Las aplicaciones de teléfonos inteligentes están estrechamente integradas con nuestra vida diaria, y el malware móvil ha provocado serios problemas de seguridad. Sin embargo, las características utilizadas en las técnicas de detección de malware basadas en el tráfico existente tienen una gran cantidad de redundancia e información inútil, desperdiciando los recursos computacionales de los modelos de detección de entrenamiento. Para superar esta desventaja, proponemos un método de selección de características; el núcleo del método implica elegir características seleccionadas basadas en alta irrelevancia, eliminando así características redundantes. Además, la inteligencia artificial ha implementado la detección de malware y ha logrado una capacidad de detección sobresaliente. Sin embargo, casi todos los modelos de detección de malware en el aprendizaje profundo incluyen operaciones de agrupamiento, lo que conduce a la pérdida de cierta información local y afecta la robustez del modelo. También proponemos diseñar un modelo de detección de malware para la identificación de tráfico malicioso basado en una red de cápsulas. La principal diferencia entre la red de cápsulas y la red neuronal es que la neurona produce un escalar, mientras que la cápsula produce un vector. Es más propicio para guardar información local. Para verificar la efectividad de nuestro método, lo verificamos desde tres aspectos. Primero, utilizamos cuatro algoritmos populares de aprendizaje automático para demostrar la efectividad del método de selección de características propuesto. Segundo, comparamos la red de cápsulas con la red neuronal convolucional para demostrar la superioridad de la red de cápsulas. Finalmente, comparamos nuestro método propuesto con otra técnica de detección de malware de última generación; nuestra precisión y recuperación aumentaron en un 9,71% y 20,18%, respectivamente.