基于三支决策特征选择的安卓恶意软件检测

信息安全研究 ›› 2025, Vol. 11 ›› Issue (6): 561-.

基于三支决策特征选择的安卓恶意软件检测

陈丽芳1,2王嘉优1施永辉1韩阳1代琪1

1(华北理工大学理学院河北唐山063210)
2(河北省数据科学与应用重点实验室(华北理工大学)河北唐山063210)

出版日期:2025-06-22 发布日期:2025-06-22
通讯作者: 代琪博士，讲师.主要研究方向为数据挖掘、机器学习. dai18232576157@163.com
作者简介:陈丽芳博士，教授.主要研究方向为数据挖掘和处理、神经网络建模、网络与信息安全. hblg_clf@163.com 王嘉优硕士研究生.主要研究方向为网络与信息安全、机器学习. 826780249@qq.com 施永辉硕士研究生.主要研究方向为联邦学习、网络与信息安全. 2786250969@qq.com 韩阳博士，副教授.主要研究方向为钢铁大数据、冶金数学模型、智能计算. hanyang@ncst.edu.cn 代琪博士，讲师.主要研究方向为数据挖掘、机器学习. dai18232576157@163.com

Android Malware Detection Based on Threeway Decision Feature Selection

Chen Lifang1,2, Wang Jiayou1, Shi Yonghui1, Han Yang1, and Dai Qi1

1(College of Science, North China University of Science and Technology, Tangshan, Hebei 063210)
2(Hebei Key Laboratory of Data Science and Application(North China University of Science and Technology), Tangshan, Hebei 063210)

Online:2025-06-22 Published:2025-06-22

摘要/Abstract

摘要： Android恶意软件检测数据集中存在大量不相关和冗余的特征，单一的特征选择方法并不能有效去除不相关或冗余特征.如果移除信息量较大的特征则容易引发模型崩塌的问题.针对以上问题，提出一种基于三支决策特征选择(threeway decision feature selection, 3WDFS)的安卓恶意软件检测方法.该方法结合三支决策的思想，并行使用多种特征选择方法评估数据集的特征，将特征分为不相交的正域、负域和边界域；然后，分别利用近似马尔可夫毯和信息量差异删除边界域中的类间冗余特征和类内冗余特征，形成低冗余的边界域；最后，通过可学习权重参数级联拼接正域和低冗余边界域，输入分类模型训练学习.在公开数据集上的实验结果表明，3WDFS能够有效删除Android恶意软件检测中不相关和冗余的特征，提高检测恶意软件的检测效率和准确率.

关键词: Android软件, 三支决策, 特征选择, 冗余特征, 恶意软件检测

Abstract: There are a large number of irrelevant and redundant features in the Android malware detection dataset. A single feature selection method cannot effectively remove irrelevant or redundant features. If the features with large amount of information are removed, it is easy to cause the problem of model collapse. To address these issues, this paper proposed an Android malware detection method based on ThreeWay Decision Feature Selection (3WDFS). The algorithm combines the idea of threeway decision, and uses a variety of feature selection methods to evaluate the features of the dataset in parallel. The features are divided into disjoint positive region, negative region and boundary region. Then, the interclass redundancy feature and the intraclass redundancy feature in the boundary region are deleted by using the approximate Markov blanket and the information difference respectively to form a lowredundancy boundary region. Finally, the positive region and the low redundancy boundary region are concatenated by the learnable weight parameter, and the classification model is input for training and learning. Experimental results on public datasets show that 3WDFS can effectively remove irrelevant and redundant features in Android malware detection and improve the detection efficiency and accuracy of malware detection.

Key words: Android software, threeway decision, feature selection, redundant features, malware detection

中图分类号:

TP393

陈丽芳, 王嘉优, 施永辉, 韩阳, 代琪, . 基于三支决策特征选择的安卓恶意软件检测[J]. 信息安全研究, 2025, 11(6): 561-.

