Android恶意软件的贝叶斯概率模型及特征选择算法分析

⃝可在www.sciencedirect.com上在线获取ScienceDirectICTExpress 8（2022）424www.elsevier.com/locate/icte用于Android恶意软件检测的贝叶斯概率模型Sharfah Ratibah Tuan Mat，Mohd Faizal Ab RazakRat，Mohd Nizam MohmadKahar，Juliza Mohamad Arif，Ahmad Firdaus马来西亚彭亨大学计算机学院接收日期：2021年7月11日;接收日期：2021年9月5日;接受日期：2021年9月7日2021年9月21日网上发售摘要移动技术的空前发展导致恶意软件的增加，并引发了对恶意软件威胁的担忧。不同的方法已经虽然已经采取了一些措施来克服恶意软件攻击，但这种传播仍在增加。为了解决这一问题，本研究建议一个基于贝叶斯分类的权限特征的Android恶意软件检测系统。通过静态分析技术提取权限特征。用于判断的10 000个样本来自AndroZoo和Drebin数据库。然后使用两种特征选择算法进行实验：信息增益和卡方。许可特征检测的最佳准确率达到91.1%。第2021章作者（二）由爱思唯尔公司出版代表韩国通信和信息科学研究所这是一个开放在CC BY许可下访问文章（http://creativecommons.org/licenses/by/4.0/）。关键词：手机; Android恶意软件;贝叶斯;信息增益;卡方1. 介绍移动设备和移动应用程序的发展极大地改变了我们参与日常生活的方式。网络浏览、网上银行、网上购物、社交网络[1]和在线学习是通过与互联网连接的移动设备的服务的示例。因此，移动设备发挥了至关重要的作用，并已成为人类生活的重要组成部分[2]。2020年移动用户规模已达47.8亿[3]。为这些4.57如果全世界有10亿人使用互联网[4]，那么到2020年，他们将在网上度过12.5亿年的时间，而且还在持续增长。然而，在给用户带来便利的同时，由于在线社交网络和在线服务，移动终端也面临着恶意软件的入侵和攻击[5]。移动恶意软件可以作为标准代码进行欺骗，然后修改任何预期的根据[6]，勒索软件在COVID-19大流行期间蓬勃发展了72%，移动漏洞增加了50%。作为一种保护方法，Google Play提供了一个基于权限的系统作为安全机制，限制应用程序访问机密数据[7]。∗ 通讯作者。电子邮件地址： faizalrazak@ump.edu.my（M.F.A. Razak）。同行评审由韩国通信和信息科学研究所（KICS）负责https://doi.org/10.1016/j.icte.2021.09.003此权限通过考虑所访问的应用程序的资源在安装之前提示用户。用户在继续安装之前必须明确接受协议不幸的是，Google Play提供的机制无法完全保护用户，因为他们倾向于在没有彻底检查许可的情况下接受协议。因此，大多数移动电话用户容易受到损害，因为他们忽视了导致滥用应用程序的许可风险。安全研究人员调查了Google Bouncer应用程序的漏洞，因此，对Android恶意软件的研究对于弥补这一不足具有重要意义机器学习研究正变得越来越流行，因为它是一种有效的方法，可以实现高精度的检测[9，10]。机器学习是一种人工智能（AI）系统，可以自动改进并决定从数据和模式中学习[11]。机器学习的概念是计算系统中最小化的人类中介。机器学习通过计算学习理论预测数据，并从经验或历史数据中学习。它有监督和无监督分类器，用于分析特征和跟踪模型[12]。机器学习提供的方法是帮助验证正常和恶意活动。支持供应商机器（SVM），朴素贝叶斯，K-最近邻（KNN）和Entrance分类器是在2405-9595/2021作者。由爱思唯尔公司出版代表韩国通信和信息科学研究所这是一CC BY许可下的开放获取文章（http://creativecommons.org/licenses/by/4.0/）。S.R.T. 马特，艺术硕士Razak，M.N.M.Kahar等人ICT Express 8（2022）424425|||机器学习一些研究通过使用遗传算法[13[1]的一项研究应用贝叶斯算法来分析互联网上的网络恐怖主义。[17，18]和[19]的研究也使用贝叶斯算法来检测恶意软件。此外，恶意软件分类在机器学习检测的确定中也具有重要意义。