◆林建洪 徐 菁

（浙江鵬信信息科技股份有限公司 浙江 310000）

基于機(jī)器學(xué)習(xí)的惡意電話場(chǎng)景化治理方法研究

◆林建洪 徐 菁

（浙江鵬信信息科技股份有限公司 浙江 310000）

本文應(yīng)用機(jī)器學(xué)習(xí)中的決策樹模型對(duì)惡意電話進(jìn)行識(shí)別與分類，利用頻繁項(xiàng)集挖掘惡意電話集團(tuán)號(hào)碼；將號(hào)碼劃分為白名單、灰名單、黑名單個(gè)人號(hào)碼和黑名單集團(tuán)號(hào)碼四類；引入場(chǎng)景化的概念，針對(duì)不同的時(shí)間、地點(diǎn)、人物屬性要素為用戶提供符合當(dāng)下場(chǎng)景的個(gè)性化治理策略。在提高判斷惡意電話準(zhǔn)確率與效率的同時(shí)，為用戶提供更好的體驗(yàn)。

惡意電話；決策樹；頻繁項(xiàng)集；場(chǎng)景化

0 引言

隨著智能手機(jī)的迅速普及和移動(dòng)通信業(yè)務(wù)的快速發(fā)展，通過電話進(jìn)行溝通已經(jīng)成為人們?nèi)粘Ｉ畹闹匾M成部分。移動(dòng)電話在給人們的生活帶來方便的同時(shí)也給廣告商和詐騙分子提供了實(shí)施犯罪的肥沃土壤，他們會(huì)通過電話營(yíng)銷、詐騙等方式對(duì)目標(biāo)人群進(jìn)行騷擾。據(jù)某網(wǎng)絡(luò)電話服務(wù)商發(fā)布的《2016年中國(guó)騷擾電話形勢(shì)分析報(bào)告》顯示，近一年來，該系統(tǒng)為用戶攔截騷擾電話數(shù)量達(dá)到322億次，平均每天產(chǎn)生約9000萬個(gè)騷擾電話[1]。通訊詐騙事故的頻發(fā)，騷擾、詐騙等惡意電話的存在和泛濫已經(jīng)嚴(yán)重危害到人們的財(cái)產(chǎn)、人身安全和社會(huì)安定，因此，在大數(shù)據(jù)時(shí)代的背景下，如何利用數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)等技術(shù)對(duì)惡意電話進(jìn)行有效識(shí)別與監(jiān)控以此降低甚至根除惡意電話事故的發(fā)生具有重要意義和研究?jī)r(jià)值。

1 文獻(xiàn)綜述

惡意電話是指不法分子或電信詐騙集團(tuán)未經(jīng)過被叫的同意，利用群呼設(shè)備或外呼軟件對(duì)指定號(hào)碼或特定號(hào)段進(jìn)行大范圍、高頻率的撥打，嚴(yán)重影響人們生活、工作中的正常通話，造成其一定的財(cái)產(chǎn)損失，常見的惡意電話種類有“響一聲”、“呼死你”等。

通過對(duì)已有研究的整理，目前對(duì)惡意電話的治理方法主要有以下幾種：

（1）頻譜特征分析。該方法主要適用于類似“響一聲”的惡意電話類型，其特征為主叫在單位時(shí)間內(nèi)高頻發(fā)起呼叫并在短時(shí)間內(nèi)掛斷，因此出現(xiàn)大量信道占用，可通過頻譜分析定位犯罪窩點(diǎn)。該方法通常針對(duì)某一種特定的惡意騷擾方式，對(duì)于其他場(chǎng)景或新出現(xiàn)的惡意撥打方式適用性較弱[2]。

（2）黑名單人工過濾。建立疑似黑名單，將疑似黑名單號(hào)碼發(fā)給客服進(jìn)行人工回?fù)茯?yàn)證，確認(rèn)為黑名單的號(hào)碼直接在匯接局和關(guān)口局進(jìn)行攔截。該方法判斷惡意電話的準(zhǔn)確率高，但是人工處理時(shí)間成本高，效率較低[3]。

