恶意应用和正常应用的差异具体体现在敏感API的调用(如动态加载的API、本地调用的API等)，对于恶意应用而言主要是调用敏感API来完成其恶意的行为，敏感API在其整个调用的API中占有很大的比重，而对于正常应用，其中也会有敏感API的调用，但是所占的比重要小。具体的，可通过对安卓应用APK进行反编译，得到安卓Manifest.xml文件，对该文件进行分析，提取各个组件使用个数情况，包括permission、activity、service、receiver和provider。针对每个应用可得到各个组件使用情况的特征向量X_static1。如某一应用APK中各个组件使用统计数据：permission为10，activity为20，service为2，receiver和provider都为0，则X_static1＝[10,20,2,0,0]。

对正常应用和恶意应用两个样本库中所有的安卓程序的安装文件可以用逆向工程工具进行反编译，获取配置文件；对上述配置文件进行解码，扫描源码并提取其中的权限向量，得到每个程序对应的权限集；从安卓程序中筛选出部分敏感权限作为静态特征，如CALL_PHONE、SEND_SMS、GET_ACCOUNTs、GET_LOCATION、READ_PHONE_SMS、READ_CONTACTS、CAMERA、ACCESS_NETWORK_STATE、ACCESS_WIFI_STATE、INTERNET，将这些权限中未使用的置0，使用到的置1，这样每个应用样本生成一个与之对应的二进制特征向量。如某一应用申请了CALL_PHONE、SEND_SMS、GET_ACCOUNTs、READ_CONTACTS、INTERNET权限，则基于权限的特征向量可以为X_static2＝[1,1,1,0,0,1,0,0,0,1]。

此外，还可以通过控制流分析、数据流分析和语义分析来提取各安卓应用的静态特征。

步骤203、对所述训练样本集进行基于动态分析的特征提取，形成所述训练样本集的动态特征。

此处，对所述训练样本集进行基于动态分析的特征提取，形成所述训练样本集的动态特征，可以是：获取所述训练样本集中各应用调用安卓敏感API的次数；根据所述各应用调用安卓敏感API的次数确定动态特征向量X_dynamic。

具体的，对训练样本集进行基于动态分析的特征提取，可以是通过对程序运行状态的动态监控，提取恶意代码的行为特征。安卓恶意代码常见的动态行为特征包括：软件安装恶意插件、未经用户确认强制开机自启、未经用户确认强制联网、卸载不干净、发送恶意扣费短信、读取用户隐私信息、诱导扣费操作、恶意群发短信、阻碍卸载或卸载时有恶意行为。基于动态分析的恶意代码特征提取主要有两种方法。一种是建立系统底层检测模块，使其能够检测、拦截、记录恶意的行为。另一种方法是使用钩子技术，来检测对敏感API的调用行为。建立系统底层模块是指对现有的安卓系统源代码进行改造，加入安全检测模块。检测工具可以对软件运行过程中的发送扣费信息、非法链接、非法内容、盗取用户隐私数据的行为进行检测，记录和处理。在无源码的系统上可使用钩子技术对调用系统敏感API的行为进行检测。通过上述分析，可得到应用的动态特征X_dynamic。

正常应用与恶意应用的行为不同点，主要体现在对发送短信、访问通信录等敏感资源访问时API的调用频率不同。对于一个应用程序要完成不同的功能，一般需要访问系统中不同的API,那么它的这一些行为就可以使用一系列的API来表示。在安卓的Service中加入Hook函数，利用Hook函数对调用系统敏感API的行为进行检测，完成对应用程序的行为监控。可将一定时长内系统敏感API调用次数作为应用的动态特征，如系统敏感API包括CALL_PHONE、GET_ACCOUNTs、GET_LOCATION、READ_CONTACTS、CAMERA、INTERNET等在一定时长内被调用的次数分别为5、2、3、1、0、4，则X_dynamic＝[5,2,3,1,0,4]。

