28、基于权限的安卓异常应用检测

基于权限的安卓异常应用检测

1. 引言

在安卓应用市场中，应用的描述与权限列表紧密相关。正常应用的权限请求通常与其描述的功能相符，但恶意应用往往会隐藏一些潜在危险行为，导致其行为与描述的功能不一致。基于此，我们提出了一个基于权限的异常应用检测框架，用于分析安卓市场中应用的潜在危险。

2. 检测框架概述

该框架的核心是一个反映应用描述与权限列表关系的模型。通过这个模型，我们可以预测应用的正常权限列表。具体来说，当权限比较器分析发现应用的实际权限列表与预测的正常权限列表不一致时，就认为该应用存在隐藏危险。
- 定义输出权限列表 ( p = [p_1, p_2, … p_k]^T )，其中 ( p_k \in {0, 1} ) 表示应用是否应请求索引为 ( k ) 的权限。
- 定义应用描述 ( d = (x_1, x_2, … x_{|V|}) )，其中 ( x_i ) 是字典中单词的索引，( V ) 是字典中的单词数量。

3. 模型选择

为了在安卓平台上建立应用描述与权限列表之间的关系，我们采用机器学习技术，基于应用描述来预测其权限。具体步骤如下：
1. 收集训练示例 ：由于使用监督学习方法，首先需要收集足够的训练示例。这些示例的描述和权限列表关系将被用于训练模型。
2. 选择算法 ：使用带有多项事件模型的朴素贝叶斯算法对应用描述进行分类。该算法不仅考虑单词是否出现，还考虑单词出现的次数，在大多数情况下比普通朴素贝叶斯算法效果更好。
3. 模型公式 ：多项朴素贝叶斯模型根据