基于指令序列嵌入的安卓恶意应用检测框架

随着移动应用程序及其用户的增长,移动应用的安全性成为各利益相关者的首要关注点.目前,基于安卓平台的恶意软件变种日益增多,亟需高效且有效的恶意软件检测方法,用于保障移动应用的安全性与可靠性.为解决该问题,提出一种基于指令序列嵌入(instruction sequence embedding,ISE)的轻量级安卓恶意应用检测框架ISEDroid.ISEDroid从安卓应用的Dalvik代码片段中提取出指令执行序列,用于表示恶意软件在运行期间所有可执行、可跟踪的路径.然后,通过自然语言处理中的嵌入(embedding)方法将指令序列转化为低维度数值向量.接着,通过average pooling算法生成样本代码行为的语义摘要.最后,通过评估不同的机器学习算法、调整指令片段嵌入的维度以及优化各种机器学习超参数,保证模型的各项参数达到最优,从而实现最佳的分类性能.大量实验证明,提出的方法能够准确识别安卓恶意应用,并且取得了0.952的F1得分.

多维敏感特征的Android恶意应用检测

应用程序的行为语义在Android恶意应用检测中起着关键作用。为了区分应用的行为语义,文中提出适合用于Android恶意应用检测的特征和方法。首先定义广义敏感API,强调要考虑广义敏感API的触发点是否与UI事件相关,并且要结合应用实际使用的权限。该方法将广义敏感API及其触发点抽象为语义特征,将应用实际使用的权限作为语法特征,再利用机器学习分类方法自动检测应用是否具有恶意性。在13226个样本上进行了对比实验,实验结果表明,该方法的分析速度快且开销小,选取的特征集使Android恶意应用检测得到很好的结果;经机器学习分类技术的比较,我们选择随机森林作为检测方案中的分类技术,所提特征策略的分类准确率达到96.5%,AUC达到0.99,恶意应用的分类精度达到98.8%。