参考文献

［1］孙才俊, 白冰, 王伟忠, 等. 基于指令序列嵌入的安卓恶意应用检测框架［J］. 信息安全研究, 2022, 8(8): 777785［2］陈虹, 程明佳, 金海波, 等.融合对比学习和特征选择的入侵检测模型［J］. 信息安全研究, 2024, 10(5): 453461［3］Manzil H H R, Manohar N S. Android malware category detection using a novel feature vectorbased machine learning model［J］. Cybersecurity, 2023, 6(3): 7484［4］潘建文, 张志华, 林高毅, 等. 基于特征选择的恶意Android应用检测方法［J］. 计算机工程与应用, 2023, 159(21): 287295［5］Azad M A, Riaz F, Aftab A, et al. DEEPSEL: A novel feature selection for early identification of malware in mobile applications［J］. Future Generation Computer Systems, 2022, 129: 5463［6］Fatima A, Maurya R, Dutta M K, et al. Android malware detection using genetic algorithm based optimized feature selection and machine learning［C］ Proc of the 42nd Int Conf on Telecommunications and Signal Processing (TSP). Piscataway, NJ: IEEE, 2019: 220223［7］Pehlivan U, Baltaci N, Acartürk C, et al. The analysis of feature selection methods and classification algorithms in permission based Android malware detection［C］ Proc of 2014 IEEE Symp on Computational Intelligence in Cyber Security (CICS). Piscataway, NJ: IEEE, 2014: 18［8］郝靖伟, 潘丽敏, 李蕊, 等. Android 恶意软件检测低冗余特征选择方法［J］. 北京航空航天大学学报, 2022, 48(2): 225232［9］Mahindru A, Sangal A. Dldroid: Feature selection based malware detection framework for Android apps developed during covid19［J］. International Journal of Advanced Manufacturing Technology, 2020, 11(3): 516525［10］Yao Y. An outline of a theory of threeway decisions［C］ Proc of Int Conf on Rough Sets and Current Trends in Computing. Berlin: Springer, 2012: 117［11］Seyyedabbasi A, Kiani F. Sand Cat swarm optimization: A natureinspired algorithm to solve global optimization problems［J］. Engineering with Computers, 2023, 39(4): 26272651［12］Koller D, Sahami M. Toward optimal feature selection［C］ Proc of the 13th Int Conf on Machine Learning. 1996: 284292［13］张俐, 王枞, 郭文明. 利用近似马尔科夫毯的最大相关最小冗余特征选择算法［J］. 西安交通大学学报, 2018, 52(10): 141145［14］Lashkari A H, Kadir A F A, Taheri L, et al. Toward developing a systematic approach to generate benchmark Android malware datasets and classification［C］ Proc of 2018 Int Carnahan Conf on Security Technology (ICCST). Piscataway, NJ: IEEE, 2018: 17［15］Rahima Manzil H H, Naik S M. Android ransomware detection using a novel hamming distance based feature selection［J］. Journal of Computer Virology and Hacking Techniques, 2024, 20(1): 7193

[1]	师智斌, 孙文琦, 窦建民, 于孟洋, . 基于词嵌入和特征融合的恶意软件检测研究[J]. 信息安全研究, 2025, 11(5): 412-.
[2]	陈虹, 程明佳, 金海波, 武聪, 姜朝议, . 融合对比学习和特征选择的入侵检测模型[J]. 信息安全研究, 2024, 10(5): 453-.
[3]	钟家豪, 张新有, 冯力, 邢焕来, . 基于卷积注意力机制的恶意软件样本增强方案[J]. 信息安全研究, 2024, 10(5): 431-.
[4]	张淑慧, 胡长栋, 王连海, 徐淑奖, 邵蔚, 兰田, . 基于GHM可视化和深度学习的恶意代码检测与分类[J]. 信息安全研究, 2024, 10(3): 216-.
[5]	陈虹, 卢健波, 金海波, 武聪, 程明佳, . 基于改进鸽群算法和金字塔卷积的流量异常检测[J]. 信息安全研究, 2024, 10(12): 1107-.
[6]	陈颖, 林雨衡, 王志强, 都迎迎, 文津, . 基于Transformer的安卓恶意软件多分类模型[J]. 信息安全研究, 2023, 9(12): 1138-.
[7]	文毅, 郭澍, 孔昊, 郭剑虹, . 针对密码芯片电磁辐射泄漏的特征选择方法[J]. 信息安全研究, 2022, 8(12): 1214-.
[8]	何红艳黄国言张炳陈瑜. 基于多种特征选择策略的入侵检测模型研究[J]. 信息安全研究, 2021, 7(3): 225-232.
[9]	王柯林杨珂赵瑞哲辛丽玲汪秋云. 基于随机森林的抗混淆Android恶意应用检测[J]. 信息安全研究, 2021, 7(2): 126-135.
[10]	杨频潘岳镭贾鹏刘亮. 基于汇编指令词向量特征的恶意软件检测研究[J]. 信息安全研究, 2020, 6(2): 113-121.
[11]	朱雪冰周安民左政. 基于家族行为频繁子图挖掘的恶意代码检测[J]. 信息安全研究, 2019, 5(2): 105-113.
[12]	刘正宵段丁阳唐志浩符天枢. 基于稳定风险特征选择的支付风险识别模型[J]. 信息安全研究, 2019, 5(10): 858-864.
[13]	郗桐金昊徐根炜周金岭. 基于卷积神经网络的Android恶意应用检测方法[J]. 信息安全研究, 2018, 4(8): 715-721.
[14]	杜炜李剑. 基于半监督学习的安卓恶意软件检测及其恶意行为分析[J]. 信息安全研究, 2018, 4(3): 242-250.
[15]	冯亚玲. 基于系统调用的恶意软件检测技术研究[J]. 信息安全研究, 2016, 2(4): 367-371.