基于敏感特征深度域关联的Android恶意应用检测方法

利用机器学习或深度学习算法进行Android恶意应用的检测是当前主流方法,取得了一定的效果。然而,多数方法仅关注应用的权限和敏感行为等信息,缺乏对敏感行为协同的深度分析,导致恶意应用检测准确率低。对敏感行为协同深度分析的挑战主要有两个:表征敏感特征域关联和基于敏感特征域关联的深层分析与检测。本文提出了一种新的Android恶意应用检测模型GCNDroid,基于敏感特征域关联关系图描述的应用程序主要敏感行为以及敏感行为之间的域关联关系来有效地检测Android恶意应用。首先,为了筛选出对分类更加敏感的特征,同时减少图节点的数量,加速分析,本文构建了敏感特征字典。接着,定义类或者包为域,在同一个域中的敏感特征具有域关联关系。通过敏感特征所在域的相对范围,构造敏感特征之间不同的域关联权重,生成敏感特征域关联关系图,敏感特征域关联关系图可以准确表征特定功能模块中的敏感行为,以及敏感行为之间的完整关系。然后,基于敏感特征域关联关系图,设计基于图卷积神经网络的深度表征,构建Android恶意应用检测模型GCNDroid。在实践中,GCNDroid还可以利用新的敏感特征不断更新,以适应移动应用程序新的敏感行为。最后,本文对GCDNroid进行了系统评估,召回率、调和平均数、AUC等重要指标均超过96%。与传统的机器学习算法(支持向量机和决策树)和深度学习算法(深度神经网络和卷积神经网络)相比,GCNDroid取得了预期的效果。

Android系统恶意应用的特征值提取评价与自动分类

为了检测恶意应用对Android系统的攻击,收集良性和恶意应用样本,基于提取的17个特征值采用Fisher score算法进行特征值的评分,根据得分排序形成一个17组的特征值组合,基于支持向量机、神经网络和朴素贝叶斯3种方法进行计算机自动分类并采用交叉检验,通过分析实验结果最终得出最优的特征值组合和最优的分类算法。结果表明,支持向量机方法在Android系统恶意应用的分类检测上具有一定的优势,准确率可以达到82.78%。

基于应用分类和系统调用的Android恶意程序检测

针对Android平台恶意程序泛滥的问题,提出一种基于应用分类和系统调用的恶意程序检测方法。以Google Play为依据进行应用程序分类,利用运行时产生的系统调用频数计算每个类别的系统调用使用阈值。当应用程序安装运行时,手机端收集应用程序权限信息和产生的系统调用信息发给远程服务器,远程服务器根据权限信息采用序列最小优化算法给应用程序进行分类,分类后利用系统调用频数计算出系统调用使用值,与该类别的阈值进行比较判断是否恶意程序,将分类结果及判定结果反馈给用户,由用户判断是否需要更改分类重新检测。实验结果表明了该方法的可行性和有效性,不仅减少了手机的资源消耗,又能对产生恶意行为的应用程序及时做出反应。

Android平台下的基于应用分类和敏感权限挖掘的恶意应用检测方法研究

Android智能手机的快速发展在给人们的日常生活带来便利的同时,Android恶意应用的数量也在日益增多,因此如何有效地对恶意应用进行检测就成为了近年来信息安全领域的热点问题。针对该问题,论文提出了一种基于应用分类和敏感权限的恶意应用检测方法。首先从谷歌商店按类别获取应用样本集,然后利用SMO算法形成分类模型。同时对这些应用样本集进行频繁模式挖掘得到每一类应用的敏感权限项集,并根据每一类应用敏感权限的使用情况,计算出该类应用的敏感阈值。当有应用安装时,利用分类模型给应用程序进行正确分类,并统计出该应用中敏感权限的使用情况,计算出该应用的敏感值,并与该类应用的敏感阈值进行比较,判断是否为恶意应用。实验结果表明了该方法是可行且有效的,提高了恶意应用检测准确率。

基于权限频繁模式挖掘算法的Android恶意应用检测方法

Android应用所申请的各个权限可以有效反映出应用程序的行为模式,而一个恶意行为的产生需要多个权限的配合,所以通过挖掘权限之间的关联性可以有效检测未知的恶意应用。以往研究者大多关注单一权限的统计特性,很少研究权限之间关联性的统计特性。因此,为有效检测Android平台未知的恶意应用,提出了一种基于权限频繁模式挖掘算法的Android恶意应用检测方法,设计了能够挖掘权限之间关联性的权限频繁模式挖掘算法—PApriori。基于该算法对49个恶意应用家族进行权限频繁模式发现,得到极大频繁权限项集,从而构造出权限关系特征库来检测未知的恶意应用。最后,通过实验验证了该方法的有效性和正确性,实验结果表明所提出的方法与其他相关工作对比效果更优。

