摘? 要： 由于安卓平臺(tái)開源性、免費(fèi)性的特點(diǎn)，惡意軟件的數(shù)量急劇增長，其安全問題面臨巨大挑戰(zhàn)?，F(xiàn)有的基于權(quán)限進(jìn)行安卓惡意軟件的靜態(tài)檢測(cè)方法中，往往利用單一的權(quán)限，缺少特征性，據(jù)此該文提出了一種安卓惡意軟件檢測(cè)的方案，通過反編譯軟件提取權(quán)限，運(yùn)用改進(jìn)的樸素貝葉斯方法進(jìn)行分類，實(shí)驗(yàn)結(jié)果表明， 基于權(quán)限組合，使用改進(jìn)的樸素貝葉斯算法相比于傳統(tǒng)的算法，具有較好的分類結(jié)果，準(zhǔn)確率達(dá)到95%。

關(guān)鍵詞： 權(quán)限組合;樸素貝葉斯;惡意軟件檢測(cè);靜態(tài)檢測(cè)

中圖分類號(hào)： TP309? ? 文獻(xiàn)標(biāo)識(shí)碼： A? ? DOI：10.3969/j.issn.1003-6970.2019.10.026

本文著錄格式：胡芷琦. 基于改進(jìn)樸素貝葉斯算法的安卓惡意軟件檢測(cè)研究[J]. 軟件，2019，40（10）：115120

Research on Android Malware Detection Based on Improved Naive Bayes Algorithm

HU Zhi-qi

（School of Information Science and Engineering， Hangzhou Normal University， Hangzhou 311121， China）

【Abstract】： Due to the open source and free features of the Android platform， the number of malwares has increased dramatically， and its security issues are facing enormous challenges. Among the currently static detection method of Android malware that bases on the permissions， it frequently makes use of the single permission， thus， it leads to lack of the characteristic. Accordingly， it puts forward a scheme about detecting Android malware. First， we obtain the permissions by decompiling software. Second， using improved Naive Bayesian method to make classification. The experimental result shows that compared the traditional calculation， using improved Naive Bayesian method based on permissions combination contributes to relatively good classification result with 95% accuracy rate.

【Key words】： Combination of permissions; Naive bayes; Malware detection; Static detection

0? 引言

根據(jù)市場(chǎng)調(diào)研機(jī)構(gòu)Gartner 2017年第一季度智能手機(jī)市場(chǎng)報(bào)告[1]顯示安卓的市場(chǎng)份額已經(jīng)達(dá)到了86.1%，而IOS則僅有13.7%的份額。由于安卓操作系統(tǒng)開源性、免費(fèi)性等優(yōu)點(diǎn)，使其智能手機(jī)獲得了手機(jī)廠商和消費(fèi)者的喜愛，擁有較大的市場(chǎng)占有率，但同時(shí)由于安卓平臺(tái)的惡意程序制作成本低，可批量生成惡意程序，致使其安全性面臨著巨大的挑戰(zhàn)。2017年360互聯(lián)網(wǎng)安全統(tǒng)計(jì)[2]，如圖1所示，2017年全年，360互聯(lián)網(wǎng)安全中心累計(jì)截獲安卓平臺(tái)新增惡意軟件樣本757.3萬個(gè)，平均每天新增2.1萬。安卓的移動(dòng)惡意軟件總體進(jìn)入平穩(wěn)高發(fā)期，它的安全問題仍然存在很大的危險(xiǎn)，這使得安卓惡意軟件的檢測(cè)成為了學(xué)術(shù)界和工業(yè)界關(guān)注的熱點(diǎn)。