（3）人工規(guī)則判斷。運(yùn)營(yíng)商根據(jù)用戶話單行為分析，依據(jù)專家經(jīng)驗(yàn)判斷顯著特征，將日撥打頻率異常高的號(hào)碼提取并進(jìn)行二次驗(yàn)證，對(duì)確認(rèn)有惡意撥打行為的號(hào)碼進(jìn)行停機(jī)處理。雖然按照專家經(jīng)驗(yàn)可以判斷出具有明顯惡意行為的號(hào)碼，但是日話單數(shù)據(jù)量龐大，該方法忽略了其他隱含特征，號(hào)碼識(shí)別覆蓋率較低[4]。

（4）安裝手機(jī)軟件。通過安裝手機(jī)軟件用戶可以事先設(shè)置拒接或者攔截的號(hào)碼、號(hào)段，該方法區(qū)別于以上幾種系統(tǒng)攔截的方式，用戶可以針對(duì)個(gè)人情況進(jìn)行個(gè)性化設(shè)置。但是手機(jī)軟件往往攔截準(zhǔn)確率不高，且大多軟件只有提醒功能并不能有效攔截惡意電話[4]。

隨著號(hào)碼資源成本的不斷降低，惡意電話的主叫號(hào)碼開始出現(xiàn)隨機(jī)變換的特點(diǎn)，特征模糊，難以捕捉，這給惡意電話的防治工作帶來了很大的挑戰(zhàn)。而互聯(lián)網(wǎng)時(shí)代，用戶對(duì)體驗(yàn)的要求高，已不滿足于簡(jiǎn)單粗暴的“一刀切”系統(tǒng)攔截模式。因此本文提出一種基于機(jī)器學(xué)習(xí)的場(chǎng)景化惡意電話治理方案。

2 惡意電話治理方案

本文所提出的基于機(jī)器學(xué)習(xí)的場(chǎng)景化惡意電話治理方案中，機(jī)器學(xué)習(xí)是主要技術(shù)手段，利用大數(shù)據(jù)特征分析、模型構(gòu)建判斷惡意電話，進(jìn)行準(zhǔn)確識(shí)別；場(chǎng)景細(xì)分能夠針對(duì)不同的時(shí)間、地點(diǎn)、人物屬性提供更具個(gè)性化的治理策略。本文融合大數(shù)據(jù)、互聯(lián)網(wǎng)思維與運(yùn)營(yíng)商的呼叫控制能力，將以往互聯(lián)網(wǎng)產(chǎn)品終端處理的方式上移到了云端，使得通話還未達(dá)到手機(jī)終端前就被攔截或?qū)τ脩暨M(jìn)行提醒，真正實(shí)現(xiàn)“千人千面”，滿足用戶的當(dāng)下需求，給用戶帶來更好的體驗(yàn)。

2.1 通話場(chǎng)景要素

“場(chǎng)景”一詞是在移動(dòng)互聯(lián)網(wǎng)發(fā)展隨之帶來的人們的時(shí)間被碎片化分割的背景下提出?！皥?chǎng)景化”是時(shí)間、地點(diǎn)、人物三要素所組成的特定關(guān)系。通過場(chǎng)景的細(xì)分可以為特定時(shí)間、地點(diǎn)下的不同用戶群體提供不同的治理策略。

（1）通話場(chǎng)景時(shí)間要素。時(shí)間要素主要是指用戶在什么時(shí)間段內(nèi)可能接到電話，可以劃分為正常、特殊、工作、開車、休息等。正常代表隨時(shí)可接聽電話的時(shí)間段；特殊代表用戶處于非常態(tài)的通話狀態(tài)，例如遭遇“呼死你”的高頻惡意騷擾，需要采取緊急攔截；工作和開車代表用戶當(dāng)前不方便接聽電話，可以給主叫提供語(yǔ)音提示；休息代表用戶只接聽緊急電話。

（2）通話場(chǎng)景地點(diǎn)要素。地點(diǎn)要素主要是指用戶在當(dāng)前和通話時(shí)的地理位置屬性。通過用戶手機(jī)號(hào)歸屬地和當(dāng)前所在的位置判斷用戶是在本地、外地或國(guó)外。從用戶手機(jī)與基站通訊產(chǎn)生的日志中獲取基站坐標(biāo)信息，確定用戶的停留點(diǎn)和移動(dòng)點(diǎn)，停留點(diǎn)往往是用戶的辦公場(chǎng)所和居住場(chǎng)所，移動(dòng)點(diǎn)往往是用戶往返停留點(diǎn)之間的路徑上的地點(diǎn)。通過地點(diǎn)要素可以為用戶提供更加準(zhǔn)確的電話攔截與接通服務(wù)，例如當(dāng)用戶在外地遭遇高頻惡意電話騷擾時(shí)，應(yīng)對(duì)歸屬地是用戶所在地的號(hào)碼進(jìn)行謹(jǐn)慎甄別，避免誤攔正常通話。