步骤204、对所述训练样本集进行基于网络流量的特征提取，形成所述训练样本集的网络流量特征。

此处，对所述训练样本集进行基于网络流量的特征提取，形成所述训练样本集的网络流量特征，可以是：获取所述训练样本集中各应用所用TCP数据包的数据包大小、数据包数量、平均数据包大小、连接的IP地址数；根据各应用所用TCP数据包的数据包大小、数据包数量、平均数据包大小、连接的IP地址数，确定所述训练样本集的网络流量特征向量X_traffic。

步骤205、将所述训练样本集的静态特征、动态特征以及网络流量特征进行融合，形成融合特征。

此处，可以将上述第一静态特征向量X_static1、第二静态特征向量X_static2、动态特征向量X_dynamic以及网络流量特征向量X_traffic进行融合叠加，获取得到融合特征X；X＝[X_static1,X_static2,X_dymatic,X_traffic]。

步骤206、根据所述融合特征X生成融合特征矩阵A，对所述融合特征矩阵A进行归一化处理，得到归一化特征矩阵S。

所述融合特征矩阵A为N×K矩阵，且其中，N为训练样本集中的应用样本数目；K为融合特征矩阵A的维数；上述的归一化特征矩阵S＝(S_ij)_N×K；即相当于对融合特征矩阵A的每一列做标准化处理；所述为所述融合特征矩阵A每一列的均值，所述D_j为所述融合特征矩阵A每一列的标准差， $D_j=\sqrt{\frac{1}{N-1}\underset{i=1}{\overset{N}{\Σ}}{(A_{ij}-{\stackrel{\‾}{A}}_j)}^2},j=1,2,...,K.$

步骤207、确定所述归一化特征矩阵S的相关系数矩阵R_s，计算相关系数矩阵R_s的特征值的累计贡献率B_t。

其中，S^T为归一化特征矩阵S的转置；所述相关系数矩阵R_s的特征值为λ_i，λ_i＝{λ₁,λ₂,...,λ_K}，λ₁≥λ₂≥...≥λ_K，所述特征值λ_i对应的特征向量为E，E＝{E₁,E₂,...,E_K}； $B_t=\underset{i=1}{\overset{t}{\Σ}}{\mathrm{\λ}}_i/\underset{i=1}{\overset{K}{\Σ}}{\mathrm{\λ}}_i;t=1,2,\mathrm{...},K.$

步骤208、根据一预先设置的提取效率p，从特征向量E中选取T个主成分。

其中，T＝min{t|B_t≥p,t＝1,2,…,K}。该提取效率p一般可以为0.9。

步骤209、确定所述归一化特征矩阵S在提取出的T个特征向量E上的投影X’，将所述X’确定为安卓应用相关融合特征。

其中，X'＝SE。

此处，由于融合特征X的维度较高，而对于安卓恶意应用检测，并非所有的特征信息均需要，在融合特征X中，可能存在无关特征、冗余特征等，因此此处需要进行特征选择，最终形成所需要的X’确定为安卓应用相关融合特征。

步骤210、获取包含所述安卓应用相关融合特征X’的N个训练样本。

具体的，该N个训练样本其中Y_i为样本类别标签，Y_i∈{-1,1}。

对于N个训练样本其中，X_i＝[x_i1,x_i2,…,x_in]^T∈Rⁿ，Y_i＝[y_i1,y_i2,…,y_im]^T∈R^m；R_n、R_m代表数据的维数。

步骤211、获取预先设置的隐层节点输出函数g(x)、隐层节点M、前馈神经网络的输入权值W_i和偏置b_i。

具体的，一个有M个隐层节点的前馈神经网络的输出可以表示为：

$\underset{i=1}{\overset{M}{\Σ}}{\mathrm{\β}}_{i}g(W_i\·X_j+b_i)=o_j,j=1,...,N$

该隐层节点输出函数g(x)可以为径向基函数，例如g(x)＝exp((x-μ)/σ)。该输入权值W_i＝[w_i1,w_i2,…,w_in∈]^T。此处，该单层申请网络学习的目标是使输出的误差最小，即相当于：

