基于敏感特征深度域关联的Android恶意应用检测方法

利用机器学习或深度学习算法进行Android恶意应用的检测是当前主流方法,取得了一定的效果。然而,多数方法仅关注应用的权限和敏感行为等信息,缺乏对敏感行为协同的深度分析,导致恶意应用检测准确率低。对敏感行为协同深度分析的挑战主要有两个:表征敏感特征域关联和基于敏感特征域关联的深层分析与检测。本文提出了一种新的Android恶意应用检测模型GCNDroid,基于敏感特征域关联关系图描述的应用程序主要敏感行为以及敏感行为之间的域关联关系来有效地检测Android恶意应用。首先,为了筛选出对分类更加敏感的特征,同时减少图节点的数量,加速分析,本文构建了敏感特征字典。接着,定义类或者包为域,在同一个域中的敏感特征具有域关联关系。通过敏感特征所在域的相对范围,构造敏感特征之间不同的域关联权重,生成敏感特征域关联关系图,敏感特征域关联关系图可以准确表征特定功能模块中的敏感行为,以及敏感行为之间的完整关系。然后,基于敏感特征域关联关系图,设计基于图卷积神经网络的深度表征,构建Android恶意应用检测模型GCNDroid。在实践中,GCNDroid还可以利用新的敏感特征不断更新,以适应移动应用程序新的敏感行为。最后,本文对GCDNroid进行了系统评估,召回率、调和平均数、AUC等重要指标均超过96%。与传统的机器学习算法(支持向量机和决策树)和深度学习算法(深度神经网络和卷积神经网络)相比,GCNDroid取得了预期的效果。

基于多视图表示学习的安卓恶意应用检测方法

安卓操作系统自发布以来一直保持着很高的市场份额,并且由于安卓应用的数量庞大、功能繁多、行为语义复杂,攻击者可采取多种手段将其真实攻击意图隐藏在合法功能之中。然而,现有检测方案往往只能识别有限类型的恶意应用及行为。为了解决这个问题,本文利用异构信息网络对现有的代表性检测方案进行高度抽象,并使用多视图表示学习和多视图融合方法对其进行深度挖掘与协同融合,以充分释放不同方案的检测潜力,构建更为精确且全面的恶意应用检测系统。为了实现上述目的,本文提出并实现了一个基于多视图表示学习的安卓恶意应用检测系统MVFDroid。该系统首先从敏感数据流、可疑控制条件和权限三个视角出发充分观察安卓应用,从而构建出异构信息网络,以描述应用行为的执行逻辑以及行为间的关联关系;然后采用基于视图的游走方式对异构信息网络进行采样,以生成不同视图下的应用行为表示向量;最后利用基于多视图融合的安卓恶意应用检测方法,将表示向量融合后送入深度神经网络(DNN)分类器中,从不同视角综合判断其目标应用的恶意性。实验表明,本文提出的方法可有效检测出安卓恶意应用,其检测的准确率为96.57%且F1值为95.56%,均优于当前的代表性检测方案Drebin、HinDroid和MaMaDroid。同时,实验结果表明,本文所使用的基于视图融合的表示学习方法可有效应用于安卓恶意应用检测任务,其效果优于基准方法DeepWalk、node2vec和metapath2vec。

融合MAML和CBAM的安卓恶意应用家族分类模型

为满足对新兴安卓恶意应用家族的快速检测需求,提出一种融合MAML(model-agnostic meta-learning)和CBAM(convolutional block attention module)的安卓恶意应用家族分类模型MAML-CAS。将安卓恶意应用样本集中的DEX文件可视化为灰度图,并构建任务集;融合混合域注意力机制CBAM,设计两个具有同等结构的卷积神经网络,分别作为基学习器和元学习器,这两个学习器在自动提取任务集中样本特征的同时,可从通道和空间两个维度来增强关键特征表达;利用元学习方法MAML对两个学习器进行训练,其中基学习器完成特定恶意家族分类任务的属性学习,元学习器则学习不同任务的共性;在两个学习器训练完成后,MAML-CAS将获得初始化参数,在面对新的安卓恶意应用家族分类任务时,不需要重新训练,只需要少量样本就可以快速迭代;利用训练完成的基学习器提取安卓恶意应用家族特征,并利用SVM进行恶意家族分类。实验结果表明,MAML-CAS模型对新兴小样本安卓恶意应用家族具有良好的检测效果,检测速度较快,并具有较好的稳定性。

