基于敏感权限及其函数调用图的Android恶意代码检测

为了有效地检测Android平台上的恶意软件,提出了一种基于敏感权限及其函数调用流程图的静态综合检测方法.通过对恶意软件进行逆向工程分析,构建了包含恶意代码敏感权限与函数调用图的特征库.并采用Munkres匈牙利算法计算待测样本与特征库在相同敏感权限下两个函数调用图之间的编辑距离,得到两个函数调用图之间的相似性,进而得到两个应用程序之间的相似性,据此对恶意软件进行检测识别.实验结果表明,该检测方法具有较高的准确性与有效性,检测效果明显优于工具Androguard.

基于Dalvik指令的Android恶意代码特征描述及验证

为实现Android平台下恶意软件的高效检测,提出了一种基于Dalvik指令的Android恶意代码特征形式化描述和分析方法,能够在无需反编译应用程序的基础上,快速检测样本的恶意特征.该方法首先依照DEX文件格式对Android应用程序切分得到以方法为单位的指令块,通过对块中Dalvik指令进行形式化描述以实现程序特征的简化和提取,之后综合使用改进的软件相似度度量算法和闵可夫斯基距离算法计算提取特征与已知恶意特征的相似度,并根据相似度比对结果来判定当前待测软件是否含有恶意代码.最后建立原型系统模型来验证上述方法,以大量随机样本进行特征匹配实验.实验结果表明,该方法描述特征准确、检测速度较快,适用于Android恶意代码的快速检测.

Maldetect:基于Dalvik指令抽象的Android恶意代码检测系统

提出了一个Android恶意代码的静态检测系统Maldetect,首先采用逆向工程将DEX文件转化为Dalvik指令并对其进行简化抽象,再将抽象后的指令序列进行N-Gram编码作为样本训练,最后利用机器学习算法创建分类检测模型,并通过对分类算法与N-Gram序列的组合分析,提出了基于3-Gram和随机森林的优选检测方法.通过4 000个Android恶意应用样本与专业反毒软件进行的检测对比实验,表明Maldetect可更有效地进行Android恶意代码检测与分类,且获得较高的检测率.

一种基于系统行为序列特征的Android恶意代码检测方法

基于行为特征建立机器学习模型是目前Android恶意代码检测的主要方法,但这类方法的特征集中各行为特征相互独立,而行为特征间的顺序关系是反映恶意行为的重要因素。为了进一步提高检测准确率,提出了一种基于系统行为序列特征的Android恶意代码检测方法。该方法提取了程序运行发生的敏感API调用、文件访问、数据传输等系统活动的行为序列,基于马尔科夫链模型将系统行为序列转换为状态转移序列并生成了状态转移概率矩阵,将状态转移概率矩阵和状态发生频率作为特征集对SAEs模型进行了学习和训练,最后利用训练后的SAEs实现了对Android恶意代码的检测。实验结果证明,提出的方法在准确率、精度、召回率等指标上优于典型的恶意代码检测方法。

基于随机森林算法的Android恶意代码特征分析

针对Android恶意代码泛滥问题。文中提取出Android的权限特征,采用随机森林算法对应用特征进行匹配训练,从原始训练集中,有放回地抽取一定数量的样本,作为根节点并开始不断进行训练。直到所有节点都被遍历或训练结束,从而实现特征叶子节点与案例库中的特征匹配。实验分析结果表明,从选择的算法效果来看,准备率实验结果表明,在权限特征维度上,随机森林算法的表现都比普通常规算法好;从误报率上来看,随机森林算法的效果同样较普通算法要好。但是,随机森林算法在60维之前的漏报率表现略显不足。所以,为了构建权限特征的检测模块,最终选择随机森林算法和后60维的权限特征。

基于API调用序列的Android恶意代码检测方法研究

目前Android恶意代码泛滥,而传统的静态检测方法虽无需执行代码、效率高,但无法应对经过加固保护的恶意软件,以及被混淆的代码.因此,提出一种基于动态API调用序列的Android恶意代码检测方法.通过Xposed框架构建监控模块,将函数调用作为检测对象,直接对Android系统敏感API调用进行监控.随后,将收集到的函数调用序列作为特征,采用主题模型对其进行建模以及构建分类器,并且利用N-gram扩大模型的单词空间,提高模型的预测能力以及语义表达能力.最后通过机器学习的方法,对数据集进行分类,从而达到检测的目的.实验表明:提出的方法可以有效地检测出恶意应用的行为,并且有较高的检测精度.