恶意软件的分类是将恶意软件的集合基于类别、族和类分类为目标项目的过程。这个过程与数据挖掘功能有相似之处。朴素贝叶斯和支持向量机是分类技术的例子，经常从事分类研究。在机器学习中，新的和受欢迎的分类器是朴素贝叶斯分类模型，它用于静态分析方法。它使用贝叶斯定理，是一种监督机器学习算法。许多朴素贝叶斯的研究被用于不同的研究领域，如[20，21]和[22]所示。朴素贝叶斯计算每个事件的概率，预测问题实例的类标签，并给出特征的值这是一种简单的技术，并在检测中产生高度的准确性本研究提出一种基于权限特征的贝叶斯概率方法来完成对基于签名的恶意软件的检测。使用静态分析提取基于权限的特征，使用贝叶斯分类器对该特征进行分类，以产生恶意软件的预测结果。具体来说，这项研究应用恶意软件检测来生成一个结果，允许用户识别Android应用程序中的威胁本研究的主要贡献如下：a. 该实验使用了10，000个数据集，每个数据集包含5000个恶意软件和良性样本。b. 实验使用静态分析技术应用权限特性。c. 恶意软件检测应用信息增益和卡方算法与贝叶斯分类器。2. 相关工作贝叶斯分类是静态分析方法中最新的机器学习模型。它使用贝叶斯定理，是一种监督学习机器，它在统计上考虑了自力更生的特征[20，23]。朴素贝叶斯的全面研究坚持了一个标准的方法与适当的预处理。贝叶斯度量是相信概率是主观的，指的是未来。理解贝叶斯从一个叫做“先验”的信念开始。然后，通过使用一些数据来更新信念，结果被称为“后验”。概率指的是过去的经验（先验）和预测未来（后验）。旧的后验在大数据周期和过程中变成新的先验，循环往复。此步骤中包含的贝叶斯规则如下：P（A）|B）= P（B|（A）化学品（A）/化学品（B）（1）P（A B）是“概率”，表示条件概率。它的意思是也被称为贝叶斯机器学习。在上面的等式中，P（A）是 先验信念，P（B A）是数据B的似然，P（B）是归一化常数或证据，P（A B）是处理后获得的后验。几率解释为相对频率是概率的含义之一。包含硬币、球、骰子和轮盘的简单游戏被用作概率的例子。 类似地，对Android应用程序中存在恶意软件的可能性的预测是基于发生的相对频率ina wide宽number数of cases案件.贝叶斯定理用于分类研究的各个领域[20，21]和[22]。朴素贝叶斯中的一种简单技术，它产生检测，具有最低的错误率，分配类标签，并将特征的值表示为向量。[24]使用朴素贝叶斯分类方法，并将其与卡方过滤测试相结合。Sharma等人。[18]通过在AndroZoo和Drebin的大型数据集上完成测试，提出了一种在M0Droid数据集上的方法。通过使用来自M0Droid的400个样本，可以通过改善F测量来实现高精度。相比之下，本研究中提出的方法与所使用的特征相似，但在通过静态分析使用贝叶斯分类检测应用程序中存在的恶意软件的过程中有所不同。Wu等人[25]在运行时生成了一个应用软件，并使用贝叶斯更新分析了网络流量。该实验使用了557个样本，14种恶意软件使用信息增益算法选择的功能。该恶意软件是在分析流量特征的基础上检测到的，并且在物联网操作中可行，以实现更高的准确性。[25]的研究与当前的研究不同，但与所使用的分类器相似Suleiman等人[26]提出了一种实用的方法以缓解使用基于贝叶斯分类的静态分析该研究使用了从静态分析中检索到的2000个样本，其中49个被识别为恶意软件家族和一个全面的良性应用程序。一个基于Java的包已经实现，以获得贝叶斯模型的功能集。这项研究的相似之处在于它使用了逆向工程技术但不同之处在于使用具有重新训练的新样本的大规模样本。除了贝叶斯算法之外，机器学习还使用了一些用于恶意软件检测的算法，例如SVM、RF、Adaboost和KNN。每种算法在检测恶意软件的存在方面都扮演着不同的角色。SVM是一种基于统计学习理论的机器学习算法，如维数理论和结构风险最小化理论。RF通过集成众多的树来集成决策树上的学习。Adaboost分类器实践是一个弱分类器，通过分配不同的权重来作为基础，然后将预测权重集合作为输出。KNN是一种有监督的算法，它通过使用训练数据集来运行检测，并对KNN中频繁出现的数据进行分类。它也被称为懒惰学习算法。S.R.T. 马特，艺术硕士Razak，M.N.M.Kahar等人ICT Express 8（2022）424426||2.1. 基于许可的功能Google Play引入了在安装之前，系统会提示用户允许访问。应用程序或网络访问的状态。