（3）用戶屬性。用戶屬性即通過對(duì)用戶性別、年齡、職業(yè)等人口統(tǒng)計(jì)學(xué)特征以及用戶行為的分析，將其劃分到特定的用戶群或給用戶打上顯著特征的標(biāo)簽[5]。例如“退休老人”、“職場(chǎng)精英”、“家庭主婦”等。針對(duì)不同的用戶屬性制定不同的惡意電話治理策略，例如“退休老人”屬于易被騙人群，當(dāng)遭受惡意電話騷擾時(shí)，可以采取只接通白名單電話的措施；而“職場(chǎng)精英”每天的對(duì)外通話較多，應(yīng)為其提供高準(zhǔn)確率的治理措施，避免誤攔重要的工作電話。

圖1 通話場(chǎng)景要素

2.2 基于機(jī)器學(xué)習(xí)的惡意電話場(chǎng)景化治理策略

本文采用機(jī)器學(xué)習(xí)中的決策樹 C5.0算法對(duì)話單行為進(jìn)行分析與分類，挖掘惡意電話的行為特征，將確認(rèn)為惡意電話的號(hào)碼拉入黑名單中，進(jìn)一步采用關(guān)聯(lián)分析中的 Apriori算法對(duì)黑名單號(hào)碼進(jìn)行頻繁項(xiàng)集挖掘，同一個(gè)頻繁項(xiàng)集中的號(hào)碼可認(rèn)為是一個(gè)騷擾詐騙集團(tuán)。

2.2.1 決策樹C4.5分類算法

決策樹（decision tree）是一個(gè)樹結(jié)構(gòu)。其每個(gè)非葉節(jié)點(diǎn)表示一個(gè)特征屬性上的測(cè)試，每個(gè)分支代表這個(gè)特征屬性在某個(gè)值域上的輸出，而每個(gè)葉節(jié)點(diǎn)存放一個(gè)類別。使用決策樹進(jìn)行決策的過程就是從根節(jié)點(diǎn)開始，測(cè)試待分類項(xiàng)中相應(yīng)的特征屬性，并按照其值選擇輸出分支，直到到達(dá)葉子節(jié)點(diǎn)，將葉子節(jié)點(diǎn)存放的類別作為決策結(jié)果[6]。決策樹C4.5是其中一種算法，具體步驟如下：

(1)設(shè)D為用類別對(duì)訓(xùn)練元組進(jìn)行的劃分，計(jì)算D的信息熵（entropy）：

(2)抽取樣本號(hào)碼的 N個(gè)呼叫特征并且計(jì)算每個(gè)呼叫特征的期望信息以及分裂信息，如特征A的期望信息為：

特征A的分裂信息為：

(3)計(jì)算每一個(gè)呼叫特征的信息增益以及信息增益率，特征A的信息增益率為:

(4)選擇選擇具有最大信息增益率的呼叫特征作為分裂屬性；

(5)設(shè)置決策樹的最大樹深度C4.5_M以及最小分裂節(jié)點(diǎn)樣本數(shù)C4.5_N進(jìn)行預(yù)剪枝；

(6)重復(fù)（2）到（4）的步驟直到樹深度>C4.5_M 或者分裂節(jié)點(diǎn)樣本數(shù)

2.2.2 Apriori算法尋找頻繁項(xiàng)集

頻繁項(xiàng)集是關(guān)聯(lián)規(guī)則中的一個(gè)基本概念。假設(shè)I={i1, i2, ..., im}為項(xiàng)的集合, D={T1, T2, ...,Tn},i∈[1,n]為事務(wù)數(shù)據(jù)集, 事務(wù)Ti由I中若干項(xiàng)組成。設(shè)S為由項(xiàng)組成的一個(gè)集合, S={i|i∈I}，簡(jiǎn)稱項(xiàng)集。包含k個(gè)項(xiàng)的項(xiàng)集稱為k-項(xiàng)集。其中Apriori算法是一種基本的發(fā)現(xiàn)頻繁項(xiàng)集的算法。Apriori算法由連接和剪枝兩個(gè)步驟組成。連接是了找到 ，通過與自己連接產(chǎn)生候選 k項(xiàng)集的集合；剪枝是通過計(jì)算每個(gè)k項(xiàng)集的支持度來得到 ，為減少計(jì)算量，可利用到該算法的性質(zhì)即如果一個(gè)k項(xiàng)集的(k-1)項(xiàng)子集不在中，則該候選也不是頻繁的，可以直接從 中刪除。

