安卓恶意软件技术不断演进变化,其恶意行为正变得越来越隐蔽,因此针对安卓恶意软件有效检测方法的研究就显得极为重要。在现有检测方法中,基于静态特征的静态分析方法准确率高,但易受到混淆和字符串加密等技术的干扰,无法检测未知恶意软件。基于运行特征的动态分析方法检测效果出色,但对潜伏性强的恶意软件则效果不佳且适应性较差。本文深入分析现有安卓恶意软件检测方法的不足及其原因,借鉴先天免疫机制中自然杀伤细胞(Natural killer cell,NK)发现体内潜伏病毒和树突状细胞(Dendritic cell,DC)抗原提呈的原理,提出了先天免疫机制检测模型实现自适应的发现未知的、潜伏的安卓恶意软件。本文完成的工作如下:构建安卓恶意软件的先天免疫机制检测模型。借鉴先天免疫机制中NK细胞发现体内潜伏病毒和DC细胞抗原提呈的行为原理,首次将人工NK细胞模型应用到安卓恶意软件检测领域,构建先天免疫机制检测模型以实现反潜伏。人工NK细胞通过发现恶意软件留下的痕迹,释放刺激因子放大抗原的恶意行为。本文引入树突状细胞算法(Dendritic cell algorithm,DCA)与人工NK细胞模型协同工作,人工NK细胞释放的刺激因子与危险信号融合,DC种群在采集抗原和增强的危险信号后,实现对未知、潜伏恶意软件的自适应识别,提高准确率与召回率。引入免疫协同机制进行优化。DCA具有检测速度快、无需训练的特点,但在恶意信号显著性下降时,抗原提呈效果明显下降。本文借鉴先天免疫中NK细胞与DC细胞的协同机制。NK细胞完成抗原处理后,激活态NK细胞将刺激因子与DCA的危险信号融合,增强恶意信号显著性,抑制态NK细胞将刺激因子与安全信号融合,从而增强DCA对潜伏性强的恶意软件的检测能力。优化DCA算法,实现参数自调整。模型中DC细胞的CSM迁移阈值范围需要依赖人工经验手动调整。本文根据特征数据逻辑关系自动初始化阈值区间,然后定长调整区间端点,最终确定阈值范围最优解,增强了算法自适应性。验证模型可行性和有效性。本文以CICInves And Mal2019和Virtus Total数据集为数据来源,设计了三组对照实验。验证了人工NK细胞模型对恶意信号的放大效果;与优化前的模型相比,优化后的模型无需手动调整迁移阈值参数,提高了模型的自适应性;与DCA、K-means方法相比,改进后的模型能够对未知的、潜伏能力强的安卓恶意软件有更强的检测能力,具有更高的准确率和召回率。实验结果表明,本文构建的先天免疫机制检测模型提高了自适应性,能够有效检测未知、潜伏性强的安卓恶意软件,具有可行性和有效性。