$\underset{j=1}{\overset{N}{\Σ}}\left|\right|o_j-Y_j\left|\right|=0$

则存在β_i，W_i和b_i，使得：

$\underset{i=1}{\overset{M}{\Σ}}{\mathrm{\β}}_{i}g(W_i\·X_j+b_i)=Y_j,j=1,...,N$

则可写出以下矩阵形式：

Hβ＝Y

步骤212、计算隐层节点的输出矩阵H。

此处，具体可以根据训练样本预先设置的隐层节点输出函数g(x)、隐层节点M、前馈神经网络的输入权值W_i和偏置b_i，计算隐层节点的输出矩阵H：

$H(W_1,...,W_M,b_1,...,b_M,X_1,...,X_N)={\left[\begin{array}{ccc}g(W_1\·X_1+b_1)& \mathrm{...}& g(W_M\·X_1+b_M)\\ .& & .\\ .& \mathrm{...}& .\\ .& & .\\ g(W_1\·X_N+b_1)& \mathrm{...}& g(W_M\·X_N+b_M)\end{array}\right]}_{N\×M}$

此处，训练单隐层神经网络希望得到W_i，β_i和b_i，使得：

$\left|\right|H({\hat{W}}_i,{\hat{b}}_i){\widehat{\mathrm{\β}}}_i-Y\left|\right|=\underset{W,b,\mathrm{\β}}{\min }\left|\right|H(W_i,b_i){\mathrm{\β}}_i-Y\left|\right|,i=1,...,M$

步骤213、根据隐层节点的输出矩阵H和期望输出Y，确定输出权重

其中， 为所述隐层节点的输出矩阵H的Moore-Penrose广义逆； $Y={\left[\begin{array}{c}{Y_1}^T\\ .\\ .\\ .\\ Y_N^T\end{array}\right]}_{N\×M}.$

步骤214、根据隐层节点的输出矩阵H、前馈神经网络的输入权值W_i、偏置b_i以及输出权重确定基于极限学习机的恶意应用检测模型。

该基于极限学习机的恶意应用检测模型表示为：f(X)＝sgn(H(W,b)β)。

步骤215、根据所述待测试的安卓应用的安卓应用相关融合特征X”以及基于极限学习机的恶意应用检测模型f(X)＝sgn(H(W,b)β)确定待测试的安卓应用的输出值。

步骤216、若所述输出值为1，则确定所述待测试的安卓应用为正常应用。

步骤217、若所述输出值为-1，则确定所述待测试的安卓应用为恶意应用。

本发明实施例提供一种安卓恶意应用的检测方法，通过对已知的训练样本集进行融合特征提取，能够使安卓恶意应用的检测涉及不同类型的特征所起的不同作用。通过主分量分析法对提取出的融合特征进行选择，获取安卓应用相关融合特征，并建立基于极限学习机的恶意应用检测模型，从而能够根据该模型确定未知的应用是否为恶意应用。避免了当前单一地通过基于特征码分析、基于静态源码分析或者基于动态行为等检测方法均可能造成不能正确确定恶意应用的问题。