Android恶意应用智能化分析方法研究综述

Android系统是目前市场占有率最高的开源移动端操作系统,但系统的开源性使其成为了恶意软件的主要攻击目标。恶意软件严重威胁国家安全和个人隐私,且规避行为愈发隐蔽,通常难以被检测分析。为此,首先总结An-droid恶意应用检测使用静态、动态分析方法提取的恶意应用特征类型;然后从传统机器学习、深度学习方面,梳理分析Android恶意应用检测方法,并从对抗攻击、防护层面归纳与Android恶意应用检测攻防相关的工作;接下来,在共同数据集上对Android恶意应用智能化分析方法进行比较;最后,从特征、数据集、分析模型等方面讨论与总结未来Android恶意应用智能化分析方法的研究方向和挑战,以期为其发展提供参考与借鉴。

Android恶意应用的静态检测方法综述

Android系统的开放性和第三方应用市场的多样性,使其在取得高市场占有率的同时也带来了巨大的风险,导致Android恶意应用层出不穷并广泛传播,严重威胁了用户的隐私和经济安全.如何有效检测Android恶意应用受到了研究人员的广泛关注.根据是否运行应用程序,将现有的恶意应用检测方法分为静态检测和动态检测.其中,静态检测的效率和代码覆盖率均优于动态检测,Drebin等静态检测工具取得了广泛应用.为此,系统调研了Android恶意应用静态检测领域的研究进展,并进行了分析和总结.首先,介绍了Android应用静态特征;然后,根据静态特征的不同,分别对基于权限、应用程序编程接口(application programming interface,API)和操作码等不同静态特征的Android恶意应用检测方法进行了分析,并总结了常用的Android应用数据集和评价Android恶意应用检测性能的常用指标;最后,对Android恶意应用静态检测技术的发展进行了总结和展望,以期为该领域的研究人员提供参考.

基于N-gram算法的恶意应用程序检测方法分析

针对网络中干扰量大、不同程序特征表现复杂,导致恶意应用检测精准度较低的问题,提出基于N-gram算法的恶意程序检测方法。采用N-gram字节特征提取方法计算程序数据集的属性增益,求得每个应用程序的信息熵值和条件熵值,建立特征条件概率函数,计算在不同的特征条件下程序信息熵值和条件熵的存在概率,查找所处类别,完成特征分类。通过历史数据分析正常样本与异常样本间N-gram字节差异,以恶意程序的字节维度变化较大、善意程序的字节维度变化较小作为检测标准。计算所有数据集内程序数据维度,并与标准值作对比,完成有效检测。仿真结果证明,所提方法对恶意应用程序的检测精准度较高,无论在怎样的数据比例下都能保证检测质量,且不受外界因素干扰,鲁棒性较强,可承载数据量较大,实用性价值高。

基于网络流量检测的恶意应用程序检测技术研究

面对近年来层出不穷的安卓恶意软件给广大用户带来的安全威胁,对快速精准的安卓恶意软件检测技术进行研究已刻不容缓。目前使用的检测技术是在恶意软件安装前、运行过程中进行白盒或者黑盒检测,亦或是使用网络流量检测分析其是否存在恶意行为。介绍了各类恶意应用程序及其威胁技术,对最近研究中的移动设备恶意应用流量检测方法进行了评估和分析,以期为相关人员更好地掌握该技术提供一定的参考。

基于权限频繁模式挖掘算法的Android恶意应用检测方法

Android应用所申请的各个权限可以有效反映出应用程序的行为模式,而一个恶意行为的产生需要多个权限的配合,所以通过挖掘权限之间的关联性可以有效检测未知的恶意应用。以往研究者大多关注单一权限的统计特性,很少研究权限之间关联性的统计特性。因此,为有效检测Android平台未知的恶意应用,提出了一种基于权限频繁模式挖掘算法的Android恶意应用检测方法,设计了能够挖掘权限之间关联性的权限频繁模式挖掘算法—PApriori。基于该算法对49个恶意应用家族进行权限频繁模式发现,得到极大频繁权限项集,从而构造出权限关系特征库来检测未知的恶意应用。最后,通过实验验证了该方法的有效性和正确性,实验结果表明所提出的方法与其他相关工作对比效果更优。