着手安装时，用户需要接受请求的许可或停止安装。Android应用程序中使用的权限列表存储在AndroidManifest.xml tag file.许可是安全机器人-限制应用程序访问存储在移动电话中的凭证部分，如API和关键信息。创建此限制是为了通过限制对可疑应用程序的访问来保护敏感数据。因此，在移动终端中安装任何应用程序时，都需要请求权限，并且该权限与API分析功能相结合，这对于检测Android设备上的恶意软件最有用。许可的保护分为正常、签名和危险[28]。提供的许可是保护Android用户机密事项的盾牌[29]。如果在应用程序清单文件中声明了普通权限，系统将自动授予。相比之下，危险权限会影响用户存储的关键信息，或为其他应用程序造成混乱。此外，签名权限仅在安装时授予，并且当签名的权限与证书中定义的权限相同时才能使用[29]。某些权限会对用户的信息和数据带来风险，需要系统授予权限。3. 该方法贝叶斯概率用于恶意软件检测，重点是基于权限的功能。应用程序特征是使用包含各种良性和恶意软件的大量恶意软件样本从静态分析中检索的。所提出的系统认为最主要的权限，有助于恶意软件检测。贝叶斯概率被选为一种方法，由于其坚实的数学基础和稳定的分类能力。此外，贝叶斯规则是概率论和计算机系统中实现的概率论的基本支柱之一。贝叶斯规则的公式P（B）|A）P（A）图1.一、 贝叶斯分类器检测系统。3.1. 一般架构主系统的架构如图1所示。它们分为三个阶段：数据集收集、预处理阶段和检测阶段.这些阶段是相互结合的。3.1.1. 数据集收集阶段检测过程首先从Drebin和AndroZoo收集良性和恶意软件数据集，其中包括10，000个样本。良性的应用程序包括从AndroZoo检索的5000个应用程序，由Google Play商店拥有。同时，恶意软件应用程序由从Drebin数据库下载的5000个应用程序组成。此集合包括良性和恶意软件应用程序的所有权限。此过程包括反编译.apk文件、提取和筛选权限。权限被收集并以可读格式保存为.arff文件.arff文件包含用于优化功能的所有功能属性，以便排除噪音和无关性。然后，将下载的数据集提取并编译为.csv文件格式。样本是手动预定义的，然后标记，如良性或恶意软件。VirusTotal中Android应用程序状态的检查是通过恶意软件和良性软件的标签过程完成的。它被研究人员广泛用于其领域[30，31]。VirusTotal是一个通过URL和上传文件检查病毒的在线当VirusTotal完成验证时，通过VirusTotal运行恶意软件样本。此外，在VirusTotal中筛选良性数据集，以确定它们是否P（A）|B）=P（B）（2）恶意与否。然后将数据集样本用于特征选择。根据等式（2）、A是事件的概率，B是与A有某种联系的新证据要估计的事件被称为后验P（A B），即手机中病毒时，获得恶意软件的概率。当概率被观测到时，新的证据是P（B A），也称为似然，成为初始假设。先验是P（A）;也就是说，不需要的事件是先验的附加信息。该理论类似于概率有恶意软件的例子。边际似然是P（B），它包含观察证据的总概率。表1列出了本实验中使用的前20个恶意软件家族。此表包含四（4）列，即功能（SHA256）、病毒总数、家族和总权限。SHA-256是一个专有的加密哈希函数，产生256位值。SHA 256是从Virus- Total网站检索的，并在每个样本中准备一个唯一的密钥。SHA256列旁边的病毒总数表示恶意软件和良性数据集之间的差异。该实验仅使用了排名为0/50的应用程序数据集，这意味着根据乐观声明的数量，APK具有欺骗性。S.R.T. 马特，艺术硕士Razak，M.N.M.Kahar等人ICT Express 8（2022）424427表1排名前20的恶意软件家族。