在惡意軟件檢測(cè)中，如果需要執(zhí)行安全相關(guān)的操作或者訪問隱私的情況，開發(fā)者需要在其配置文件中進(jìn)行相應(yīng)權(quán)限的申請(qǐng)。文獻(xiàn)[3]對(duì)正常軟件和惡意軟件對(duì)權(quán)限的使用情況進(jìn)行了對(duì)比，發(fā)現(xiàn)惡意程序傾向于使用短信、開機(jī)自啟動(dòng)、更改WIFI狀態(tài)等權(quán)限，而良性程序很少使用這些權(quán)限。因此，我們可以將權(quán)限提取出來作為特征值， 具有一定的實(shí)際意義。

除此之外，機(jī)器學(xué)習(xí)算法被廣泛應(yīng)用于安卓惡意軟件的檢測(cè)，對(duì)此也有很多人進(jìn)行了研究。Wu等人[4]提出了用k-means聚類算法進(jìn)行聚類，聚類中心數(shù)量通過奇異值分解來確定，但該方法算法復(fù)雜度高，并且需要先確定k的個(gè)數(shù);張銳等[5]采用卡方檢驗(yàn)計(jì)算各權(quán)限特征對(duì)分類結(jié)果的影響，去除冗余權(quán)限特征，從權(quán)限相關(guān)性角度快速檢測(cè)惡意軟件，但沒有考慮組合權(quán)限的威脅;Junmei Sun等[6]用關(guān)鍵字相關(guān)距離進(jìn)行計(jì)算關(guān)鍵代碼之間的相關(guān)性，后運(yùn)用SVM算法檢測(cè)安卓惡意軟件，但復(fù)雜度較高。

所以本文的研究從用戶信息安全入手，將一系列威脅用戶安全的惡意權(quán)限組合作為特征，并為了避免程序計(jì)算中出現(xiàn)計(jì)算不準(zhǔn)確這一問題，采用改進(jìn)的樸素貝葉斯算法進(jìn)行分類。

1? 研究現(xiàn)狀

1.1? 基于權(quán)限的安卓惡意軟件檢測(cè)研究

在安卓惡意軟件檢測(cè)中，主要有靜態(tài)檢測(cè)與動(dòng)態(tài)檢測(cè)。靜態(tài)檢測(cè)是指在軟件不運(yùn)行的狀態(tài)下通過提取軟件自身的特征進(jìn)行分析，而動(dòng)態(tài)檢測(cè)是在軟件運(yùn)行狀態(tài)下檢測(cè)可疑行為，從而判斷軟件是否為惡意。所以，靜態(tài)檢測(cè)更為方便快捷。

在靜態(tài)分析中，Enck等人[7]提出了有代表性的Kirin系統(tǒng)，通過分析安卓軟件申請(qǐng)的權(quán)限來判定軟件是否存在惡意行為。Justin Sahs[8]提取APK的恃征，利用分類器訓(xùn)練這些特征來進(jìn)行分類。Glodek等人[9]提取權(quán)限、組件、本地代碼作為特征，利用Random Forest算法對(duì)應(yīng)用程序進(jìn)行分類。Moonsamy等人[10]靜態(tài)分析安卓Manifest.xml中的權(quán)限，利用biclustering算法，找出惡意軟件和非惡意軟件分別使用頻率最高的權(quán)限和權(quán)限之間的特征關(guān)系。陳洪閔等人[11]獲取apk中的權(quán)限以及API特征作為特征集，并用機(jī)器學(xué)習(xí)的分類算法來判斷是否為惡意軟件。由此可見，安卓軟件測(cè)權(quán)限可以作為檢測(cè)惡意軟件的特征屬性。

1.2? 樸素貝葉斯算法在檢測(cè)方面的應(yīng)用

樸素貝葉斯（Native Bayes，NB）算法[12]是一種依據(jù)概率原則進(jìn)行分類的機(jī)器學(xué)習(xí)算法。應(yīng)用先前事前的有關(guān)數(shù)據(jù)來估計(jì)未來事件發(fā)生的概率。樸素貝葉斯的思想基礎(chǔ)是：對(duì)于給出的待分類項(xiàng)，求解在此項(xiàng)出現(xiàn)的條件下各個(gè)類別出現(xiàn)的概率，哪個(gè)最大，就認(rèn)為此待分類項(xiàng)屬于哪個(gè)類別。

