基于敏感特征深度域关联的Android恶意应用检测方法

利用机器学习或深度学习算法进行Android恶意应用的检测是当前主流方法,取得了一定的效果。然而,多数方法仅关注应用的权限和敏感行为等信息,缺乏对敏感行为协同的深度分析,导致恶意应用检测准确率低。对敏感行为协同深度分析的挑战主要有两个:表征敏感特征域关联和基于敏感特征域关联的深层分析与检测。本文提出了一种新的Android恶意应用检测模型GCNDroid,基于敏感特征域关联关系图描述的应用程序主要敏感行为以及敏感行为之间的域关联关系来有效地检测Android恶意应用。首先,为了筛选出对分类更加敏感的特征,同时减少图节点的数量,加速分析,本文构建了敏感特征字典。接着,定义类或者包为域,在同一个域中的敏感特征具有域关联关系。通过敏感特征所在域的相对范围,构造敏感特征之间不同的域关联权重,生成敏感特征域关联关系图,敏感特征域关联关系图可以准确表征特定功能模块中的敏感行为,以及敏感行为之间的完整关系。然后,基于敏感特征域关联关系图,设计基于图卷积神经网络的深度表征,构建Android恶意应用检测模型GCNDroid。在实践中,GCNDroid还可以利用新的敏感特征不断更新,以适应移动应用程序新的敏感行为。最后,本文对GCDNroid进行了系统评估,召回率、调和平均数、AUC等重要指标均超过96%。与传统的机器学习算法(支持向量机和决策树)和深度学习算法(深度神经网络和卷积神经网络)相比,GCNDroid取得了预期的效果。

Android恶意应用的静态检测方法综述

Android系统的开放性和第三方应用市场的多样性,使其在取得高市场占有率的同时也带来了巨大的风险,导致Android恶意应用层出不穷并广泛传播,严重威胁了用户的隐私和经济安全.如何有效检测Android恶意应用受到了研究人员的广泛关注.根据是否运行应用程序,将现有的恶意应用检测方法分为静态检测和动态检测.其中,静态检测的效率和代码覆盖率均优于动态检测,Drebin等静态检测工具取得了广泛应用.为此,系统调研了Android恶意应用静态检测领域的研究进展,并进行了分析和总结.首先,介绍了Android应用静态特征;然后,根据静态特征的不同,分别对基于权限、应用程序编程接口(application programming interface,API)和操作码等不同静态特征的Android恶意应用检测方法进行了分析,并总结了常用的Android应用数据集和评价Android恶意应用检测性能的常用指标;最后,对Android恶意应用静态检测技术的发展进行了总结和展望,以期为该领域的研究人员提供参考.

Android恶意应用智能化分析方法研究综述

Android系统是目前市场占有率最高的开源移动端操作系统,但系统的开源性使其成为了恶意软件的主要攻击目标。恶意软件严重威胁国家安全和个人隐私,且规避行为愈发隐蔽,通常难以被检测分析。为此,首先总结An-droid恶意应用检测使用静态、动态分析方法提取的恶意应用特征类型;然后从传统机器学习、深度学习方面,梳理分析Android恶意应用检测方法,并从对抗攻击、防护层面归纳与Android恶意应用检测攻防相关的工作;接下来,在共同数据集上对Android恶意应用智能化分析方法进行比较;最后,从特征、数据集、分析模型等方面讨论与总结未来Android恶意应用智能化分析方法的研究方向和挑战,以期为其发展提供参考与借鉴。

基于应用行为划分的Android恶意应用检测技术

在目前Android恶意应用检测技术研究中,单维度应用特征检测技术容易被黑客针对该特征的缺点设计恶意代码,而多维度应用特征检测技术存在对新样本检测准确率低的问题。同时,基于用户交互信息的应用行为特征划分方法被广泛运用在多维度应用特征检测技术上,显著提升对新恶意样本的检测准确率。但是,已有的研究工作都是通过在UI控件上的文本信息识别用户有意识行为与应用隐匿行为,而该方法在面对简短文本信息时存在识别困难的问题。为此,设计一种基于用户交互信息的应用行为划分算法。通过捕获应用中发生的用户与应用交互行为,获取交互行为发生的时间信息并进行应用行为划分,得到用户有意识行为特征集与应用隐匿行为特征集。设计并构建一种双通道应用分类模型2ch-LSTM-TCN,同时对用户有意识行为特征集和应用隐匿行为特征集进行学习,并对两者的计算输出统合后进行分类判别。实验结果表明,该算法的准确率和召回率分别达到94.8%和93.3%,能够有效区分Android良性应用和恶意应用,实现一个Android恶意应用自动化检测原型系统。