特性（SHA256）病毒总家庭总权限1d22924bbe5dce7696e18d880482b63ce19ca0746f8671aaec865cce143f6e6f37阿尔斯潘14a3a8ec093ba12db3b6e82a385985b84829c84de9abbe5db17a4b2d2fb1715cb727浮游生物2278c1c57100bc14f9689c3f670d48405d9eb7487df1a34a846296f8dd4ab34e3336浮游生物21602205ae45915a3954897b83d7261a39b5d0b0803b1c36e79633ffe027c8398339浮游生物218728a1a0b31748f97695c26dc94a4124cf84001444980df01fcc2b731beb30bc31浮游生物198cb40e8dce05482907ff83b39911831daf20e4a69ee63a6cff523c880eed1acf38Rootsmart806b53d3eaee828123194b4cea8135f5b868296d8d7ab3cb839e34b2f04d6a39阿德13294cfb2bc890b65d7bc9135225369ab9bbd0ca81baa109f829e2c22478b4db2f37阿德134cff30bad920382c6e2f6833b5cdd8b4b0fcde3df0b47167a552c82096d97fc340阿德134d05c2c2f0c0881f8e0c3421da4d6656cc8507ac15658a2fb1309f77e72bd94d39阿德135a5dae9254618bb49428654050069387c8cb2931159953c9566fba9341f3166640阿德135e8c8a69fc749194f86bfcdf285be45b47e675cbe4792616fcd0d00b4584eec042阿德136e28480d51bf723529c48c6320eb7fcb2a5a8ace8ea2415201da7bae87adb48d41阿德1370fd9fbcc343eca79152aacba595bece9d3ca6e5d4bcae02da0d90d8138d952a38阿德139bcf0a67e128813b8cfcc2bc37df0b7ced18459a16ef11e79c7eb6385e4763b738厄普特杀手12aabe5b64af5e841e02392865dc10dcd2df499ec644839227020999b3ee9a87ec40阿德13b092c3fb1def71dba11efc28ccb2e29c8aea779e82037538875834152ca0967f39阿德13c82ab78288ac8b5fd9cce0b2701f034320dcc6cfbe2118527713b9121a9d35b035浮游生物21cb116cefc4cb1004b06d7726258006bb2db468c3dd4ce486b1035a29f6b4330540阿德13e2190399392695d8768d8315278e739d0453b3047c2b76dc4dd19911f3fd959838阿德103.1.2. 预处理阶段APK 经 过 反 编 译 以 解 析 包 含 权 限 的AndroidManifest.xml ， 并 使 用 所 有 Dalvik 字 节 码 编 译classes.dex，例如通过静态分析进行的API调用。特征提取需 要 不 同 的 工 具 ， 如 Androguard 和 ApkTool ， 以 获 得AndroidManifest.xml和classes.dex文件，包括权限，系统调 用 ， 意 图 和 本 机 代 码 。 AndroidManifest 文 件 存 储Android 应 用 程 序 的 所 有 信 息 ， 如 权 限 。 标 签 uses-permission/>对应用程序中请求的权限类型进行分类。APK文件被解压缩并从二进制清单文件转换为可读的XML格式。Androguard工具用于获取权限标签。包含权限特征的数据集样本在最后一列中被标记为良性或恶意软件，并存储为数据库中的.arff文件。总共保存了10，000个样本，这些样本由哈希值表示，以避免重复以二进制格式（.csv），随后转换为.arff（属性关系文件格式）格式文件。这些特征作为属性值，被称为“特征集”。表示该应用程序请求或不请求的权限的二进制值被声明为特征选择技术广泛应用于数据预处理。这是通过扩展和过滤某些不相关或对分类结果有负面影响的特征来找到最有价值的特征。特征选择的优点是减少了训练和测试的周期，提高了效率和准确性。两项研究[32]使用基于权限的功能，[33]使用API调用序列功能，而[32]和[34]使用意图。在权限功能中实现功能优化在训练和测试中非常耗时，但可以减少过度提升并简化恶意软件检测。