支持度代表了項(xiàng)集中{X，Y}同時(shí)出現(xiàn)的可能性即概率，具體公式為：

只有滿足：的項(xiàng)集Z才能成為頻繁項(xiàng)集,即Z的支持度≥給定最小支持度。同一個(gè)頻繁項(xiàng)集內(nèi)的所有黑名單號(hào)碼認(rèn)為是一個(gè)集團(tuán)的號(hào)碼。

2.2.3 惡意電話治理流程

首先對(duì)樣本特征數(shù)據(jù)進(jìn)行決策樹建模，通過算法準(zhǔn)確率與覆蓋率的評(píng)估選擇最優(yōu)參數(shù)，獲取判斷是否為惡意電話的行為規(guī)則，將規(guī)則應(yīng)用于全網(wǎng)用戶行為數(shù)據(jù)，判斷每一個(gè)手機(jī)用戶的通話行為是否符合惡意電話的行為，若符合則加入黑名單。其次從黑名單號(hào)碼和對(duì)應(yīng)的被叫號(hào)碼中尋找頻繁項(xiàng)集，同一個(gè)頻繁項(xiàng)集內(nèi)的所有號(hào)碼為同一個(gè)集團(tuán)號(hào)碼，即一些黑名單號(hào)碼同時(shí)出現(xiàn)在不同被叫的主叫列表中，則認(rèn)為這些黑名單號(hào)碼來源于同一個(gè)集團(tuán)，否則就認(rèn)為是個(gè)人號(hào)碼。未被模型判斷為黑名單的號(hào)碼首先判斷是否為用戶白名單號(hào)碼，白名單是指用戶通訊錄號(hào)碼和用戶個(gè)人信任的號(hào)碼，若不屬于白名單號(hào)碼則被認(rèn)為是灰名單號(hào)碼。

對(duì)集團(tuán)號(hào)碼直接攔截處理，對(duì)黑名單個(gè)人號(hào)碼、灰名單號(hào)碼和白名單號(hào)碼進(jìn)行通話場(chǎng)景過濾，基于不同的場(chǎng)景選擇對(duì)白名單號(hào)碼接通或者提醒，對(duì)灰名單號(hào)碼接通、提醒或者攔截，對(duì)黑名單個(gè)人號(hào)碼提醒或者攔截。

圖2 惡意電話號(hào)碼識(shí)別與場(chǎng)景化的治理策略

3 實(shí)驗(yàn)結(jié)果與分析

3.1 決策樹C4.5分類模型

本文對(duì)脫敏后移動(dòng)用戶的話單行為進(jìn)行統(tǒng)計(jì)分析，選取1小時(shí)內(nèi)用戶的總通話次數(shù)、總通話時(shí)長(zhǎng)等特征作為模型的輸入，選取的樣本量為黑名單1866個(gè)、白名單10000個(gè)，訓(xùn)練集與測(cè)試集的比例為7：3。算法主要參數(shù)設(shè)為每個(gè)葉節(jié)點(diǎn)的最小觀測(cè)樣本量為100個(gè)，樹的高度為20。

該算法選用的顯著的指標(biāo)為總通話次數(shù)、平均振鈴時(shí)延、不同被叫數(shù)與平均通話時(shí)長(zhǎng)。指標(biāo)的重要性為：總通話次數(shù)100%、平均振鈴時(shí)延86.47%、不同被叫數(shù)3.51%、平均通話時(shí)長(zhǎng)3.45%。該算法得到的置信度最高的兩條規(guī)則為：總通話次數(shù)>15與8 <總通話次數(shù)15平均通話時(shí)長(zhǎng)13.65，這兩條規(guī)則生成的黑名單數(shù)量較多。從表1的結(jié)果矩陣中可以得到模型的準(zhǔn)確率為87.9%，覆蓋率為78.9%，效果較好。

