摘要： 為了能夠更精準(zhǔn)檢測惡意應(yīng)用軟件，保證計(jì)算機(jī)或個(gè)人移動中終端的數(shù)據(jù)安全以及個(gè)人財(cái)產(chǎn)安全，需要對傳統(tǒng)的惡意應(yīng)用軟件檢測方法進(jìn)行改良，因此基于決策樹對惡意應(yīng)用軟件檢測方法進(jìn)行研究。研究基本的決策樹算法，分析得到?jīng)Q策樹算法在惡意應(yīng)用軟件檢測過程中的兩種應(yīng)用方式，并分別闡述CART決策樹生成算法與CART決策樹剪枝算法的應(yīng)用原理。提取數(shù)據(jù)集中的樣本特征、構(gòu)建相應(yīng)的樣本特征數(shù)據(jù)集，基于決策樹進(jìn)行相應(yīng)的樣本特征篩選，并研究該算法的訓(xùn)練方法。最后設(shè)計(jì)實(shí)驗(yàn)，驗(yàn)證基于決策樹的惡意應(yīng)用軟件檢測方法達(dá)成了研究目的，具備算法的優(yōu)越性和實(shí)用性。

　　關(guān)鍵詞：決策樹;惡意應(yīng)用軟件;Android系統(tǒng)

　　人們在使用手機(jī)和電腦時(shí)，必然離不開對應(yīng)用軟件的操作，因此由應(yīng)用軟件衍生而來的惡意軟件就成了當(dāng)前互聯(lián)網(wǎng)和計(jì)算機(jī)最重要的威脅。如果放任惡意軟件在計(jì)算機(jī)中運(yùn)行，很有可能對計(jì)算機(jī)系統(tǒng)本身造成威脅[1]。因此想要保證互聯(lián)網(wǎng)環(huán)境的安全性，就需要首先確保個(gè)人設(shè)備中不會混入惡意應(yīng)用程序，這就需要相關(guān)研發(fā)人員對于能夠檢測惡意應(yīng)用軟件的系統(tǒng)進(jìn)行研究。因此本文使用決策樹對惡意應(yīng)用軟件檢測方法進(jìn)行研究。

　　1 決策樹算法研究

　　本文的決策樹主要用于檢測惡意應(yīng)用軟件，因此使用CART決策樹作為本文的算法。CART決策樹是一個(gè)樹狀的結(jié)構(gòu)，通過基尼指數(shù)的檢驗(yàn)，測試特征的不同，通過根節(jié)點(diǎn)逐一分裂，如此在分裂的過程中收集性狀特征，逐漸達(dá)到子節(jié)點(diǎn)[2]。

　　在檢測惡意應(yīng)用軟件時(shí)，需要兩種對于CART決策樹的應(yīng)用方式，其一便是在遍歷惡意軟件時(shí)的CART決策樹生成算法，CART決策樹生成算法是CART回歸樹中最簡單的特征劃分算法，使用了最小平方化的原則，以完成二叉樹的構(gòu)建[3]。首先輸入訓(xùn)練集，終止所有已知條件，輸出CART決策回歸樹[f(x)]，此時(shí)應(yīng)通過以下公式選擇最優(yōu)切分變量：

　　其中[j]表示所求的最優(yōu)切分變量;[s]表示待切分點(diǎn);通過將所有最優(yōu)切分變量遍歷，得到所有能夠切分點(diǎn)子樹樹枝，并得到公式(1)中數(shù)值最小的切分插入點(diǎn)[(j，s)]。

　　需要將已經(jīng)選定的[(j，s)]點(diǎn)劃分出相應(yīng)的區(qū)域，并輸出切分點(diǎn)的最優(yōu)變量值，此時(shí)得到的只是區(qū)域最優(yōu)變量，若想要計(jì)算出全局最優(yōu)解，還需要不斷重復(fù)以上兩個(gè)步驟的遞歸程序，直至滿足性狀特征條件。設(shè)定每一個(gè)性狀特征都是一個(gè)子樹樹葉，就能夠得到如下所示的決策樹生成表達(dá)式：

　　式中，[M]表示輸入空間的總個(gè)數(shù)，即該決策樹將空間劃分為[M]個(gè)不相交的區(qū)域[R1，R2，R3，…，RM];[m]則表示每個(gè)區(qū)域的一個(gè)子樹葉片，且滿足[x∈Rm]。

　　CART決策樹的應(yīng)用方式是在檢測到惡意應(yīng)用軟件刪除以上過程中生成數(shù)據(jù)時(shí)所需要的CART決策樹剪枝算法，剪枝的過程實(shí)際上就是一個(gè)將算法簡化的過程，檢測惡意應(yīng)用軟件的目的達(dá)成以后，就需要?jiǎng)h除一些已經(jīng)不需要的底端子樹，因此需要在CART決策應(yīng)用樹中先后進(jìn)行兩步操作[4]。決策樹的剪枝操作需要從底端開始，逐步操作至根節(jié)點(diǎn)，就能夠獲得經(jīng)過修剪的決策樹[{T0，T1，T2，…，Tn}]。可以通過驗(yàn)證法，交叉驗(yàn)證獨(dú)立集合中的決策樹，對其進(jìn)行測試，選擇一條最優(yōu)的子樹[5]。

