第2期 张玉玲，等：依特征频率的安卓恶意软件异常检测的研究 ·171· 预处理阶段 恶意软件检测阶段 特征映射 数据集 SVDD 字符型数据 融入 转化为数字型数据 特征 频率 数据 标准 改进的 归一化 数据集 SVDD 训练阶段 FexDroid分层阶段 高维特征 FexDroid 测试阶段 低维特征 … 训练数据 特征降维 后的数据 数据分高 测试数据 图1异常检测流程框架 Fig.1 The framework of anomaly detection process 表1实验评价指标 1.2d Table 1 The evaluating indicator of experiment 1.0 中料 评价指标 定义 含义 0.8 解 准确率 TN 0.6 TN+FP 恶意软件被正确分类 漏报率 FP 0.4 TN+FP 恶意软件被错误分类 -Driod-Svd 误报率 FN 0. 。-Driod-Saf FN+TP 正常软件被检测为恶意软件 135791113151719212325 FN:将样本判定为恶意样本，实际为正常样本 b 的数量。 图2RBF核函数的实验对比 4.4实验步骤 Fig.2 The experimental comparison of RBF kernel 随机取1000个正样本作为训练集，其他的正 Droid-.Saf对恶意软件检测的正确率基本达到 样本和负样本作为测试集，频率是每个样本包含特 100%,参数c对结果并没有影响，因此对参数不敏 征的个数，把它归一化然后做新特征。分别用最常 感；但是Droid-.Svd的部分漏报率大于0，c越大，误 用的多项式核函数和RBF核函数模型。其中，c是 判率越高，漏报率也越高。为了详细说明细节，表2 svdd的惩罚参数，b是核函数参数：改进算法中频率 特征会取代参数c的作用。为方便描述，模型改进 列出了Droid-Svd的实验情况。 之前的实验称为Driod-svd,改进之后的实验称为 基于多项式核函数的实验结果分别取了Droid: Droid-Saf。两者对比表明改进算法在RBF核函数 Svd和Droid-Saf在多项式核函数下最好的实验结 上取得了明显效果，如图2所示。 果，如图3所示。 如果样本的特征数非常多，使用RBF核将样本 当c=0.05时，参数b对基于多项式核函数的 映射到高维空间，结果较差，使用线性核比较合适高 Droid-.Saf并没有作用，漏报率基本为0，误报率明 维数据。因此下面的实验使用常见的多项式核函数。 显低很多。䃙㏯䭢⃡ ᖢᘻ䒛Тᷬ≷䭢⃡ ᩥ䔇⮰ 47%% ➥ᒭᭌᄰ ႃげಷ᪜ᢚ 䒘ࡂ᪜oႃಷ᪜ᢚ ᪜ᢚ ࡂ̬ᑾ ᪜ᢚ䯲 䶰ะ⤲䭢⃡ ᴳ۲ ᪜ᢚ䯲 …… 倄㐠➥ᒭ FexDroid Ѻ㐠➥ᒭ …… FexDroidܲᅮ䭢⃡ ➥ᒭ䭹㐠 ऺ⮰᪜ᢚ ᪜ᢚܲ⻧ ≷䄁᪜ᢚ 䃙㏯᪜ᢚ SVDD ڑ㲹 ➥ᒭ 䶽⢳ ≷䄁䭢⃡ 图 1 异常检测流程框架 Fig. 1 The framework of anomaly detection process 表 1 实验评价指标 Table 1 The evaluating indicator of experiment 评价指标 定义 含义 准确率 TN TN+FP 恶意软件被正确分类 漏报率 FP TN+FP 恶意软件被错误分类 误报率 FN FN+TP 正常软件被检测为恶意软件 FN：将样本判定为恶意样本，实际为正常样本 的数量。 4.4 实验步骤 随机取 1 000 个正样本作为训练集，其他的正 样本和负样本作为测试集，频率是每个样本包含特 征的个数，把它归一化然后做新特征。分别用最常 用的多项式核函数和 RBF 核函数模型。其中，c 是 svdd 的惩罚参数，b 是核函数参数；改进算法中频率 特征会取代参数 c 的作用。为方便描述，模型改进 之前的实验称为 Driod-svd，改进之后的实验称为 Droid-Saf。两者对比表明改进算法在 RBF 核函数 上取得了明显效果，如图 2 所示。 如果样本的特征数非常多, 使用 RBF 核将样本 映射到高维空间，结果较差，使用线性核比较合适高 维数据。因此下面的实验使用常见的多项式核函数。 1 3 5 7 9 11 13 15 17 19 21 23 25 b 1.2 1.0 0.8 0.6 0.4 0.2 0 䄛៑⢳ Driod-Svd Driod-Saf 图 2 RBF 核函数的实验对比 Fig. 2 The experimental comparison of RBF kernel Droid-Saf 对恶意软件检测的正确率基本达到 100%，参数 c 对结果并没有影响，因此对参数不敏 感；但是 Droid-Svd 的部分漏报率大于 0，c 越大，误 判率越高，漏报率也越高。为了详细说明细节，表 2 列出了 Droid-Svd 的实验情况。 基于多项式核函数的实验结果分别取了 Droid￾Svd 和 Droid-Saf 在多项式核函数下最好的实验结 果，如图 3 所示。 当 c=0.05 时，参数 b 对基于多项式核函数的 Droid-Saf 并没有作用，漏报率基本为 0，误报率明 显低很多。 第 2 期 张玉玲，等：依特征频率的安卓恶意软件异常检测的研究 ·171·