基于蜜罐的Android恶意代码动态分析

针对目前Android平台存在大量的恶意应用程序,设计并实现一种针对Android系统恶意代码的动态检测系统。该系统采用蜜罐的方式对恶意代码进行触发,大大提高了代码覆盖率,并且可以与其他检测方法结合使用,对于恶意代码分析具有很好的启示作用。系统的实现则基于QEMU Android模拟器来进行深度定制开发,并实现相应的管理模块,使多个蜜罐可以同时运行于一台主机,多台主机同时工作,进行大规模部署,提高检测效率。该系统的设计为黑盒的方式,操作简单,配置灵活,可以方便对其升级和维护。目前该系统已经在某大型互联网公司进行部署,运行效果良好。

基于字节码图像的Android恶意代码家族分类方法

面对Android恶意代码高速增长的趋势,提出基于字节码图像的Android恶意代码家族分类方法,通过将Android恶意应用的字节码转化为256阶灰度图形式的字节码图像,利用GIST算法提取图像的纹理特征,并结合随机森林算法对特征进行分类。对常见的14种Android恶意代码家族的样本进行了实验验证,并与DREBIN方法进行比较,实验结果表明,该方法可有效进行Android恶意代码家族分类,具有检测精度高且误报率低的优点。

基于函数调用图的Android恶意代码检测方法研究

随着移动互联网的迅猛发展和智能设备的普及,Android平台的安全问题日益严峻,不断增多的恶意软件对终端用户造成了许多困扰,严重威胁着用户的隐私安全和财产安全;因此对恶意软件的分析与研究也成为安全领域的热点之一;提出了一种基于函数调用图的Android程序特征提取及检测方法;该方法通过对Android程序进行反汇编得到函数调用图,在图谱理论基础上,结合函数调用图变换后提取出的图结构和提取算法,获取出具有一定抗干扰能力的程序行为特征;由于Android函数调用图能够较好地体现Android程序的功能模块、结构特征和语义;在此基础上,实现检测原型系统,通过对多个恶意Android程序分析和检测,完成了对该系统的实验验证;实验结果表明,利用该方法提取的特征能够有效对抗各类Android程序中的混淆变形技术,具有抗干扰能力强等特点,基于此特征的检测对恶意代码具有较好地识别能力。

基于UI自动遍历的Android恶意代码动态分析方法

随着移动互联网的快速发展,针对移动平台尤其是Android平台的恶意代码威胁也日益严重。恶意代码分析方法包括静态分析和动态分析两大类。由于静态分析方法难以处理一些经过变形、加密、混淆等技术处理的代码,动态分析已经成为了恶意代码分析领域的发展热点。现有的Android平台动态分析技术存在着分析环境易被识别、分析的代码覆盖率难以保证等问题。如何触发Android平台恶意代码的恶意行为,提高动态分析的全面性是保证动态分析效果的关键问题之一。提出基于UI自动遍历的Android恶意代码动态分析办法,可在一定程度上解决此问题。该方法结合Android平台自身的特色,基于UI元素自动构造不同的执行路径,可有效提高代码分析的全面性。

融合行为模式的Android恶意代码检测方法

基于API调用序列的Android恶意代码检测方法大多使用N-gram和Markov Chain来构建行为特征实现恶意代码检测,但这类方法构造的特征序列长度受限且包含不相关的调用序列,检测精度不高。提出了一种基于行为模式的Android恶意代码检测方法。首先,通过调用序列约简和调用序列合并,提取了最长敏感API调用序列;然后,定义了加权支持度,在此基础上提出了改进的序列模式挖掘算法,挖掘不同类别样本中具有高区分度的序列模式作为分类特征;最后,使用不同的机器学习算法构建分类器实现恶意代码检测。实验结果表明,提出的方法在Android恶意代码检测中的精确度达到了96.11%,比基于API调用数据的两种同类恶意代码检测方法分别提高了4.60个百分点和2.11个百分点。因此,提出的方法能有效检测Android恶意代码。

Android恶意代码的逆向分析

本文主要研究基于逆向工程的Android应用程序中恶意代码的分析方法。首先,通过逆向工程得到Android应用程序的Java源代码和资源文件,然后根据源代码分析程序的功能、结构;根据manifest资源文件分析程序组件的各种权限,再结合恶意代码的行为特征判断是否存在恶意代码及其危害。也可以据此方法研究Android系统受攻击的原因及防御办法并进一步发现恶意代码的特征。

基于分层API调用的Android恶意代码静态描述方法

针对Android APK的静态描述,目前主要是采用权限、数据以及API调用序列的方法,而忽视了代码本身的层级结构,因此无法有效地通过这些静态特征来揭示应用程序的可能行为和恶意属性。设计并实现了一种基于代码层次结构的系统API调用描述方法,其主要是提取APK文件中API调用在应用包、对象类、类函数层面的信息,并将这些信息以树形结构表示,通过将不同应用程序的描述树进行逐层对比来计算相似度,揭示恶意应用程序由于在类型和族群上的差异所带来的API调用特征上的区别,从而为Android应用程序的特征描述和恶意检测提供新的视角。实验采用真实多样的已知Android恶意程序来验证描述方法的正确性和系统实现的效果,分析了不同层次和检测情况下该方法的利弊以及可能的改进之处。