　　2 惡意應(yīng)用軟件檢測方法研究

　　2.1 特征向量的提取和構(gòu)建

　　在研究檢測方法時(shí)，為了方便設(shè)計(jì)算法以及驗(yàn)證算法的準(zhǔn)確性，均需要首先構(gòu)建數(shù)據(jù)集，在本文中，構(gòu)建數(shù)據(jù)集時(shí)需要大量的良性應(yīng)用軟件和惡意應(yīng)用軟件，使良性應(yīng)用軟件和惡意應(yīng)用軟件達(dá)到1：1的比例。在數(shù)據(jù)集中提取特征向量并構(gòu)建基于決策樹的類別特征。

　　在得到了.txt的數(shù)據(jù)集集合后，就能夠?qū)υ摂?shù)據(jù)集中的所有文件名稱進(jìn)行操作，通過讀取和去重，能夠獲得數(shù)據(jù)及樣本的特征向量，并與數(shù)據(jù)集中的每一個(gè)樣本比對。若存在與之相仿的文件則標(biāo)注為1，若不存在與之相對應(yīng)的文件則標(biāo)注為0，以1和0作為樣本特征的標(biāo)簽，并以此構(gòu)建樣本的特征向量集合。獲得標(biāo)簽后，還需要再次處理已經(jīng)集結(jié)為集合的特征文件，以便之后的樣本訓(xùn)練。假設(shè)特征數(shù)據(jù)集中共有N個(gè)樣本，可以設(shè)計(jì)樣本總體特征與樣本單體特征的對比函數(shù)關(guān)系式，獲取了特征向量的維度分析結(jié)果之后，需要首先對該特征向量維度進(jìn)行壓縮操作，之后再進(jìn)行特征的判別。

　　2.2 基于決策樹的特征篩選

　　在上文計(jì)算得到特征向量之后，還需要基于決策樹對這些向量進(jìn)行特征的篩選，以尋找到混雜在良性應(yīng)用軟件之中的惡意應(yīng)用軟件，本文使用特征重要度的度量進(jìn)行特征篩選。對于上文中構(gòu)建的數(shù)據(jù)集，假設(shè)其中共有y個(gè)樣本，其中惡意應(yīng)用軟件在樣本集中的比例為[p2]，則此時(shí)可以使用基尼指數(shù)進(jìn)行樣本集中CART決策樹的生成操作。由此，對樣本特征數(shù)據(jù)集所得到相應(yīng)的特征進(jìn)行評分，以評分進(jìn)行篩選，其篩選過程如下所示：

　　其中，[F1，F(xiàn)2，…，F(xiàn)N]表示數(shù)據(jù)特征集合;[FS1，F(xiàn)S2，…，F(xiàn)Sk]表示這些數(shù)據(jù)集合中各項(xiàng)數(shù)據(jù)所對應(yīng)的評分。此時(shí)應(yīng)設(shè)置一個(gè)特征閾值，若超過閾值，則可以將其篩選出來。其中[FSk]就表示第k個(gè)被篩選出來的特征。

　　2.3 算法訓(xùn)練集成方法研究

　　將以上特征的提取與篩選進(jìn)行整合之后，就可以設(shè)計(jì)該惡意應(yīng)用軟件的檢測方法如圖1所示。

　　如上圖所示，將上文中的樣本特征集合分別進(jìn)行訓(xùn)練并將其分類，通過對樣本的劃分，可以得到整個(gè)算法的訓(xùn)練集，將這些訓(xùn)練集統(tǒng)一測試，得到Roting的結(jié)果，經(jīng)過投票處理之后，對各個(gè)子結(jié)果統(tǒng)一合并，才能得到最終的結(jié)果。將最終的結(jié)果輸出，就可以將此作為一個(gè)數(shù)據(jù)集中惡意應(yīng)用軟件和良性應(yīng)用軟件的評判結(jié)果。

　　3 實(shí)驗(yàn)設(shè)計(jì)

　　為了確定本文研究的基于決策樹的惡意應(yīng)用軟件檢測方法是否能夠達(dá)成研究目的，在檢測精度、檢測過后的算法冗余度、檢測效率等方面的綜合成績優(yōu)于傳統(tǒng)的幾種算法，設(shè)計(jì)對比實(shí)驗(yàn)進(jìn)行驗(yàn)證。

　　推薦閱讀：《電子技術(shù)與軟件工程》雜志是面向電子技術(shù)與軟件工程專業(yè)人員，報(bào)道該領(lǐng)域前沿技術(shù)進(jìn)展和最新科研成果，介紹產(chǎn)品開發(fā)的新工具、新方法及典型案例，促進(jìn)電子技術(shù)與計(jì)算機(jī)軟件工程交叉學(xué)科發(fā)展。