另一方面，优化能够增加在检测中的准确性。实验优化过程从清理数据集开始，以去除伪影和冗余特征。在随机化过程之前，缺失值数据用零填充。这是因为过滤过程预测是随机的这一过程允许在实验过程中消除可能的趋势。下一步是优化最佳算法，实验使用WEKA（怀卡托知识分析环境）实现了几种算法，以获得数据的随机化和分类目的。其目的是优化和调节数据集，以实现最高可能的特征灵敏度。作为最佳算法的结果，我们采用了信息增益和卡方来优化特征选择，因为这些算法根据我们的数据集产生最佳性能。卡方和信息增益能够提高分类器性能的效率[24，35，36]。卡方和信息增益在识别和选择最重要的特征中起作用。在本研究中使用这些算法的目的是找到最佳的准确性性能根据特征选择，选择了两种算法来寻找相异性并获得最佳精度。在实验中使用了多达10，000个Android应用程序的良性和恶意软件样本。在这项研究中的特征选择是由怀卡托环境知识分析（WEKA）。它是一个开发良好的软件，为机器学习提供了一套算法[9]。信息增益和卡方直接应用于我们的数据集。3.1.3. 检测阶段本 研究 在机 器 学习 方 法中 应用 贝 叶斯 概 率来 检测Android应用程序中的恶意代码。贝叶斯概率具有出色的统计特性，可以将一些恶意代码分为良性代码和良性代码S.R.T. 马特，艺术硕士Razak，M.N.M.Kahar等人ICT Express 8（2022）424428（）下一页i=1I=∑∏=|=-v=v=Y =良性|X = xTP R.TNR F P R F N R>P（Y=可疑|X=X）。（）下一页表2使用朴素贝叶斯的检测性能结果功能优化数量的特征 TPRFPR精度F-measure信息30百分之九十点二0.0960.9060.902增益25百分之八十九点四0.1040.8990.8942088.65%0.1160.8910.8861587.55%0.1230.8790.875卡方30百分之九十一点一0.0910.9140.911图二、 使用机器学习进行恶意软件检测。25百分之八十九点六0.1030.9000.89620百分之九十点六0.0940.9060.9061591.0%0.0910.9110.91代码为恶意的，并且可以潜在地检测未知的恶意代码。图 2说明了An dro id 的架构使用概率预测的恶意软件检测系统。特征向量应用于Y类的可能性x=（x1，x2，. . .，xn）由贝叶斯定理定义：P Y = y|X = xP（Y=y）nP（X i=x i|Y=y）（三）=j∈{0，1}P（Y=yj）n1P（Xi=xi|Y=y j）其中，针对学习app测量的可预测频率是P（X ，xi Yy）和P（Yy j）。 n表示分类中使用的特征的数量，而y0和y1分别是良性和可疑类。 向量app x =（x1，x2，. . .，xn）被分类为b e nign，如果P为了评估贝叶斯分类器的检测性能，将数据集分为两部分：在学习阶段的训练集和测试集。训练集是训练数据集以获得准确检测的关键部分。使用用于由恶意软件和良性应用程序组成的训练集的样本。对于测试和评价，基于提供的评价标准使用了十重交叉验证。因此，70%的样本用于训练，其余30%用于测试。在此阶段中，良性和恶意软件使用的所有权限都被确定，并且具有识别类目标的最小可能性的特征被过滤。过程的结果将根据准确度的测量阳性率的测量描述为，阳性率TPR，阴性率T P R+ F N R图3.第三章。精 确 度性能的图示。信息增益和卡方算法。对于这两种算法，检测的准确性增加，根据所选择的功能的数量。似乎当特征被优化时，准确性会增加。然而，这两种算法的准确性略低于20个功能。在信息增益算法的20个特征中排除的四个特征是读取设置、写入APN设置、读取联系人和访问WIFI状态。另卡方检验中排除的五个特征是：“读取所有SHORTCUT”（Motorola.launcher）、“读取所有SHORTCUT”（lge.launcher）、“读取所有SHORTCUT”（Motorola.dlauncer）、“读取设置”（fede.launcher）和“读取设置”（adw.launcher）。因此，20个特征的准确度的降低与所选择的20个特征中的特征的排除有关。此外，从每个算法中删除五个特征率 描述 因为， Negati e RateFPR总精度为TPR+TNRT N R+F P R+++4. 结果讨论和RITHM影响检测精度，因为被去除的特征显著地影响检测精度。