对应于上述图1和图2所述的方法实施例，本发明实施例还提供一种安卓恶意应用的检测装置，如图3所示，包括：

训练样本集获取单元31，可以获取由恶意应用样本和正常应用样本组成的训练样本集。

特征提取融合单元32，可以对所述训练样本集进行融合特征提取，并通过主分量分析法对提取出的融合特征进行选择，获取安卓应用相关融合特征。

模型建立单元33，可以根据所述安卓应用相关融合特征建立基于极限学习机的恶意应用检测模型。

检测单元34，可以根据所述基于极限学习机的恶意应用检测模型对待测试的安卓应用进行检测，确定所述待测试的安卓应用是否为恶意应用。

具体的，如图4所示，该特征提取融合单元32，包括：

静态特征提取模块321，可以对所述训练样本集进行基于静态分析的特征提取，形成所述训练样本集的静态特征。

动态特征提取模块322，可以对所述训练样本集进行基于动态分析的特征提取，形成所述训练样本集的动态特征。

网络流量特征提取模块323，可以对所述训练样本集进行基于网络流量的特征提取，形成所述训练样本集的网络流量特征。

融合模块324，可以将所述训练样本集的静态特征、动态特征以及网络流量特征进行融合，形成融合特征。

此外，所述静态特征提取模块321，具体可以：

获取所述训练样本集中各应用调用安卓系统组件的情况数据，并根据所述各应用调用安卓系统组件的情况数据确定第一静态特征向量X_static1。

获取所述训练样本集中各应用所申请的安卓系统权限和调用API情况的统计数据，并根据所述各应用所申请的安卓系统权限和调用API情况的统计数据确定第二静态特征向量X_static2。

此外，所述动态特征提取模块322，具体可以：获取所述训练样本集中各应用调用安卓敏感API的次数；根据所述各应用调用安卓敏感API的次数确定动态特征向量X_dynamic。

另外，所述网络流量特征提取模块323，具体可以：获取所述训练样本集中各应用所用TCP数据包的数据包大小、数据包数量、平均数据包大小、连接的IP地址数。根据各应用所用TCP数据包的数据包大小、数据包数量、平均数据包大小、连接的IP地址数，确定所述训练样本集的网络流量特征向量X_traffic。

此外，所述融合模块324，具体可以：将所述第一静态特征向量X_static1、第二静态特征向量X_static2、动态特征向量X_dynamic以及网络流量特征向量X_traffic进行融合叠加，获取得到融合特征X；X＝[X_static1,X_static2,X_dymatic,X_traffic]。

另外，特征提取融合单元32，具体可以：

根据所述融合特征X生成融合特征矩阵A；所述融合特征矩阵A为N×K矩阵，且其中，N为训练样本集中的应用样本数目；K为融合特征矩阵A的维数。

对所述融合特征矩阵A进行归一化处理，得到归一化特征矩阵S；其中，S＝(S_ij)_N×K；所述为所述融合特征矩阵A每一列的均值，所述D_j为所述融合特征矩阵A每一列的标准差， $D_j=\sqrt{\frac{1}{N-1}\underset{i=1}{\overset{N}{\Σ}}{(A_{ij}-{\stackrel{\‾}{A}}_j)}^2},j=1,2,...,K.$

确定所述归一化特征矩阵S的相关系数矩阵R_s；其中，S^T为归一化特征矩阵S的转置。

计算相关系数矩阵R_s的特征值的累计贡献率B_t；其中，所述相关系数矩阵R_s的特征值为λ_i，λ_i＝{λ₁,λ₂,...,λ_K}，λ₁≥λ₂≥...≥λ_K，所述特征值λ_i对应的特征向量为E，E＝{E₁,E₂,...,E_K}； $B_t=\underset{i=1}{\overset{t}{\Σ}}{\mathrm{\λ}}_i/\underset{i=1}{\overset{K}{\Σ}}{\mathrm{\λ}}_i;t=1,2,\mathrm{...},K.$

根据一预先设置的提取效率p，从特征向量E中选取T个主成分；其中，T＝min{t|B_t≥p,t＝1,2,…,K}。

确定所述归一化特征矩阵S在提取出的T个特征向量E上的投影X’，将所述X’确定为安卓应用相关融合特征。

此外，所述模型建立单元33，具体可以：

获取包含所述安卓应用相关融合特征X’的N个训练样本其中Y_i为样本类别标签；Y_i∈{-1,1}。

获取预先设置的隐层节点输出函数g(x)、隐层节点M、前馈神经网络的输入权值W_i和偏置b_i；其中g(x)为径向基函数。

根据训练样本预先设置的隐层节点输出函数g(x)、隐层节点M、前馈神经网络的输入权值W_i和偏置b_i，计算隐层节点的输出矩阵H。

$H(W_1,...,W_M,b_1,...,b_M,X_1,...,X_N)={\left[\begin{array}{ccc}g(W_1\·X_1+b_1)& \mathrm{...}& g(W_M\·X_1+b_M)\\ .& & .\\ .& \mathrm{...}& .\\ .& & .\\ g(W_1\·X_N+b_1)& \mathrm{...}& g(W_M\·X_N+b_M)\end{array}\right]}_{N\×M}$