基于多级签名匹配算法的Android恶意应用检测

针对Android恶意应用泛滥的问题,提出了一种基于恶意应用样本库的多级签名匹配算法来进行Android恶意应用的检测。以MD5哈希算法与反编译生成的smali文件为基础,生成API签名、Method签名、Class签名、APK签名。利用生成的签名信息,从每一类恶意应用样本库中提取出这类恶意行为的共有签名,通过匹配待检测应用的Class签名与已知恶意应用样本库的签名,将待测应用中含有与恶意签名的列为可疑应用,并回溯定位其恶意代码,确定其是否含有恶意行为。在测试中成功地发现可疑应用并定位了恶意代码,证明了系统的有效性。

基于有向信息流的Android隐私泄露类恶意应用检测方法

Android系统占据智能移动终端市场81.9%的份额,预计还会持续增长.同时,针对Android系统的恶意应用日益增多,Android恶意应用程序检测技术已经成为安全领域研究的热点问题.本文提出一种基于有向信息流的针对Android隐私泄漏类恶意应用的检测方法.该方法首先反编译应用程序,分析配置文件中的权限申明;基于隐私点数据集构建隐私数据有向信息流模型;通过在信息流模型中对隐私点的跟踪分析,检测隐私数据是否被发送出去而导致信息泄漏.该方法在对Android第三方市场的7 985个应用程序检测中,发现357个恶意应用.通过实验方式验证了检测结果的准确性.结果表明该方法对Android隐私泄露类恶意应用具有很好的检测效果.

基于数据流深度学习算法的Android恶意应用检测方法

目前针对未知的Android恶意应用可以采用机器学习算法进行检测,但传统的机器学习算法具有少于三层的计算单元,无法充分挖掘Android应用程序特征深层次的表达。文中首次提出了一种基于深度学习的算法DDBN(Data-flow Deep Belief Network)对Android应用程序数据流特征进行分析,从而检测Android未知恶意应用。首先,使用分析工具Flow Droid和SUSI提取能够反映Android应用恶意行为的静态数据流特征;然后,针对该特征设计了数据流深度学习算法DDBN,该算法通过构建深层的模型结构,并进行逐层特征变换,将数据流在原空间的特征表示变换到新的特征空间,从而使分类更加准确;最后,基于DDBN实现了Android恶意应用检测工具Flowdect,并对现实中的大量安全应用和恶意应用进行检测。实验结果表明,Flowdect能够充分学习Android应用程序的数据流特征,用于检测未知的Android恶意应用。通过与其他基于传统机器学习算法的检测方案对比, DDBN算法具有更优的检测效果。

基于深度信念网络的Android恶意应用检测方法

传统的机器学习算法无法有效地从海量的行为特征中选择出有本质的行为特征来对未知的Android恶意应用进行检测。为了解决这个问题,提出DBNSel,一种基于深度信念网络模型的Android恶意应用检测方法。为了实现该方法,首先通过静态分析方法从Android应用中提取5类不同的属性。其次,建立深度信念网络模型从提取到的属性中进行选择和学习。最后,使用学习到的属性来对未知类型的Android恶意应用进行检测。在实验阶段,使用一个由3 986个Android正常应用和3 986个Android恶意应用组成的数据集来验证DBNSel的有效性。实验结果表明,DBNSel的检测结果要优于其他几种已有的检测方法,并可以达到99.4%的检测准确率。此外,DBNSel具有较低的运行开销,可以适应于更大规模的真实环境下的Android恶意应用检测。

Android平台恶意应用程序静态检测方法

本文构建的静态检测系统主要用于检测Android平台未知恶意应用程序.首先,对待检测应用程序进行预处理,从Android Manifest.xml文件中提取权限申请信息作为一类特征属性;如待检测应用程序存在动态共享库,则提取从第三方调用的函数名作为另一类特征属性.对选取的两类特征属性分别选择最优分类算法,最后根据上述的两个最优分类算法对待检测应用程序的分类结果判定待检测应用程序是否为恶意应用程序.实验结果表明:该静态检测系统能够有效地检测出Android未知恶意应用程序,准确率达到95.4%,具有良好的应用前景.

