摘要： 為了能夠更精準檢測惡意應用軟件，保證計算機或個人移動中終端的數據安全以及個人財產安全，需要對傳統的惡意應用軟件檢測方法進行改良，因此基于決策樹對惡意應用軟件檢測方法進行研究。研究基本的決策樹算法，分析得到決策樹算法在惡意應用軟件檢測過程中的兩種應用方式，并分別闡述CART決策樹生成算法與CART決策樹剪枝算法的應用原理。提取數據集中的樣本特征、構建相應的樣本特征數據集，基于決策樹進行相應的樣本特征篩選，并研究該算法的訓練方法。最后設計實驗，驗證基于決策樹的惡意應用軟件檢測方法達成了研究目的，具備算法的優越性和實用性。

　　關鍵詞：決策樹;惡意應用軟件;Android系統

　　人們在使用手機和電腦時，必然離不開對應用軟件的操作，因此由應用軟件衍生而來的惡意軟件就成了當前互聯網和計算機最重要的威脅。如果放任惡意軟件在計算機中運行，很有可能對計算機系統本身造成威脅[1]。因此想要保證互聯網環境的安全性，就需要首先確保個人設備中不會混入惡意應用程序，這就需要相關研發人員對于能夠檢測惡意應用軟件的系統進行研究。因此本文使用決策樹對惡意應用軟件檢測方法進行研究。

　　1 決策樹算法研究

　　本文的決策樹主要用于檢測惡意應用軟件，因此使用CART決策樹作為本文的算法。CART決策樹是一個樹狀的結構，通過基尼指數的檢驗，測試特征的不同，通過根節點逐一分裂，如此在分裂的過程中收集性狀特征，逐漸達到子節點[2]。

　　在檢測惡意應用軟件時，需要兩種對于CART決策樹的應用方式，其一便是在遍歷惡意軟件時的CART決策樹生成算法，CART決策樹生成算法是CART回歸樹中最簡單的特征劃分算法，使用了最小平方化的原則，以完成二叉樹的構建[3]。首先輸入訓練集，終止所有已知條件，輸出CART決策回歸樹[f(x)]，此時應通過以下公式選擇最優切分變量：

　　其中[j]表示所求的最優切分變量;[s]表示待切分點;通過將所有最優切分變量遍歷，得到所有能夠切分點子樹樹枝，并得到公式(1)中數值最小的切分插入點[(j，s)]。

　　需要將已經選定的[(j，s)]點劃分出相應的區域，并輸出切分點的最優變量值，此時得到的只是區域最優變量，若想要計算出全局最優解，還需要不斷重復以上兩個步驟的遞歸程序，直至滿足性狀特征條件。設定每一個性狀特征都是一個子樹樹葉，就能夠得到如下所示的決策樹生成表達式：

　　式中，[M]表示輸入空間的總個數，即該決策樹將空間劃分為[M]個不相交的區域[R1，R2，R3，…，RM];[m]則表示每個區域的一個子樹葉片，且滿足[x∈Rm]。

　　CART決策樹的應用方式是在檢測到惡意應用軟件刪除以上過程中生成數據時所需要的CART決策樹剪枝算法，剪枝的過程實際上就是一個將算法簡化的過程，檢測惡意應用軟件的目的達成以后，就需要刪除一些已經不需要的底端子樹，因此需要在CART決策應用樹中先后進行兩步操作[4]。決策樹的剪枝操作需要從底端開始，逐步操作至根節點，就能夠獲得經過修剪的決策樹[{T0，T1，T2，…，Tn}]。可以通過驗證法，交叉驗證獨立集合中的決策樹，對其進行測試，選擇一條最優的子樹[5]。

　　2 惡意應用軟件檢測方法研究

　　2.1 特征向量的提取和構建

　　在研究檢測方法時，為了方便設計算法以及驗證算法的準確性，均需要首先構建數據集，在本文中，構建數據集時需要大量的良性應用軟件和惡意應用軟件，使良性應用軟件和惡意應用軟件達到1：1的比例。在數據集中提取特征向量并構建基于決策樹的類別特征。

　　在得到了.txt的數據集集合后，就能夠對該數據集中的所有文件名稱進行操作，通過讀取和去重，能夠獲得數據及樣本的特征向量，并與數據集中的每一個樣本比對。若存在與之相仿的文件則標注為1，若不存在與之相對應的文件則標注為0，以1和0作為樣本特征的標簽，并以此構建樣本的特征向量集合。獲得標簽后，還需要再次處理已經集結為集合的特征文件，以便之后的樣本訓練。假設特征數據集中共有N個樣本，可以設計樣本總體特征與樣本單體特征的對比函數關系式，獲取了特征向量的維度分析結果之后，需要首先對該特征向量維度進行壓縮操作，之后再進行特征的判別。

　　2.2 基于決策樹的特征篩選

　　在上文計算得到特征向量之后，還需要基于決策樹對這些向量進行特征的篩選，以尋找到混雜在良性應用軟件之中的惡意應用軟件，本文使用特征重要度的度量進行特征篩選。對于上文中構建的數據集，假設其中共有y個樣本，其中惡意應用軟件在樣本集中的比例為[p2]，則此時可以使用基尼指數進行樣本集中CART決策樹的生成操作。由此，對樣本特征數據集所得到相應的特征進行評分，以評分進行篩選，其篩選過程如下所示：

　　其中，[F1，F2，…，FN]表示數據特征集合;[FS1，FS2，…，FSk]表示這些數據集合中各項數據所對應的評分。此時應設置一個特征閾值，若超過閾值，則可以將其篩選出來。其中[FSk]就表示第k個被篩選出來的特征。

　　2.3 算法訓練集成方法研究

　　將以上特征的提取與篩選進行整合之后，就可以設計該惡意應用軟件的檢測方法如圖1所示。

　　如上圖所示，將上文中的樣本特征集合分別進行訓練并將其分類，通過對樣本的劃分，可以得到整個算法的訓練集，將這些訓練集統一測試，得到Roting的結果，經過投票處理之后，對各個子結果統一合并，才能得到最終的結果。將最終的結果輸出，就可以將此作為一個數據集中惡意應用軟件和良性應用軟件的評判結果。

　　3 實驗設計

　　為了確定本文研究的基于決策樹的惡意應用軟件檢測方法是否能夠達成研究目的，在檢測精度、檢測過后的算法冗余度、檢測效率等方面的綜合成績優于傳統的幾種算法，設計對比實驗進行驗證。

　　推薦閱讀：《電子技術與軟件工程》雜志是面向電子技術與軟件工程專業人員，報道該領域前沿技術進展和最新科研成果，介紹產品開發的新工具、新方法及典型案例，促進電子技術與計算機軟件工程交叉學科發展。