基于貝葉斯理論的樸素貝葉斯分類方法具有簡(jiǎn)單、有效、速度快的優(yōu)點(diǎn)，是文本分類算法的重點(diǎn)研究內(nèi)容之一，李丹[13]的基于樸素貝葉斯方法的中文文本分類研究表明樸素貝葉斯具有良好的分類效果;張潔琳[14]使用貝葉斯網(wǎng)絡(luò)應(yīng)用于用戶信用評(píng)估;任曉奎[15]等人所做的基于粒子群的加權(quán)樸素貝葉斯入侵檢測(cè)模型既能解決傳統(tǒng)樸素貝葉斯算法的特征項(xiàng)冗余問題，同時(shí)也可以優(yōu)化特征項(xiàng)間的強(qiáng)獨(dú)立性問題，通過實(shí)驗(yàn)證實(shí)了該模型的實(shí)效性，提高了檢測(cè)率。由此可見，樸素貝葉斯算法在分類上具有著廣泛的應(yīng)用和良好的表現(xiàn)。

綜上，樸素貝葉斯方法在分類檢測(cè)方面應(yīng)用廣泛，且基于權(quán)限的樸素貝葉斯檢測(cè)方法快速、準(zhǔn)確率高、誤報(bào)率低，但是要求特征間獨(dú)立性較大，而單個(gè)權(quán)限特征之間往往是互相關(guān)聯(lián)的?；跈?quán)限組合的檢測(cè)方法可以增加特征間的獨(dú)立性，缺點(diǎn)是檢測(cè)方法太單一。

2? 方案介紹

2.1? 安卓惡意軟件檢測(cè)方法

該文提出的安卓惡意軟件檢測(cè)方法，具體流程如圖1所示，以靜態(tài)檢測(cè)的方式，通過反編譯提取出軟件中的權(quán)限，并將權(quán)限組合作為特征形成特征集合，然后將它們向量化，利用改進(jìn)的樸素貝葉斯算法進(jìn)行訓(xùn)練，計(jì)算出條件概率和先驗(yàn)概率，建立相應(yīng)的分類模型，在測(cè)試時(shí)利用后驗(yàn)概率來快速地識(shí)別出惡意軟件。

2.2? 構(gòu)建權(quán)限特征集合

安卓軟件中，每一種行為都有相應(yīng)的權(quán)限與之對(duì)應(yīng)，權(quán)限能夠在很大程度上反應(yīng)出軟件的特定行為模式。該文首先獲取軟件的權(quán)限信息，構(gòu)建權(quán)限特征集合，將權(quán)限作為特征屬性來判別惡意軟件。

安卓應(yīng)用程序包文件apk，是安卓操作系統(tǒng)上的應(yīng)用程序安裝文件格式。一個(gè)apk文件通常包括被編譯的代碼文件（即.dex件）、資源文件（即resources）、assets、證書文件（即certifi-cates）和清單文件（即mainifest.xml）等。從結(jié)構(gòu)上來說，apk是一種基zip文件格式的文件，它與jar文件的構(gòu)造方式相似[16]。該文首先將正常和惡意apk作為訓(xùn)練樣本庫，以apk文件為輸入，利用開源工具解壓縮工具apktool反編譯apk，得到classes.dex文件和安卓Manifest.xml文件，解析安卓Manifest.xml文件提取所有權(quán)限信息，例如讀取通訊錄、撥打電話等權(quán)限。通過對(duì)權(quán)限特征的訓(xùn)練、分析和識(shí)別，檢測(cè)應(yīng)用程序是惡意應(yīng)用程序還是非惡意應(yīng)用程序。Google為安卓系統(tǒng)設(shè)立了134個(gè)權(quán)限，同時(shí)允許用戶進(jìn)行自定義權(quán)限的操作。本文主要研究安卓本身所提供的權(quán)限。