基于数据流深度学习算法的Android恶意应用检测方法

目前针对未知的Android恶意应用可以采用机器学习算法进行检测,但传统的机器学习算法具有少于三层的计算单元,无法充分挖掘Android应用程序特征深层次的表达。文中首次提出了一种基于深度学习的算法DDBN(Data-flow Deep Belief Network)对Android应用程序数据流特征进行分析,从而检测Android未知恶意应用。首先,使用分析工具Flow Droid和SUSI提取能够反映Android应用恶意行为的静态数据流特征;然后,针对该特征设计了数据流深度学习算法DDBN,该算法通过构建深层的模型结构,并进行逐层特征变换,将数据流在原空间的特征表示变换到新的特征空间,从而使分类更加准确;最后,基于DDBN实现了Android恶意应用检测工具Flowdect,并对现实中的大量安全应用和恶意应用进行检测。实验结果表明,Flowdect能够充分学习Android应用程序的数据流特征,用于检测未知的Android恶意应用。通过与其他基于传统机器学习算法的检测方案对比, DDBN算法具有更优的检测效果。

基于深度信念网络的Android恶意应用检测方法

传统的机器学习算法无法有效地从海量的行为特征中选择出有本质的行为特征来对未知的Android恶意应用进行检测。为了解决这个问题,提出DBNSel,一种基于深度信念网络模型的Android恶意应用检测方法。为了实现该方法,首先通过静态分析方法从Android应用中提取5类不同的属性。其次,建立深度信念网络模型从提取到的属性中进行选择和学习。最后,使用学习到的属性来对未知类型的Android恶意应用进行检测。在实验阶段,使用一个由3 986个Android正常应用和3 986个Android恶意应用组成的数据集来验证DBNSel的有效性。实验结果表明,DBNSel的检测结果要优于其他几种已有的检测方法,并可以达到99.4%的检测准确率。此外,DBNSel具有较低的运行开销,可以适应于更大规模的真实环境下的Android恶意应用检测。

Android恶意应用HTTP行为特征生成与提取方法

Android恶意应用数量的不断增加不仅严重危害Android市场安全,同时也为Android恶意应用检测工作带来挑战。设计了一种基于HTTP流量的Android恶意应用行为生成与特征自动提取方法。该方法首先使用自动方式执行恶意应用,采集所生成的网络流量。然后从所生成的网络流量中提取基于HTTP的行为特征。最后将得到的网络行为特征用于恶意应用检测。实验结果表明,所设计的方法可以有效地提取Android恶意应用行为特征,并可以准确地识别Android恶意应用。

改进粒子群算法应用于Android恶意应用检测研究

为了有效提高Android恶意应用检测水平,应积极提取Android应用程序的控制信息、申请权限信息,但是以上信息和数据总量较大,其特点系数能够达到三四万维左右,以此为Android恶意应用检测消除总量冗余特征提供技术支持。针对此种现状采用BPSO算法改进,针对Android系统和应用平台进行搜索监测,BPSO算法改进中运用迭代搜索,利用设定的评价函数,对Android应用进行评断,确定存在恶意应用存储位置等,确保系统的安全。首先详细分析改进粒子群算法基础理论,结合改进粒子群算法实施流程,总结出二进制粒子群计算改进策略以及Android恶意应用检测优化策略。

基于集成学习投票算法的Android恶意应用检测

针对Android平台恶意应用的检测技术,提出一种基于集成学习投票算法的Android恶意程序检测方法MASV(Soft-Voting Algorithm),以有效地对未知应用程序进行分类。从已知开源的数据集中获取了实验的基础数据,使用的应用程序集包含213256个良性应用程序以及18363个恶意应用程序。使用SVM-RFE特征选择算法对特征进行降维。使用多个分类器的集合,即SVM(Support Vector Machine)、K-NN(K-Nearest Neighbor)、NB(Naïve Bayes)、CART(Classification and Regression Tree)和RF(Random Forest),以检测恶意应用程序和良性应用程序。使用梯度上升算法确定集成学习软投票的基分类器权重参数。实验结果表明,该方法在恶意应用程序检测中达到了99.27%的准确率。