根据隐层节点的输出矩阵H和期望输出Y，确定输出权重其中， 为所述隐层节点的输出矩阵H的Moore-Penrose广义逆； $Y={\left[\begin{array}{c}{Y_1}^T\\ .\\ .\\ .\\ Y_N^T\end{array}\right]}_{N\×M}.$

根据隐层节点的输出矩阵H、前馈神经网络的输入权值W_i、偏置b_i以及输出权重确定基于极限学习机的恶意应用检测模型：

f(X)＝sgn(H(W,b)β)。

另外，所述检测单元34，具体可以：

获取待测试的安卓应用的安卓应用相关融合特征X”。

根据所述待测试的安卓应用的安卓应用相关融合特征X”以及基于极限学习机的恶意应用检测模型f(X)＝sgn(H(W,b)β)确定待测试的安卓应用的输出值。

在所述输出值为1时，确定所述待测试的安卓应用为正常应用。

在所述输出值为-1时，确定所述待测试的安卓应用为恶意应用。

值得说明的是，本发明实施例提供的安卓恶意应用的检测装置的具体实现方式可以参见上述图1和图2对应的方法实施例，此处不再赘述。

本发明实施例提供一种安卓恶意应用的检测装置，通过对已知的训练样本集进行融合特征提取，能够使安卓恶意应用的检测涉及不同类型的特征所起的不同作用。通过主分量分析法对提取出的融合特征进行选择，获取安卓应用相关融合特征，并建立基于极限学习机的恶意应用检测模型，从而能够根据该模型确定未知的应用是否为恶意应用。避免了当前单一地通过基于特征码分析、基于静态源码分析或者基于动态行为等检测方法均可能造成不能正确确定恶意应用的问题。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (18)

1.一种安卓恶意应用的检测方法，其特征在于，包括：

获取由恶意应用样本和正常应用样本组成的训练样本集；

对所述训练样本集进行融合特征提取，并通过主分量分析法对提取出的融合特征进行选择，获取安卓应用相关融合特征；

根据所述安卓应用相关融合特征建立基于极限学习机的恶意应用检测模型；

根据所述基于极限学习机的恶意应用检测模型对待测试的安卓应用进行检测，确定所述待测试的安卓应用是否为恶意应用。

2.根据权利要求1所述的安卓恶意应用的检测方法，其特征在于，对所述训练样本集进行融合特征提取，包括：

对所述训练样本集进行基于静态分析的特征提取，形成所述训练样本集的静态特征；

对所述训练样本集进行基于动态分析的特征提取，形成所述训练样本集的动态特征；

对所述训练样本集进行基于网络流量的特征提取，形成所述训练样本集的网络流量特征；

将所述训练样本集的静态特征、动态特征以及网络流量特征进行融合，形成融合特征。

3.根据权利要求2所述的安卓恶意应用的检测方法，其特征在于，对所述训练样本集进行基于静态分析的特征提取，形成所述训练样本集的静态特征，包括：

获取所述训练样本集中各应用调用安卓系统组件的情况数据，并根据所述各应用调用安卓系统组件的情况数据确定第一静态特征向量X_static1；

获取所述训练样本集中各应用所申请的安卓系统权限和调用API情况的统计数据，并根据所述各应用所申请的安卓系统权限和调用API情况的统计数据确定第二静态特征向量X_static2。