然而，在这项研究中，使用卡方和信息增益算法的特征选择分别达到91.1%和90.2%的高准确性。因此，可以得出结论，信息增益和卡方是使用用于特征选择，结合朴素贝叶斯分类器进行检测。实验分为四组不同的功能，从15，20，25和30排名。如表2所示，两种算法的特征具有相似性。分类器的性能已经通过四个评估(4)度量评估，如TPR、FPR、精度和F-测量。检测准确度见表2。如表2所示，使用贝叶斯分类器的检测性能与通过使用S.R.T. 马特，艺术硕士Razak，M.N.M.Kahar等人ICT Express 8（2022）424429优化在定义可靠特征方面也是至关重要的[37]。图3说明了本研究中使用的算法的比较。曲线表明，卡方的准确性比信息增益更高。如前所述，两种算法的检测下降到25个特征总之，30个特征的最高检测率对于卡方为91.1%，对于信息增益为90.2%。此外，我们将相同分类器的检测结果与其他相关研究进行了比较，如表3所示。表3显示了所提出的方法与以前的研究的比较，考虑到相同的分类器。研究S.R.T. 马特，艺术硕士Razak，M.N.M.Kahar等人ICT Express 8（2022）424430表3使用朴素贝叶斯的检测性能结果参考数据集（来源）精度算法[17个]100个样本（Drebin和Google Play）百分之九十四朴素贝叶斯[13个国家]1119恶意软件（Android恶意软件基因组）和621百分之九十三点八五遗传算法和朴素贝叶斯良性（谷歌播放）[32个]5560个恶意软件（Drebin）和1846个良性（Google百分之八十三朴素贝叶斯玩）[38个]蠕虫数据集百分之九十五朴素贝叶斯该方法5000个恶意软件（Drebin）和5000个良性（AndroZoo）百分之九十一点一卡方朴素贝叶斯见图4。 ROC曲线的性能。[17]和[38]实现了更高的精度与几个显着的特点。其他研究[13]使用1740个良性和恶意软件数据集样本实现了93.85%的准确率。恶意软件数据集（1119）来自于2012年由Yajin Zhou和Xuxian Jiang发布的Android恶意软件基因组计划（AMGP）。他们使用152个权限特征进行训练，并使用朴素贝叶斯、SVM和DT分类器进行测试。[17]和[32]的研究与使用Drebin数据库进行恶意软件检测的研究有相似之处。相比之下，这项研究使用AndroZoo数据库进行良性检测，而其他研究使用Google Play作为数据库。本研究的实验结果然而，与其他研究相比，本研究中使用的恶意软件数据集是大量的。广泛的数据集有助于提高恶意软件分类效率[39，40]。此外，显著和最小特征可以产生超过90%的可接受的检测性能，同时减少模型资源和约束。总之，数据库和源检索的收集影响了恶意软件检测的准确性。4.1. ROC曲线ROC曲线以图形形式可视化并解释TPR的评价和性能。ROC曲线衡量预测分类器的价值和有效性。图4通过使用朴素贝叶斯分类器对15、20、25和30个特征进行交叉验证，展示了不同的TPR和FPR。左轴表示被适当检测为恶意软件的样本它表4AUC的结果特征优化特征数量AUC信息增益30 0.965525 0.959720 0.960915 0.9548卡方检验30 0.967525 0.965320 0.957515 0.9639图五. 精度在该图中清楚地示出，整个特征靠近左边界和上边界。因此，ROC曲线显示准确率高，误报率低。此外，ROC曲线下区域（称为曲线下面积（AUC））用于优化恶意软件收集的检测和平衡表4列出了从实验中获得的15、20、25和30个特征的AUC结果。AUC结果的详细信息描述为恶意软件检测性能以阈值1.0测量，等于完美的检测。表4中的AUC结果表明，所有基于不同特征的检测都具有良好的预测率，AUC值适合检测Android平台上的恶意软件。4.2. 实证评估为了得到以下结果，实验验证了使用不同的参数进行测量过程的检测。本研究选择卡方算法得到的结果，因为该算法具有更好的性能。图图5、图6和图7分别给出了精确度、召回率和F度量的验证测试结果图中所示的结果表明，大多数特征检测显示出高精度、召回率和F度量S.R.T. 马特，艺术硕士Razak，M.N.M.Kahar等人ICT Express 8（2022）424431∼见图6。记得了见图7。F度量实现的价值观召回率和准确性在检测性能的评估中至关重要[41]。