行为特征值序列匹配检测Android恶意应用

针对Android恶意代码的混淆、隐藏、加密情况以及现有方法的检测能力不足问题,提出了一种基于恶意应用行为特征值序列的动态检测方法。首先利用远程注入技术将动态检测的模块注入到Android系统的Zygote进程中,执行内联挂钩来监测应用中的重要函数。然后,通过函数监听得到Android应用的重要行为;进而,按照行为的特征将其量化为特征值,再按照时间顺序将行为特征值排为序列,得到行为特征值序列。通过利用支持向量机来训练5 560个恶意样本,得到恶意应用家族的行为特征值序列;最后利用此序列与被检测应用的序列进行相似度比较,判断应用是否为恶意应用。在恶意应用动态检测方面的正确率可达到95.1%,以及只增加被检测的应用21.9 KB内存。实验结果表明,所提方法能够正常检测经过代码混淆、代码加密、代码隐藏的恶意应用,提高了恶意应用检测的正确率,所占内存空间减少,有效提升检测效果。

基于权限频繁模式挖掘算法的Android恶意应用检测方法

Android应用所申请的各个权限可以有效反映出应用程序的行为模式,而一个恶意行为的产生需要多个权限的配合,所以通过挖掘权限之间的关联性可以有效检测未知的恶意应用。以往研究者大多关注单一权限的统计特性,很少研究权限之间关联性的统计特性。因此,为有效检测Android平台未知的恶意应用,提出了一种基于权限频繁模式挖掘算法的Android恶意应用检测方法,设计了能够挖掘权限之间关联性的权限频繁模式挖掘算法—PApriori。基于该算法对49个恶意应用家族进行权限频繁模式发现,得到极大频繁权限项集,从而构造出权限关系特征库来检测未知的恶意应用。最后,通过实验验证了该方法的有效性和正确性,实验结果表明所提出的方法与其他相关工作对比效果更优。

基于多级签名匹配算法的Android恶意应用检测

针对Android恶意应用泛滥的问题,提出了一种基于恶意应用样本库的多级签名匹配算法来进行Android恶意应用的检测。以MD5哈希算法与反编译生成的smali文件为基础,生成API签名、Method签名、Class签名、APK签名。利用生成的签名信息,从每一类恶意应用样本库中提取出这类恶意行为的共有签名,通过匹配待检测应用的Class签名与已知恶意应用样本库的签名,将待测应用中含有与恶意签名的列为可疑应用,并回溯定位其恶意代码,确定其是否含有恶意行为。在测试中成功地发现可疑应用并定位了恶意代码,证明了系统的有效性。

基于CNN和LSTM混合的Android恶意应用检测

Android操作系统上的恶意应用数量和种类快速增长,现实生活中需要替代传统的人工审核和特征码匹配的方法出现。研究深度学习在海量Android应用程序的检测分类,提出了一个混合卷积神经网络和长短期记忆网络的神经网络模型,利用Android应用程序的汇编代码的操作指令序列和运行时的行为与操作的序列进行训练分类。相比于传统的机器学习方法 ,提出的方法省去了手动从汇编代码里提取指定的指令调用作为特征,能够自动对其进行分析和对比。相比于单纯使用卷积神经网络的模型,混合了长短期记忆网络的网络模型,在Android恶意应用检测效果方面效果提升显著。

基于MSVM算法的Android恶意应用检测研究

搜集Android系统良性和恶意应用样本,提取17个特征值构造特征向量。应用样本自学习的方法学习得到模糊SVM分类器中多个核函数线性组合的权重。构造MSVM算法对Android恶意应用样本进行分类测试,并采用交叉验证。实验结果证明MSVM算法与一般的SVM相比取得较好的分类效果。

基于特征分析Android恶意应用检测方法的研究

Android是目前广泛应用的移动操作系统,也是恶意软件首选的攻击目标。为了在恶意应用发布和攻击用户前将其分析、识别出来,文中提出了一种动态检测Android应用是否具有恶意行为的方法,该方法基于及其学习和对Android API调用和系统调用痕迹的特征提取,最终能够得到96%的检测率。