4.根据权利要求3所述的安卓恶意应用的检测方法，其特征在于，对所述训练样本集进行基于动态分析的特征提取，形成所述训练样本集的动态特征，包括：

获取所述训练样本集中各应用调用安卓敏感API的次数；

根据所述各应用调用安卓敏感API的次数确定动态特征向量X_dynamic。

5.根据权利要求4所述的安卓恶意应用的检测方法，其特征在于，对所述训练样本集进行基于网络流量的特征提取，形成所述训练样本集的网络流量特征，包括：

获取所述训练样本集中各应用所用TCP数据包的数据包大小、数据包数量、平均数据包大小、连接的IP地址数；

根据各应用所用TCP数据包的数据包大小、数据包数量、平均数据包大小、连接的IP地址数，确定所述训练样本集的网络流量特征向量X_traffic。

6.根据权利要求5所述的安卓恶意应用的检测方法，其特征在于，将所述训练样本集的静态特征、动态特征以及网络流量特征进行融合，形成融合特征，包括：

将所述第一静态特征向量X_static1、第二静态特征向量X_static2、动态特征向量X_dynamic以及网络流量特征向量X_traffic进行融合叠加，获取得到融合特征X；X＝[X_static1,X_static2,X_dymatic,X_traffic]。

7.根据权利要求6所述的安卓恶意应用的检测方法，其特征在于，通过主分量分析法对提取出的融合特征进行选择，获取安卓应用相关融合特征，包括：

根据所述融合特征X生成融合特征矩阵A；所述融合特征矩阵A为N×K矩阵，且其中，N为训练样本集中的应用样本数目；K为融合特征矩阵A的维数；

对所述融合特征矩阵A进行归一化处理，得到归一化特征矩阵S；其中，S＝(S_ij)_N×K；所述为所述融合特征矩阵A每一列的均值，所述D_j为所述融合特征矩阵A每一列的标准差， $D_j=\sqrt{\frac{1}{N-1}\underset{i=1}{\overset{N}{\Σ}}{(A_{ij}-{\stackrel{\‾}{A}}_j)}^2},$ j＝1,2,…,K；

确定所述归一化特征矩阵S的相关系数矩阵R_s；其中，S^T为归一化特征矩阵S的转置；

计算相关系数矩阵R_s的特征值的累计贡献率B_t；其中，所述相关系数矩阵R_s的特征值为λ_i，λ_i＝{λ₁,λ₂,...,λ_K}，λ₁≥λ₂≥...≥λ_K，所述特征值λ_i对应的特征向量为E，E＝{E₁,E₂,...,E_K}；t＝1，2，…，K；

根据一预先设置的提取效率p，从特征向量E中选取T个主成分；其中，T＝min{t|B_t≥p,t＝1,2,…,K}；

确定所述归一化特征矩阵S在提取出的T个特征向量E上的投影X’，将所述X’确定为安卓应用相关融合特征；其中，X'＝SE。

8.根据权利要求7所述的安卓恶意应用的检测方法，其特征在于，根据所述安卓应用相关融合特征建立基于极限学习机的恶意应用检测模型，包括：

获取包含所述安卓应用相关融合特征X’的N个训练样本其中Y_i为样本类别标签；Y_i∈{-1,1}；

获取预先设置的隐层节点输出函数g(x)、隐层节点M、前馈神经网络的输入权值W_i和偏置b_i；其中g(x)为径向基函数；

根据训练样本预先设置的隐层节点输出函数g(x)、隐层节点M、前馈神经网络的输入权值W_i和偏置b_i，计算隐层节点的输出矩阵H；

$H(W_1,...,W_M,b_1,...,b_M,X_1,...,X_N)={\left[\begin{array}{ccc}g(W_1\·X_1+b_1)& ...& g(W_M\·X_1+b_M)\\ \begin{array}{c}.\\ .\\ .\end{array}& \begin{array}{c}\\ ...\\ \end{array}& \begin{array}{c}.\\ .\\ .\end{array}\\ g(W_1\·X_N+b_1)& ...& g(W_M\·X_N+b_M)\end{array}\right]}_{N\×M}$