基于多类特征的Android应用恶意行为检测系统

目前针对未知的Android恶意应用可以采用数据挖掘算法进行检测,但使用单一数据挖掘算法无法充分发挥Android应用的多类行为特征在恶意代码检测上所起的不同作用.文中首次提出了一种综合考虑Android多类行为特征的三层混合系综算法THEA(Triple Hybrid Ensemble Algorithm)用于检测Android未知恶意应用.首先,采用动静态结合的方法提取可以反映Android应用恶意行为的组件、函数调用以及系统调用类特征;然后,针对上述3类特征设计了三层混合系综算法THEA,该算法通过构建适合3类特征的最优分类器来综合评判Android应用的恶意行为;最后,基于THEA实现了Android应用恶意行为检测工具Androdect,并对现实中的1126个恶意应用和2000个非恶意应用进行检测.实验结果表明,Androdect能够利用Android应用的多类行为特征有效检测Android未知恶意应用.并且与其它相关工作对比,Androdect在检测准确率和执行效率上表现更优.

基于有向信息流的Android隐私泄露类恶意应用检测方法

Android系统占据智能移动终端市场81.9%的份额,预计还会持续增长.同时,针对Android系统的恶意应用日益增多,Android恶意应用程序检测技术已经成为安全领域研究的热点问题.本文提出一种基于有向信息流的针对Android隐私泄漏类恶意应用的检测方法.该方法首先反编译应用程序,分析配置文件中的权限申明;基于隐私点数据集构建隐私数据有向信息流模型;通过在信息流模型中对隐私点的跟踪分析,检测隐私数据是否被发送出去而导致信息泄漏.该方法在对Android第三方市场的7 985个应用程序检测中,发现357个恶意应用.通过实验方式验证了检测结果的准确性.结果表明该方法对Android隐私泄露类恶意应用具有很好的检测效果.

基于数据流深度学习算法的Android恶意应用检测方法

目前针对未知的Android恶意应用可以采用机器学习算法进行检测,但传统的机器学习算法具有少于三层的计算单元,无法充分挖掘Android应用程序特征深层次的表达。文中首次提出了一种基于深度学习的算法DDBN(Data-flow Deep Belief Network)对Android应用程序数据流特征进行分析,从而检测Android未知恶意应用。首先,使用分析工具Flow Droid和SUSI提取能够反映Android应用恶意行为的静态数据流特征;然后,针对该特征设计了数据流深度学习算法DDBN,该算法通过构建深层的模型结构,并进行逐层特征变换,将数据流在原空间的特征表示变换到新的特征空间,从而使分类更加准确;最后,基于DDBN实现了Android恶意应用检测工具Flowdect,并对现实中的大量安全应用和恶意应用进行检测。实验结果表明,Flowdect能够充分学习Android应用程序的数据流特征,用于检测未知的Android恶意应用。通过与其他基于传统机器学习算法的检测方案对比, DDBN算法具有更优的检测效果。

基于深度信念网络的Android恶意应用检测方法

传统的机器学习算法无法有效地从海量的行为特征中选择出有本质的行为特征来对未知的Android恶意应用进行检测。为了解决这个问题,提出DBNSel,一种基于深度信念网络模型的Android恶意应用检测方法。为了实现该方法,首先通过静态分析方法从Android应用中提取5类不同的属性。其次,建立深度信念网络模型从提取到的属性中进行选择和学习。最后,使用学习到的属性来对未知类型的Android恶意应用进行检测。在实验阶段,使用一个由3 986个Android正常应用和3 986个Android恶意应用组成的数据集来验证DBNSel的有效性。实验结果表明,DBNSel的检测结果要优于其他几种已有的检测方法,并可以达到99.4%的检测准确率。此外,DBNSel具有较低的运行开销,可以适应于更大规模的真实环境下的Android恶意应用检测。

一种静态Android重打包恶意应用检测方法

Android系统以其优异的特性快速抢占了手机市场.但由于Android的开源性,导致Android的安全问题频发.第三方市场上大量恶意APP给人们的隐私安全以及财产安全带来了很大的危害,其中重打包恶意应用所占比重最大达到了86%.在重打包应用检测方面,研究人员作了大量的实验研究并设计了检测引擎.但是以往的检测引擎存在复杂度高、准确率低等缺点,并对重打包应用的恶意性无法判断.所以结合当前多种恶意应用检测方法的优点,设计了一种基于质心处理和层次分析的抗混淆恶意应用检测方法,该方法对反编译之后的中间代码进行静态分析,使用质心算法对应用之间的相似性进行检测,通过相似应用之间的比较定位可疑代码段,结合层次分析法和加权FP-growth算法对可疑代码段进行恶意性判定.通过实验验证,该方法在Android重打包恶意应用的检测方面具有较好的效果.