解析安卓Manifest.xml文件提取的所有權(quán)限信息只是反映出軟件會(huì)申請(qǐng)這些權(quán)限，但是有些權(quán)限，正常應(yīng)用和惡意應(yīng)用可能都會(huì)申請(qǐng)，不能夠反映出惡意應(yīng)用的特性，會(huì)引起較多的誤判，研究發(fā)現(xiàn)一個(gè)惡意行為的發(fā)生通常需要多個(gè)特定權(quán)限的配合使用才能達(dá)到[17]。

為了識(shí)別未知的安卓軟件是否為惡意軟件，是否存在惡意行為，該文采用文獻(xiàn)[3]中總結(jié)出來14組權(quán)限組合作為輸入特征，其中包括9組危險(xiǎn)權(quán)限和5組從常被惡意程序利用的事件。如表1所示，構(gòu)建權(quán)限特征集合。

對(duì)于每個(gè)訓(xùn)練樣本的提取出所有權(quán)限，從中選取含有這14組權(quán)限組合特征的權(quán)限集合，這樣每個(gè)訓(xùn)練樣本可用{Xi1，Xi2，…，Xi14}來表示，每個(gè)維度對(duì)應(yīng)一組權(quán)限組合，若樣本中含有該權(quán)限組合中的個(gè)數(shù)為n，則標(biāo)記為n;若沒有，則用0表示，得到特征向量集合。最后進(jìn)行類別標(biāo)記，用{0，1}來表示，其中0表示屬于非惡意軟件，1表示屬于惡意軟件。

例如某個(gè)樣本中包含權(quán)限RECEIVE_BOOT_ COMPLETED，INTERNET，READ_PHONE_STATE，SEND_SMS，RECEIVE_SMS，CHANGE_CONFI GURATION，則此樣本構(gòu)建權(quán)限特征集為{0，0，0，0， 0，1，0，2，0，1，0，0，0，1，1}。

2.3? 基于改進(jìn)的樸素貝葉斯算法的惡意軟件檢測(cè)

樸素貝葉斯算法利用貝葉斯公式的特性， 將先驗(yàn)概率和條件概率轉(zhuǎn)換成后驗(yàn)概率， 并為了簡(jiǎn)化問題處理， 利用條件獨(dú)立性假設(shè)，減少安卓惡意軟件分類計(jì)算的開銷，預(yù)測(cè)位置數(shù)據(jù)樣本屬于最高后驗(yàn)概率的類。但傳統(tǒng)的樸素貝葉斯算法對(duì)數(shù)據(jù)計(jì)算要求較高，容易產(chǎn)生偏差，且由于特征的復(fù)雜性無法直接應(yīng)用，該文對(duì)此提出了改進(jìn)：

算法：改進(jìn)的樸素貝葉斯算法

輸入：樣本訓(xùn)練數(shù)據(jù)集定義為D={D1， D2，…，Dn}，測(cè)試數(shù)據(jù)集定義為T={T1，T2，…，Tm}，將提取出的特征集合作為數(shù)據(jù)的特征集X={Xi1， Xi2，…， Xi14}，i∈[1，m]，定義Y={0，1}來表示類別，其中0表示屬于非惡意軟件，1表示屬于惡意軟件。

輸出：T的分類

1. 預(yù)處理

（1）Laplace校準(zhǔn)

Laplace校準(zhǔn)，也叫拉普拉斯平滑，即若出現(xiàn)特征劃分未出現(xiàn)，即條件概率為0的情況下，將所有類別特征劃分計(jì)數(shù)加1，這樣如果訓(xùn)練樣本集數(shù)量充分大時(shí)，并不會(huì)對(duì)結(jié)果產(chǎn)生影響，并且解決了上述頻率為0的尷尬局面。