表1 決策樹C4.5分類模型結(jié)果矩陣

將該模型應(yīng)用于全網(wǎng)用戶話單分析，將符合黑名單特征的號(hào)碼加入到黑名單庫(kù)中。

3.2 頻繁項(xiàng)集

進(jìn)一步挖掘決策樹分類模型得到的黑名單號(hào)碼中的頻繁項(xiàng)集，將支持度設(shè)置為 0.002%，至少為頻繁 5-項(xiàng)集，得到以下集團(tuán)號(hào)碼，為了保護(hù)用戶隱私，其中的用戶號(hào)碼都做了脫敏處理，用符號(hào)“*”遮蓋部分號(hào)碼。同一個(gè)頻繁項(xiàng)集內(nèi)的號(hào)碼為同一個(gè)集團(tuán)的號(hào)碼，集團(tuán)號(hào)碼一旦出現(xiàn)直接做攔截處理，其余號(hào)碼為個(gè)人號(hào)碼，需要進(jìn)一步通過場(chǎng)景分析進(jìn)行個(gè)性化處理。

表2 頻繁項(xiàng)集挖掘集團(tuán)號(hào)碼結(jié)果

3.3 基于場(chǎng)景的治理策略

本文模擬五個(gè)場(chǎng)景，根據(jù)每個(gè)場(chǎng)景提供的時(shí)間、地點(diǎn)、人物屬性三大要素分別對(duì)用戶白名單、用戶灰名單、黑名單個(gè)人號(hào)碼采取不同的治理策略。

場(chǎng)景1：時(shí)間要素為“特殊”即用戶正在遭受高頻率的惡意電話騷擾，地點(diǎn)要素為“本地”，人物標(biāo)簽為“退休老人”。由于“退休老人”屬于易受騙群體，且處于被高頻騷擾的狀態(tài)，因此采用高攔截率的策略，只對(duì)用戶通訊錄或白名單中的號(hào)碼放行接通。實(shí)驗(yàn)中采用該方法對(duì)非白名單的號(hào)碼進(jìn)行100%攔截。

場(chǎng)景 2：時(shí)間要素為“特殊”，地點(diǎn)要素為“本地”，人物標(biāo)簽為“商務(wù)人士”。由于“商務(wù)人士”多需要溝通洽談，需要接聽的電話較多，因此當(dāng)其遭受高頻率的惡意電話騷擾時(shí)，除了對(duì)其白名單號(hào)碼放行接通，對(duì)黑名號(hào)碼全部攔截外，還對(duì)歸屬地為本地的灰名單號(hào)碼進(jìn)行提醒，若該類號(hào)碼被用戶標(biāo)記為信任則予以接通。實(shí)驗(yàn)中直接攔截的號(hào)碼占比為 89.1%，提醒的號(hào)碼占比為6.9%，接通的號(hào)碼占比為4%。

場(chǎng)景3：時(shí)間要素為“開車”，地點(diǎn)要素為“本地”、“移動(dòng)點(diǎn)”，人物標(biāo)簽為“開車一族”。當(dāng)用戶處于行車的狀態(tài)時(shí)，在未到停留點(diǎn)之前對(duì)所有白名單和灰名單來電進(jìn)行提醒，當(dāng)用戶結(jié)束行車狀態(tài)時(shí)再對(duì)提醒的號(hào)碼進(jìn)行判斷和回?fù)堋?shí)驗(yàn)中直接攔截的號(hào)碼占比為75%，提醒的號(hào)碼占比為25%。

場(chǎng)景 4：時(shí)間要素為“工作”，地點(diǎn)要素為“外地”，人物標(biāo)簽為“經(jīng)常出差某地的上班族”。由于該類人群經(jīng)常出差某地，因此對(duì)歸屬地為出差地和本地的灰名單號(hào)碼進(jìn)行提醒，若該類號(hào)碼被用戶標(biāo)記為信任則予以接通。實(shí)驗(yàn)中直接攔截的號(hào)碼占比為70.2%，提醒的號(hào)碼占比為18%，接通的號(hào)碼占比為11.8%。

場(chǎng)景5：時(shí)間要素為“正?！?，地點(diǎn)要素為“本地”、“停留點(diǎn)”，人物標(biāo)簽為“防騙高手”。該類人群的防騙意識(shí)強(qiáng)，且并未收到高頻的騷擾或處于不方便通話的狀態(tài)。因此只需對(duì)黑名單中的個(gè)人電話予以提醒，對(duì)灰名單和白名單中的電話放行接通，用戶手動(dòng)判斷自否信任該電話或?qū)⑵淅雮€(gè)人黑名單。實(shí)驗(yàn)中直接攔截的號(hào)碼占比為61 %，提醒的號(hào)碼占比為10%，接通的號(hào)碼占比為29.2%。