基于函数调用图分析的NGB TVOS恶意应用检测方法

TVOS是我国自主研发的新一代具有自主知识产权、可管可控、安全高效的智能电视操作系统.TVOS自带应用商店是TVOS应用安装的唯一途径,但也对应用的检测提出了更高的要求.与Android应用不同,TVOS应用中很多权限和硬件调用均不涉及.采用函数调用图作为特征来弥补权限、API调用等在TVOS应用上表征能力上的不足的缺点.该方法采用基于核函数的分析方法和基于图相似度算法的分析方法提取TVOS应用的结构信息作为特征,使用SVM、RF、KNN 3种机器学习算法进行训练和分类.实验结果表明:所提出的基于函数调用图分析的NGB TVOS恶意应用检测方法能有效地检测出TVOS中的恶意应用,检测率最高达98.38%.

一种静态Android重打包恶意应用检测方法

Android系统以其优异的特性快速抢占了手机市场.但由于Android的开源性,导致Android的安全问题频发.第三方市场上大量恶意APP给人们的隐私安全以及财产安全带来了很大的危害,其中重打包恶意应用所占比重最大达到了86%.在重打包应用检测方面,研究人员作了大量的实验研究并设计了检测引擎.但是以往的检测引擎存在复杂度高、准确率低等缺点,并对重打包应用的恶意性无法判断.所以结合当前多种恶意应用检测方法的优点,设计了一种基于质心处理和层次分析的抗混淆恶意应用检测方法,该方法对反编译之后的中间代码进行静态分析,使用质心算法对应用之间的相似性进行检测,通过相似应用之间的比较定位可疑代码段,结合层次分析法和加权FP-growth算法对可疑代码段进行恶意性判定.通过实验验证,该方法在Android重打包恶意应用的检测方面具有较好的效果.

改进粒子群算法应用于Android恶意应用检测

为进行Android恶意应用检测,提取了Android应用程序的API调用信息、申请权限信息、Source-Sink信息为特征,这些信息数量庞大,特征维数高达三四万维。为消除冗余特征和减少分类器构建时间,提出了使用L1与离散二进制粒子群算法(BPSO)进行混合式特征选择;同时针对BPSO易早熟收敛的缺点,提出了一种改进的二进制粒子群算法SVBPSO。通过研究不同映射函数对二进制粒子群算法的影响发现,使用S型映射函数的BPSO全局搜索能力强,使用V型映射函数的BPSO局部搜索能力强,故该算法使用S型映射函数进行全局搜索,每隔一定迭代次数使用V型映射函数进行局部探索。实验结果证明,SVBPSO具有良好的收敛效果,使用SVBPSO进行特征选择后能提高Android恶意应用检测正确率。

基于权限组合的Android窃取隐私恶意应用检测方法

在分析Android系统总共165个权限的基础上,提炼出30个理论上可以获取Android系统隐私资源的恶意权限组合。提出一种针对应用类别的基于恶意权限组合的恶意值、待测应用恶意权值、恶意阈值的窃取隐私恶意应用检测方法。通过实验验证了该方法的正确性和准确率,并在Android系统中得以实现。

基于CNN和LSTM混合的Android恶意应用检测

Android操作系统上的恶意应用数量和种类快速增长,现实生活中需要替代传统的人工审核和特征码匹配的方法出现。研究深度学习在海量Android应用程序的检测分类,提出了一个混合卷积神经网络和长短期记忆网络的神经网络模型,利用Android应用程序的汇编代码的操作指令序列和运行时的行为与操作的序列进行训练分类。相比于传统的机器学习方法 ,提出的方法省去了手动从汇编代码里提取指定的指令调用作为特征,能够自动对其进行分析和对比。相比于单纯使用卷积神经网络的模型,混合了长短期记忆网络的网络模型,在Android恶意应用检测效果方面效果提升显著。

基于特征分析Android恶意应用检测方法的研究

Android是目前广泛应用的移动操作系统,也是恶意软件首选的攻击目标。为了在恶意应用发布和攻击用户前将其分析、识别出来,文中提出了一种动态检测Android应用是否具有恶意行为的方法,该方法基于及其学习和对Android API调用和系统调用痕迹的特征提取,最终能够得到96%的检测率。

Android系统恶意应用的特征值提取评价与自动分类

为了检测恶意应用对Android系统的攻击,收集良性和恶意应用样本,基于提取的17个特征值采用Fisher score算法进行特征值的评分,根据得分排序形成一个17组的特征值组合,基于支持向量机、神经网络和朴素贝叶斯3种方法进行计算机自动分类并采用交叉检验,通过分析实验结果最终得出最优的特征值组合和最优的分类算法。结果表明,支持向量机方法在Android系统恶意应用的分类检测上具有一定的优势,准确率可以达到82.78%。