（2）自然對(duì)數(shù)避免下溢出

在公示中我們可以發(fā)現(xiàn)，在對(duì)后驗(yàn)概率的比較計(jì)算中，存在很小的概率相乘可能會(huì)造成下溢出，所以在進(jìn)行乘法運(yùn)算時(shí)采用乘數(shù)取自然對(duì)數(shù)法對(duì)運(yùn)算結(jié)果進(jìn)行修正。采用自然對(duì)數(shù)可避免下溢出或浮點(diǎn)數(shù)舍入導(dǎo)致的錯(cuò)誤，且不會(huì)有任何損失。

2. 計(jì)算先驗(yàn)概率以及條件概率

其中，先驗(yàn)概率P（Y）可以計(jì)算惡意或非惡意樣本在整個(gè)訓(xùn)練集中的比例來得到

（1）

該文利用樸素貝葉斯分類器計(jì)算條件概率P（X|Y），由于貝葉斯公式的條件是特征集合A中的各個(gè)特征值相互獨(dú)立，則條件獨(dú)立性假設(shè)可表示為

（2）

P（Xi|Y=j）為條件概率，也可以從訓(xùn)練數(shù)據(jù)中得到，樣本Ti的特征可以用一組維度為14的特征向量（Xi1，Xi2，…，Xi14）來表示，則條件概率公式可以寫成

（3）

若出現(xiàn)所有特征為出現(xiàn)的情況則引入拉普拉斯校準(zhǔn)進(jìn)行數(shù)值修正，即

（4）

3. 計(jì)算后驗(yàn)概率

分別計(jì)算出判斷為惡意與非惡意情況下的后驗(yàn)概率，即可簡(jiǎn)化為

（5）

比較各分類下的值，若在惡意條件下的后驗(yàn)概率比非惡意條件下概率大，則分類結(jié)果為惡意軟件;反之，則為良性軟件。

3? 實(shí)驗(yàn)過程與分析

3.1? 實(shí)驗(yàn)過程

本次實(shí)驗(yàn)共采集了7035個(gè)樣本，其中3171個(gè)是良性應(yīng)用，為了避免數(shù)據(jù)的不均衡性，良性應(yīng)用下載自廣受信賴的應(yīng)用商城 Google Play、小米商店等分別通過自己編寫的爬蟲程序爬取，包含生活、游戲、社交、購物、教育等應(yīng)用類別。另外3864個(gè)應(yīng)用為惡意應(yīng)用，惡意樣本來源為Android Malware Genome Project[16]，覆蓋惡意應(yīng)用家族的所有類別。

實(shí)驗(yàn)在配置有JAVA環(huán)境的Windows 操作系統(tǒng)上執(zhí)行。通過對(duì)多個(gè)惡意軟件和非惡意軟件的樣本進(jìn)行檢測(cè)，統(tǒng)計(jì)計(jì)算出檢測(cè)的評(píng)價(jià)標(biāo)準(zhǔn)，作為評(píng)估該方法可靠性的指標(biāo)。

在惡意檢測(cè)部分的實(shí)驗(yàn)中，將訓(xùn)練樣本分為訓(xùn)練樣本集合和測(cè)試樣本集合。其中訓(xùn)練樣本集合有5628個(gè)樣本，包含惡意樣本3010個(gè)和非惡意樣本2528個(gè);測(cè)試樣本集合有1407個(gè)，包含惡意樣本763個(gè)，非惡意樣本644個(gè)，在分類算法上，使用上述改進(jìn)的樸素貝葉斯算法，并對(duì)檢測(cè)出為惡意的軟件進(jìn)行惡意行為分析，采用十折交叉驗(yàn)證，輪流將樣本集的90%作為訓(xùn)練集，10%作為測(cè)試集，取10次試驗(yàn)的平均結(jié)果來評(píng)估模型。

3.2? 實(shí)驗(yàn)方法和評(píng)價(jià)標(biāo)準(zhǔn)