圖3 不同場(chǎng)景下灰名單和黑名單個(gè)人號(hào)碼的治理策略

4 結(jié)束語(yǔ)

本文采用機(jī)器學(xué)習(xí)分類模型中的決策樹和關(guān)聯(lián)分析模型中的頻繁項(xiàng)集挖掘技術(shù)對(duì)移動(dòng)用戶的話單行為進(jìn)行分析，根據(jù)模型的判斷結(jié)果將號(hào)碼劃分為白名單、灰名單、黑名單個(gè)人號(hào)碼和黑名單集團(tuán)號(hào)碼四類。引入場(chǎng)景化的概念，通過對(duì)時(shí)間、地點(diǎn)、人物屬性三大場(chǎng)景要素的分析，對(duì)不同類型的號(hào)碼采取符合當(dāng)下場(chǎng)景的治理策略。對(duì)黑名單集團(tuán)號(hào)碼直接攔截處理；對(duì)黑名單個(gè)人號(hào)碼進(jìn)行提醒或攔截處理；對(duì)灰名單號(hào)碼進(jìn)行接通、提醒或攔截處理；對(duì)白名單號(hào)碼進(jìn)行接通或者提醒處理。通過機(jī)器學(xué)習(xí)技術(shù)提高惡意電話識(shí)別的準(zhǔn)確率與覆蓋率，通過場(chǎng)景化的治理手段為用戶提供更具個(gè)性化的治理措施，提升用戶體驗(yàn)。本文提供的惡意電話治理策略能夠?yàn)檫\(yùn)營(yíng)商和相關(guān)領(lǐng)域的學(xué)者提供實(shí)踐上和理論上的參考。

[1]觸寶電話大數(shù)據(jù)中心.2016年中國(guó)騷擾電話形勢(shì)分析報(bào)告[EB/OL].

[2]沙夏云.虛假主叫號(hào)碼攔截實(shí)現(xiàn)方案分析與實(shí)施[D].北京:北京郵電大學(xué), 2011.

[3]王大偉.電信詐騙電話攔截系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京郵電大學(xué)，2014.

[4]麥歡怡，黃斌華.基于特征識(shí)別的交互式騷擾電話攔截系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].電信快報(bào)，2011.

[5]黃文彬，徐山川，吳家輝，王軍.移動(dòng)用戶畫像構(gòu)建研究[J].現(xiàn)代情報(bào)，2016.

[6]韓家煒，坎伯.數(shù)據(jù)挖掘: 概念與技術(shù)[J].北京: 機(jī)械工業(yè)出版社, 2001.

[7]張怡婷，張揚(yáng)，張濤，楊明，羅軍舟.基于樸素貝葉斯的Android軟件惡意行為智能識(shí)別[J].東南大學(xué)學(xué)報(bào)(自然科學(xué)版)，2015.

[8]劉劍.基于數(shù)據(jù)挖掘技術(shù)實(shí)現(xiàn)騷擾電話識(shí)別[D].中國(guó)地質(zhì)大學(xué)（北京），2011.

[9]王丹陽(yáng).數(shù)據(jù)挖掘技術(shù)在騷擾電話監(jiān)控系統(tǒng)的應(yīng)用研究[D].湖南大學(xué)，2010.

[10]岳亮.限制垃圾短信及騷擾電話行為方案設(shè)計(jì)與實(shí)現(xiàn)[D].北京郵電大學(xué)，2012.

[11]Enck W,Ongtang M,McDaniel P.On lightweight mobile phone application certification[C]//Proceedings of the 16th ACM conference on Computer and communications security. ACM 2009.

[12]Miettinen M, Halonen P. Host-based intrusion detection for advanced mobile devices[C]//Advanced Information Networking and Applications, 2006. AINA 2006. 20th International Conference on. IEEE, 2006.

[13]Xie L,Zhang X,Seifert J P,et al.pBMDS:a behavior-based malware detection system for cellphone devices[C]//Proceedings of the third ACM conference on Wireless network security. ACM, 2010.