准确率的增加证明了模型分类与阳性率相关。恶意软件的检测也呈现出准确的结果。然而，高召回率表明恶意软件的功能与良性相似因此，箱形图中的可视化结果描述了具有高查全率的精确度有效地检测恶意软件性能。5. 结论这项研究提出了一个基于权限的功能，使用静态分析的分析。为了改进恶意软件检测，这些功能使用信息增益和卡方算法进行了优化。在这项工作中，所选择的权限功能被分成几组，以找到最佳性能的准确性。因此，卡方算法与15个功能，产生了最好的性能与91%的准确率之间的功能。随着高精度的实现，所提出的系统似乎提供了良好的性能为Android手机上的恶意应用。作为未来的工作，现有的工作可能会扩展到其他功能，并评估每个功能的风险，以及Sharma等人的研究。风险评估被认为是恶意软件检测的关键部分，可以对权限请求进行分类，优先级排序和分区[42]。风险评估的做法将能够提高移动用户对潜在恶意软件损害的认识。预计这些信息将鼓励未来进行更多的研究，以克服恶意软件的快速增长。此外，这项研究的结果可能会提高Android操作系统中移动安全的市场化程度，特别是对于基于许可的系统。最后，本研究提供了一个主题的总体概述，旨在表明 扩展在Android恶意软件研究中的重要性CRediT作者贡献声明Sharfah Ratibah Tuan Mat：研究的概念和设计，数据的分析和/或解释，写作Mohd Faizal Ab Razak：数据采集，写作Mohd Nizam Mohmad Kahar：写作Juliza Mo-hamad Arif：数据分析和/或解释。Ahmad Firdaus：获取数据。竞合利益作者声明，他们没有已知的可能影响本文所报告工作确认这 项 工 作 由 马 来 西 亚 高 等 教 育 部 FRGSRACER/1/2019/ICT 03/UMP/2 资 助 ， 项 目 ID ： RDU192613和RDU 192607。作者感谢匿名评论者的建设性意见和马来西亚彭亨大学的支持。所有的作者都同意出版这个版本的手稿。引用[1] I. Castillo-Zúñiga ， F.J. Luna-Rosas ， L.C. Rodríguez-Martínez ， J.Muñoz-Arteaga，J.I. López-Veyna，文学硕士Rodríguez-Díaz，网络恐怖主义词汇检测的互联网数据分析方法，大数据分析，NLP和语义网的组合技术，Int.J·塞曼特 Web Inf.Syst.16（1 ）（ 2020） 69 http://dx.doi.org/10 。4018/IJSWIS.2020010104。[2] R.K. Archana Singh，云环境的两阶段负载平衡算法，2021年。[3] A. Turner ， How Many Smartphones are in the World ， Bankmy-cell，2020.可用网址：https://www.bankmycell.com/blog/how-many-phones-are-in-the-world#：：text=根据全球GSMA实时移动终端。&text=Statista预测，到2023年，将增加到73.3亿。[访问日期：2021年2月1日]。[4] Hootsuite，Digital Around the World，Datareportal，2020，[在线]。可 通 过 以 下 网 址 获 得 ： https://datareportal.com/global-digital-overview。[访问日期：2021年2月2日]。[5] T.- S.M. Steven Yen，Melody Moh，使用行为和文本分析的深度学习检测受损的社交网络帐户，2021。[6] S.安全，COVID-19大流行引发勒索软件增长72%，移动漏洞增长50%，Cision，2020，[在线]。可用：https://www.prnewswire.com/in/news-releases/covid-19-pandemic-sparks-72-ransomware-growth-mobile-vulnerabilities-grow-50--817268901.html。[访问日期：2020年9月8日]。