根据隐层节点的输出矩阵H和期望输出Y，确定输出权重其中， 为所述隐层节点的输出矩阵H的Moore-Penrose广义逆； $Y={\left[\begin{array}{c}{Y}_1^T\\ \begin{array}{c}.\\ .\\ .\end{array}\\ Y_N^T\end{array}\right]}_{N\×M};$

根据隐层节点的输出矩阵H、前馈神经网络的输入权值W_i、偏置b_i以及输出权重确定基于极限学习机的恶意应用检测模型：

f(X)＝sgn(H(W,b)β)。

9.根据权利要求8所述的安卓恶意应用的检测方法，其特征在于，根据所述基于极限学习机的恶意应用检测模型对待测试的安卓应用进行检测，确定所述待测试的安卓应用是否为恶意应用，包括：

获取待测试的安卓应用的安卓应用相关融合特征X”；

根据所述待测试的安卓应用的安卓应用相关融合特征X”以及基于极限学习机的恶意应用检测模型f(X)＝sgn(H(W,b)β)确定待测试的安卓应用的输出值；

若所述输出值为1，则确定所述待测试的安卓应用为正常应用；

若所述输出值为-1，则确定所述待测试的安卓应用为恶意应用。

10.一种安卓恶意应用的检测装置，其特征在于，包括：

训练样本集获取单元，用于获取由恶意应用样本和正常应用样本组成的训练样本集；

特征提取融合单元，用于对所述训练样本集进行融合特征提取，并通过主分量分析法对提取出的融合特征进行选择，获取安卓应用相关融合特征；

模型建立单元，用于根据所述安卓应用相关融合特征建立基于极限学习机的恶意应用检测模型；

检测单元，用于根据所述基于极限学习机的恶意应用检测模型对待测试的安卓应用进行检测，确定所述待测试的安卓应用是否为恶意应用。

11.根据权利要求10所述的安卓恶意应用的检测装置，其特征在于，所述特征提取融合单元，包括：

静态特征提取模块，用于对所述训练样本集进行基于静态分析的特征提取，形成所述训练样本集的静态特征；

动态特征提取模块，用于对所述训练样本集进行基于动态分析的特征提取，形成所述训练样本集的动态特征；

网络流量特征提取模块，用于对所述训练样本集进行基于网络流量的特征提取，形成所述训练样本集的网络流量特征；

融合模块，用于将所述训练样本集的静态特征、动态特征以及网络流量特征进行融合，形成融合特征。

12.根据权利要求11所述的安卓恶意应用的检测装置，其特征在于，所述静态特征提取模块，具体用于：

获取所述训练样本集中各应用调用安卓系统组件的情况数据，并根据所述各应用调用安卓系统组件的情况数据确定第一静态特征向量X_static1；

获取所述训练样本集中各应用所申请的安卓系统权限和调用API情况的统计数据，并根据所述各应用所申请的安卓系统权限和调用API情况的统计数据确定第二静态特征向量X_static2。

13.根据权利要求12所述的安卓恶意应用的检测装置，其特征在于，所述动态特征提取模块，具体用于：

获取所述训练样本集中各应用调用安卓敏感API的次数；

根据所述各应用调用安卓敏感API的次数确定动态特征向量X_dynamic。

14.根据权利要求13所述的安卓恶意应用的检测装置，其特征在于，所述网络流量特征提取模块，具体用于：

获取所述训练样本集中各应用所用TCP数据包的数据包大小、数据包数量、平均数据包大小、连接的IP地址数；

根据各应用所用TCP数据包的数据包大小、数据包数量、平均数据包大小、连接的IP地址数，确定所述训练样本集的网络流量特征向量X_traffic。

15.根据权利要求14所述的安卓恶意应用的检测装置，其特征在于，所述融合模块，具体用于：

将所述第一静态特征向量X_static1、第二静态特征向量X_static2、动态特征向量X_dynamic以及网络流量特征向量X_traffic进行融合叠加，获取得到融合特征X；X＝[X_static1,X_static2,X_dymatic,X_traffic]。