基于纹理指纹与活动向量空间的Android恶意代码检测

为了进一步提高恶意代码识别的准确率和自动化程度,提出一种基于深度学习的Android恶意代码分析与检测方法。首先,提出恶意代码纹理指纹体现恶意代码二进制文件块内容相似性,选取33类恶意代码活动向量空间来反映恶意代码的潜在动态活动。其次,为确保分类准确率的提高,融合上述特征,训练自编码器(AE)和Softmax分类器。通过对不同数据样本进行测试,利用栈式自编码(SAE)模型对Android恶意代码的分类平均准确率可达94.9%,比支持向量机(SVM)高出1.1个百分点。实验结果表明,所提出的方法能够有效提高恶意代码识别精度。

基于CNN的Android恶意代码检测方法

针对传统Android恶意应用检测技术无法对当前爆发增长的恶意应用进行高效检测,对移动终端安全造成严重威胁的问题,利用深度学习中卷积神经网络(convolutional neural network,CNN)的分类算法,设计并实现了一种基于静态权限特征的恶意应用检测方案.首先,对Android应用包反编译获取AndroidManifest.xml文件,从中提取出应用申请的系统权限;然后,根据权限危险级别将权限列表特征化,获得权限特征数据集,进而,对CNN多次训练,获得应用类别分类器;最后,用分类器判断应用是否包含恶意代码.实验结果表明,检测方案的准确率达到98.8%,能够高效判断Android平台中的恶意应用,降低安全威胁.

一种基于本地代码特征的Android恶意代码检测方法

由于移动互联网的快速发展,Android系统已经成为市场占有率最高的移动操作系统,Android系统的开源特性使其成为恶意软件的主要攻击目标.面对高速增长的恶意软件,为了有效和准确地检测恶意代码,提出一种基于Android本地代码特征的恶意代码检测方法,该方法的代码覆盖率比传统的静态检测方法高.将Dalvik字节码和SO文件转换为汇编代码,并生成各个函数的控制流图,通过定义的模式对控制流图进行注释,利用子图同构和模式匹配计算控制流图集合的相似度,并与设定阈值比较,以判定待检测的应用是否包含恶意代码.通过实验验证该方法可行,并且该方法的准确率和检测率比静态检测工具Androguard更优.

基于可信度的Android恶意代码多模型协同检测方法

当前,基于机器学习模型的Android恶意代码检测系统存在退化问题。因为恶意代码在不断地快速变异和进化,产生了概念漂移现象,恶意代码的数据分布规律随时间产生变化。概念漂移破坏了机器学习提出的数据分布规律具有稳定性的假设。为了缓解检测模型的退化问题,本文提出基于可信度的支持多模型协同检测的方法,对多个异构模型的预测结果进行可信度和置信度分析,突破了由于模型的异构性而不能相互学习和协同检测的问题,建立了开放的多模型协同检测平台,缓解恶意代码的概念漂移问题。实验表明,多模型协同可以提升检测效果。在对66 000多个Android样本的预测中,SVM模型和随机森林模型各有优劣,协同检测系统能够在保证不低于任一种单模型的基础上对预测效果有所提升。

一种基于Native层的Android恶意代码检测机制

Android现有的恶意代码检测机制主要是针对bytecode层代码,这意味着嵌入Native层的恶意代码不能被检测,最新研究表明86%的热门Android应用都包含Native层代码。为了解决该问题,本文提出一种基于Native层的Android恶意代码检测机制,将smali代码和so文件转换为汇编代码,生成控制流图并对其进行优化,通过子图同构方法与恶意软件库进行对比,计算相似度值,并且与给定阈值进行比较,以此来判断待测软件是否包含恶意代码。实验结果表明,跟其他方法相比,该方法可以检测出Native层恶意代码而且具有较高的正确率和检测率。

基于静态特征的Android恶意代码检测

Android平台是恶意软件的重灾区。在恶意软件传播方面,第三方应用商店仍是智能移动终端病毒传播的主要途径。由于Android系统的开放性及广泛的市场占有率,恶意软件在Android平台传播广泛。为了防止恶意软件传播,针对恶意软件行为特征复杂的特点,提出了结合深度学习的恶意代码检测方法。基于Android程序的静态特征,利用深度学习模型进行分类学习,并在公开的Android软件样本集上进行测试。测试结果表明,所提方法判断恶意软件的正确率可以达到95%左右,实用性强,可以有效保护Android系统的安全。

有色Petri网的Android恶意代码建模方法研究

针对Android平台的恶意代码分析建模一直是目前移动终端安全的研究重点,对目前常见的恶意代码进行归纳、分类和行为抽取,在对行为进行形式化描述的基础上,提出了一种基于有色Petri网(colored-Petri net,CPN)的恶意代码建模方法,使用该方法能够描述恶意代码从安装、加载到恶意执行的整个过程。最后对恶意软件Bean Bot进行建模,并利用CPN Tools仿真工具分析了模型的可达性和有界性等性质。实验表明该方法可以准确地刻画恶意代码的运行过程,有助于对恶意代码的机制进行深入分析。