[7] C.H. Liu，Z.J. Zhang，S. De Wang，An android malware detectionapproach using Bayesian inference，in：Proc. - 2016 16th IEEE Int.Conf. Comput. Inf. Technol. CIT 2016，2016第六届国际研讨会云服务Comput. IEEE SC2 2016 2016国际研讨会安全Priv. Soc. Netwo，2017，pp.476http://dx.doi.org/10.1109/CIT.2016.76[8] R. Lemos ， Google Bouncer Vulnerabilities Probed by SecurityResearchers，Eweek，2020，[Online]。可用：https：//www. eweek.Com/Security/Gooogle-Boncer-Vulnerabities-probed-by-Security-researchers。[访问日期：2020年4月29日]。[9] M.F.A. Razak，N.B. Anuar，F. Othman，A. Firdaus，F.阿菲菲河Salleh，Bio-inspired for features optimization and malware detection，Arab.J.Sci.Eng.43（12）（2018）6963-http://dx.doi.org/10.1007/s13369-S.R.T. 马特，艺术硕士Razak，M.N.M.Kahar等人ICT Express 8（2022）424432[10] S.R.T. 马 特 ， 艺 术 硕 士 Razak ， M.N.M. Kahar ， J.M. Arif ， A.Firdaus ， Towards a systematic description of the field usingbibliometric analysis ： malware evolution ， Scientometrics 126（2021）http://dx.doi。org/10.1007/s11192-020-03834-6，已提交出版。[11] Q.Z. S 布 里 杰 湾 Gupta ， Machine Learning for Computer andCyberSecurity。原理，算法和实践，2019。[12] N.N.M. Nasri ， M.F.A.Razak ， R.D.R.Saedudin ， S.Mohamad-Asmara，A. Firdaus，使用机器学习的Android恶意软件检测系统，Int. J. Adv.Trends Comput. Sci. Eng. 9 （ 1 Special Issue 5 ） （ 2020 ）327http://dx.doi.org/10.30534/ijatcse/2020/4691.52020[13] O. 我的天Dogru，基于许可的androidmalw是使用遗传算法进行特征选 择 的 检 测 Eng.Knowl.Eng.29 （ 2 ） （ 2019 ）245http://dx.doi.org/10.1142/[14] N. An，A. Duff，G. Naik，M.法鲁索斯山，西-地韦伯，S。Mancorpio，家用路由器上恶意软件的行为异常检测，in：Proc.2017 12 th Int. Conf. Malicious Unwanted Software ， MALWARE2017，Vol. 2018-Janua，2018，pp. 47http://dx.doi.org/10.1109/[15] J. Lanet ， C.T. 埃 兹 岛 Conference 和 D.Hutchison ， ForInformationTechnology，Springer International Publishing，2018。[16] X. L. Hu，L.C. Zhang，Z.X. Wang，基于数据挖掘的自适应智能手机异常检测模型，Eurasip J. Wirel 。Commun. 网络2018（1 ）（2018）http://dx.doi.org/10.1186/s13638-018-1158-6.[17] S.辛哈尔河，西-地马赫什瓦里Meena，Recent Findings in IntelligentComputing Techniques，Vol. 707，2019，pp. 229-http://dx.