改进粒子群算法应用于Android恶意应用检测

为进行Android恶意应用检测,提取了Android应用程序的API调用信息、申请权限信息、Source-Sink信息为特征,这些信息数量庞大,特征维数高达三四万维。为消除冗余特征和减少分类器构建时间,提出了使用L1与离散二进制粒子群算法(BPSO)进行混合式特征选择;同时针对BPSO易早熟收敛的缺点,提出了一种改进的二进制粒子群算法SVBPSO。通过研究不同映射函数对二进制粒子群算法的影响发现,使用S型映射函数的BPSO全局搜索能力强,使用V型映射函数的BPSO局部搜索能力强,故该算法使用S型映射函数进行全局搜索,每隔一定迭代次数使用V型映射函数进行局部探索。实验结果证明,SVBPSO具有良好的收敛效果,使用SVBPSO进行特征选择后能提高Android恶意应用检测正确率。

基于改进人工蜂群算法的Android恶意应用检测

随着互联网和移动终端的飞速发展,手机中存储着很多重要的信息,要保证这些信息安全不被泄露的一个重要方法就是对手机中的恶意应用进行检测与处理。在对恶意应用进行检测前需要对样本进行特征提取,而如何在众多特征中进行有效的选取是恶意应用检测中一个至关重要的过程。文中针对Android平台的应用,参考相关的Android恶意检测方法,建立了一个基于改进人工蜂群算法的Android恶意应用检测模型,通过对特征进行有效的选择,最终得到使分类结果最优的特征组合,从而提高对Android恶意应用检测的检测性能。在静态和动态条件下分别对Android应用特征进行提取,通过多种分类算法对恶意应用检测模型进行检验,结果证实提出的基于改进人工蜂群算法的Android恶意应用检测方法具有可行性与优越性。

采用函数调用关系的注入型Android恶意应用检测

针对注入型Android恶意应用日益泛滥、传统检测方法依赖大量已知特征的问题,提出了采用函数调用关系的注入型Android恶意应用检测方法。该方法无须依赖大量已知特征,仅通过分析注入型Android恶意应用的自身结构特征即可实现对该类恶意应用的有效检测,并能够实现对未知恶意代码家族的识别。所提方法在smali代码的基础上构建函数调用关系图,并进一步进行子图划分,通过判定各子图威胁度确定是否存在恶意行为。检测过程无需动态行为分析辅助,因此分析检测时间短、效率高。该方法不仅可以检测出Android应用是否存在恶意行为,还可根据子图威胁度确定包含恶意行为的具体代码。经过对1 260个Android恶意应用和1 000个正常应用的实验分析发现:所提方法能够很好地检测注入型Android恶意应用,当误报率为8.90%的时候,检测率达到95.94%,相对于主流Android恶意应用检测系统Androguard,检测效果有显著提升。

基于增量学习SVM的Android恶意应用检测方法

针对传统Android恶意应用检测方法在处理大规模样本时存在的训练时间长、存储空间消耗大的问题,提出一种基于增量学习SVM的Android恶意应用检测方法.该方法提取Android应用的权限申请和API函数调用特征,利用增量学习SVM理论将训练样本集随机划分为初始样本集和若干个增量样本集,利用循环迭代方法训练SVM分类器,每次新的训练仅保留上一轮训练得到的支持向量集并合并到新增样本集中,舍弃大量对分类结果不产生影响的样本以提高分类器学习效率,同时产生新的支持向量集,并最终得到一个高精度的SVM分类器.通过将增量学习SVM算法与常规SVM算法进行对比实验,结果表明,该算法可以有效降低分类器学习时间,减少样本存储的空间占用,同时随着样本规模的积累逐步提高分类精度.

基于BHNB的细粒度的Android恶意应用检测模型

为进一步提高Android恶意应用的检测效率,提出一种基于BHNB(Bagging Hierarchical Na?ve Bayesian)的细粒度Android恶意应用检测模型。该模型首先对样本库中的应用进行类别划分,并分别对其进行动态分析,提取各个应用程序的行为信息作为特征;然后,采用层次朴素贝叶斯HNB(Hierarchical Na?ve Bayesian)分类算法对各类应用特征集合进行分别训练,从而构建出多个层次朴素贝叶斯分类器;最后,采用Bagging集成学习方法对构建出的多个层次朴素贝叶斯分类器进行集成学习,构建出基于层次朴素贝叶斯的Bagging集成学习分类器BHNB。实验结果表明,该模型能够有效检测出Android恶意应用,且检测效率较高。