16.根据权利要求15所述的安卓恶意应用的检测装置，其特征在于，特征提取融合单元，具体用于：

根据所述融合特征X生成融合特征矩阵A；所述融合特征矩阵A为N×K矩阵，且其中，N为训练样本集中的应用样本数目；K为融合特征矩阵A的维数；

对所述融合特征矩阵A进行归一化处理，得到归一化特征矩阵S；其中，S＝(S_ij)_N×K；所述为所述融合特征矩阵A每一列的均值，所述D_j为所述融合特征矩阵A每一列的标准差， $D_j=\sqrt{\frac{1}{N-1}\underset{i=1}{\overset{N}{\Σ}}{(A_{ij}-{\stackrel{\‾}{A}}_j)}^2},$ j＝1,2,…,K；

确定所述归一化特征矩阵S的相关系数矩阵R_s；其中，S^T为归一化特征矩阵S的转置；

计算相关系数矩阵R_s的特征值的累计贡献率B_t；其中，所述相关系数矩阵R_s的特征值为λ_i，λ_i＝{λ₁,λ₂,...,λ_K}，λ₁≥λ₂≥...≥λ_K，所述特征值λ_i对应的特征向量为E，E＝{E₁,E₂,...,E_K}；t＝1，2，…，K；

根据一预先设置的提取效率p，从特征向量E中选取T个主成分；其中，T＝min{t|B_t≥p,t＝1,2,…,K}；

确定所述归一化特征矩阵S在提取出的T个特征向量E上的投影X’，将所述X’确定为安卓应用相关融合特征；其中，X'＝SE。

17.根据权利要求16所述的安卓恶意应用的检测装置，其特征在于，所述模型建立单元，具体用于：

获取包含所述安卓应用相关融合特征X’的N个训练样本其中Y_i为样本类别标签；Y_i∈{-1,1}；

获取预先设置的隐层节点输出函数g(x)、隐层节点M、前馈神经网络的输入权值W_i和偏置b_i；其中g(x)为径向基函数；

根据训练样本预先设置的隐层节点输出函数g(x)、隐层节点M、前馈神经网络的输入权值W_i和偏置b_i，计算隐层节点的输出矩阵H；

$H(W_1,...,W_M,b_1,...,b_M,X_1,...,X_N)={\left[\begin{array}{ccc}g(W_1\·X_1+b_1)& ...& g(W_M\·X_1+b_M)\\ \begin{array}{c}.\\ .\\ .\end{array}& \begin{array}{c}\\ ...\\ \end{array}& \begin{array}{c}.\\ .\\ .\end{array}\\ g(W_1\·X_N+b_1)& ...& g(W_M\·X_N+b_M)\end{array}\right]}_{N\×M}$

根据隐层节点的输出矩阵H和期望输出Y，确定输出权重其中， 为所述隐层节点的输出矩阵H的Moore-Penrose广义逆； $Y={\left[\begin{array}{c}{Y}_1^T\\ \begin{array}{c}.\\ .\\ .\end{array}\\ Y_N^T\end{array}\right]}_{N\×M};$

根据隐层节点的输出矩阵H、前馈神经网络的输入权值W_i、偏置b_i以及输出权重确定基于极限学习机的恶意应用检测模型：

f(X)＝sgn(H(W,b)β)。

18.根据权利要求17所述的安卓恶意应用的检测装置，其特征在于，所述检测单元，具体用于：

获取待测试的安卓应用的安卓应用相关融合特征X”；

根据所述待测试的安卓应用的安卓应用相关融合特征X”以及基于极限学习机的恶意应用检测模型f(X)＝sgn(H(W,b)β)确定待测试的安卓应用的输出值；

在所述输出值为1时，确定所述待测试的安卓应用为正常应用；

在所述输出值为-1时，确定所述待测试的安卓应用为恶意应用。