為了更好的評(píng)估算法模型，實(shí)驗(yàn)選取的評(píng)價(jià)標(biāo)準(zhǔn)有Accuracy、Precision、Recall、F-score。

（1）Accuracy為準(zhǔn)確率，該指標(biāo)越高，表示該模型對(duì)所有未知APK預(yù)測(cè)結(jié)果的準(zhǔn)確率越高;

（2）Precision為精確率，該指標(biāo)越高，表示該模型對(duì)負(fù)樣本的區(qū)分能力越強(qiáng);

（3）Recall為回歸率，該指標(biāo)越高，表示該模型對(duì)正樣本的識(shí)別能力越強(qiáng);

（4）F-score是Precision與Recall的綜合評(píng)估，該指標(biāo)越高，說明了該模型越穩(wěn)健。

其中分類的結(jié)果表如表2所示。

根據(jù)表2的描述，則實(shí)驗(yàn)效果評(píng)價(jià)標(biāo)準(zhǔn)的計(jì)算公式如表3所示。

3.3? 實(shí)驗(yàn)結(jié)果與分析

如表4所示，本方案的惡意樣本與Yeima，DroidDetective均包含49個(gè)惡意家族，將實(shí)驗(yàn)結(jié)果同Yerima[18]，DroidDetective[19]的方案比較。為了測(cè)試模型的準(zhǔn)確性和穩(wěn)定性，采用了4個(gè)指標(biāo)，分別為：Accuracy、Precision、Recall、F-score。

從上述實(shí)驗(yàn)結(jié)果和對(duì)比可以得出以下結(jié)論：

（1）對(duì)比Yeima中使用的傳統(tǒng)樸素貝葉斯方 法，在各個(gè)評(píng)價(jià)指標(biāo)上均有較好表現(xiàn)，說明本文基于權(quán)限組合的改進(jìn)的樸素貝葉斯算法有一定的改進(jìn)效果。

（2）與DroidDetective使用權(quán)限組合進(jìn)行對(duì)惡意軟件的檢測(cè)方案相比，本文表現(xiàn)出了更好的對(duì)惡意軟件檢測(cè)的準(zhǔn)確率以及穩(wěn)定性。

（3）本文對(duì)于惡意樣本的檢測(cè)準(zhǔn)確率高達(dá)97%，而對(duì)于良性樣本檢測(cè)準(zhǔn)確率達(dá)到91.9%，可能存在有些軟件權(quán)限申請(qǐng)過多而誤判為惡意樣本的情況，有待改進(jìn)。

4? 總結(jié)

該文針對(duì)如何對(duì)安卓惡意軟件進(jìn)行快速有效的分析檢測(cè)這一問題，使用靜態(tài)檢測(cè)的方法，首先通過apktool反編譯安卓軟件，并從中提取了安卓軟件的權(quán)限，并用機(jī)器學(xué)習(xí)的方法將權(quán)限組合作為特征進(jìn)行訓(xùn)練，用改進(jìn)的樸素貝葉斯算法將軟件進(jìn)行分類檢測(cè)。本方案具有較高的準(zhǔn)確率和穩(wěn)定性，并且即使在非惡意軟件使用了大量敏感權(quán)限時(shí)，也能夠被準(zhǔn)確被準(zhǔn)確區(qū)分出來，將對(duì)非惡意軟件的誤報(bào)降到最小。在未來的工作中，希望能找到更多更加有效的特征，結(jié)合動(dòng)態(tài)檢測(cè)進(jìn)行研究或者將對(duì)比基于BP神經(jīng)網(wǎng)絡(luò)和SVM算法[20]以及以熵值法加權(quán)的KNN算法[21]來進(jìn)行安卓惡意軟件上的檢測(cè)。

參考文獻(xiàn)

[1]電子產(chǎn)品世界. 2017年第一季度全球智能手機(jī)銷量增長9%[DB/OL]. http：//www.eepw.com.cn/article/201705/359681. htm， 2017 05 25.

[2]鴻鴈. 360：2017年中國手機(jī)安全風(fēng)險(xiǎn)報(bào)告[DB/OL]. https：// bbs.#/thread-14972358-1-1.html， 2017 5 12.

[3]ZHOU Y， JIANG X. Dissecting Android malware： characterizationand evolution[C]//Proceedings of the 2012 IEEE Symposium onSecurity and Privacy. Washington， DC： IEEE Computer Society， 2012： 95-109.

[4]Wu D J， Mao C H， Wei T E， et al. DroidMat： Android Malware Detection through Manifest and API Calls Tracing[C]//Information Security （Asia JCIS）， 2012 Seventh Asia Joint Conference on. IEEE， 2012： 62-69.

[5]ZHANG R， YANG J Y. Android malware detection based on permission relevance[J]. Journal of Computer Applications， 2014， 34（5）： 1322-1325.

[6]Junmei Sun， Kai Yan， Xuejiao Liu， Chunlei Yang， Yaoyin Fu： Malware detection on android smartphones using keywords vector and SVM. ICIS 2017： 833-838.

[7]Enck W， Ongtang M， Mcdaniel P D， et al. On lightweight mobile phone application certification[C]. computer and communications security， 2009： 235-245.

[8]Sahs J， Khan L. A machine learning approach to Androidmalware detection. European Intelligence and SecurityInformatics Conference. Odense， Denmark， 2012： 141-147. [doi：10.1109/EISIC.2012.34].

[9]Glodek W， Harang R. Rapid Permissions-Based Detection and Analysis of Mobile Malware Using Random Decision Forests[C]//Military Communications Conference， Milcom 2013-. IEEE， 2014： 980-985.

[10]Moonsamy V， Rong J， Liu S. Mining permission patterns for contrasting clean and malicious Android applications[J]. Future Generation Computer Systems， 2014， 36（3）： 122-132.

[11]陳紅閔， 胡江村. 安卓惡意軟件的靜態(tài)檢測(cè)方法. 計(jì)算機(jī)系統(tǒng)應(yīng)用， 2018， 27（7）： 26-33.

[12]BrettLantz， 蘭茲， 李洪成， 等. 機(jī)器學(xué)習(xí)與R語言[M]. 機(jī)械工業(yè)出版社， 2015.

[13]李丹. 基于樸素貝葉斯方法的中文文本分類研究[D]. 河北大學(xué)， 2011.

[14]張潔琳. 試論貝葉斯網(wǎng)絡(luò)在用戶信用評(píng)估中的應(yīng)用[J]. 軟件， 2018， 39（12）： 194-197.

[15]任曉奎， 繳文斌， 周丹. 基于粒子群的加權(quán)樸素貝葉斯入侵檢測(cè)模型[J]. 計(jì)算機(jī)工程與應(yīng)用， 2016， 52（7）： 122-126.

[16]APK[OL]. https：//zh. wikipedia. org/wiki/APK.

[17]楊歡， 張玉清， 胡予濮， 等. 基于權(quán)限頻繁模式挖掘算法的安卓惡意應(yīng)用檢測(cè)方法[J]. 通信學(xué)報(bào)， 2013， 34（Z1）： 106-115.

[18]Yerima S Y， Sezer S， Mcwilliams G， et al. A New Android Malware Detection Approach Using Bayesian Classification [J]. advanced information networking and applications， 2013： 121-128.

[19]Liang S， Du X. Permission-combination-based scheme for Android mobile malware detection[C]. international conference on communications， 2014： 2301-2306.

[20]王宏濤， 孫劍偉. 基于BP 神經(jīng)網(wǎng)絡(luò)和SVM 的分類方法研究[J]. 軟件， 2015， 36（11）： 96-99.

[21]張慧， 侯開虎， 周洲. EM-KNN算法在復(fù)烤煙葉分類上的運(yùn)用[J]. 軟件， 2018， 39（6）： 96-100.