基于权限组合的Android窃取隐私恶意应用检测方法

在分析Android系统总共165个权限的基础上,提炼出30个理论上可以获取Android系统隐私资源的恶意权限组合。提出一种针对应用类别的基于恶意权限组合的恶意值、待测应用恶意权值、恶意阈值的窃取隐私恶意应用检测方法。通过实验验证了该方法的正确性和准确率,并在Android系统中得以实现。

基于CNN和LSTM混合的Android恶意应用检测

Android操作系统上的恶意应用数量和种类快速增长,现实生活中需要替代传统的人工审核和特征码匹配的方法出现。研究深度学习在海量Android应用程序的检测分类,提出了一个混合卷积神经网络和长短期记忆网络的神经网络模型,利用Android应用程序的汇编代码的操作指令序列和运行时的行为与操作的序列进行训练分类。相比于传统的机器学习方法 ,提出的方法省去了手动从汇编代码里提取指定的指令调用作为特征,能够自动对其进行分析和对比。相比于单纯使用卷积神经网络的模型,混合了长短期记忆网络的网络模型,在Android恶意应用检测效果方面效果提升显著。

基于特征分析Android恶意应用检测方法的研究

Android是目前广泛应用的移动操作系统,也是恶意软件首选的攻击目标。为了在恶意应用发布和攻击用户前将其分析、识别出来,文中提出了一种动态检测Android应用是否具有恶意行为的方法,该方法基于及其学习和对Android API调用和系统调用痕迹的特征提取,最终能够得到96%的检测率。

基于MSVM算法的Android恶意应用检测研究

搜集Android系统良性和恶意应用样本,提取17个特征值构造特征向量。应用样本自学习的方法学习得到模糊SVM分类器中多个核函数线性组合的权重。构造MSVM算法对Android恶意应用样本进行分类测试,并采用交叉验证。实验结果证明MSVM算法与一般的SVM相比取得较好的分类效果。

Android恶意应用HTTP行为特征生成与提取方法

Android恶意应用数量的不断增加不仅严重危害Android市场安全,同时也为Android恶意应用检测工作带来挑战。设计了一种基于HTTP流量的Android恶意应用行为生成与特征自动提取方法。该方法首先使用自动方式执行恶意应用,采集所生成的网络流量。然后从所生成的网络流量中提取基于HTTP的行为特征。最后将得到的网络行为特征用于恶意应用检测。实验结果表明,所设计的方法可以有效地提取Android恶意应用行为特征,并可以准确地识别Android恶意应用。

融合MAML和CBAM的安卓恶意应用家族分类模型

为满足对新兴安卓恶意应用家族的快速检测需求,提出一种融合MAML(model-agnostic meta-learning)和CBAM(convolutional block attention module)的安卓恶意应用家族分类模型MAML-CAS。将安卓恶意应用样本集中的DEX文件可视化为灰度图,并构建任务集;融合混合域注意力机制CBAM,设计两个具有同等结构的卷积神经网络,分别作为基学习器和元学习器,这两个学习器在自动提取任务集中样本特征的同时,可从通道和空间两个维度来增强关键特征表达;利用元学习方法MAML对两个学习器进行训练,其中基学习器完成特定恶意家族分类任务的属性学习,元学习器则学习不同任务的共性;在两个学习器训练完成后,MAML-CAS将获得初始化参数,在面对新的安卓恶意应用家族分类任务时,不需要重新训练,只需要少量样本就可以快速迭代;利用训练完成的基学习器提取安卓恶意应用家族特征,并利用SVM进行恶意家族分类。实验结果表明,MAML-CAS模型对新兴小样本安卓恶意应用家族具有良好的检测效果,检测速度较快,并具有较好的稳定性。

对抗环境下基于集成学习的细粒度恶意应用分类检测

当前绝大多数对Android恶意应用的检测只是在粗粒度层面对恶意应用进行检测,不能准确地探知具体的恶意应用所属类别而且准确度不高,同时在对抗性环境下检测效果不佳。文章提出了一种基于集成学习的细粒度恶意应用分类检测方法,通过静态分析入手,然后对应用进行聚类;接着对聚类所得的每一个类训练其专属的集成分类器,以针对不同的软件类别采用不同的方法来更准确地甄别恶意软件。然后针对对抗性环境下的攻击原理,研究有助于提升系统整体鲁棒性的对抗性策略。实验表明,基于集成学习的细粒度恶意应用分类检测方法与对抗性策略跟传统算法相比,在各自的领域均有更好的效果。

基于增量学习SVM的Android恶意应用检测方法

针对传统Android恶意应用检测方法在处理大规模样本时存在的训练时间长、存储空间消耗大的问题,提出一种基于增量学习SVM的Android恶意应用检测方法.该方法提取Android应用的权限申请和API函数调用特征,利用增量学习SVM理论将训练样本集随机划分为初始样本集和若干个增量样本集,利用循环迭代方法训练SVM分类器,每次新的训练仅保留上一轮训练得到的支持向量集并合并到新增样本集中,舍弃大量对分类结果不产生影响的样本以提高分类器学习效率,同时产生新的支持向量集,并最终得到一个高精度的SVM分类器.通过将增量学习SVM算法与常规SVM算法进行对比实验,结果表明,该算法可以有效降低分类器学习时间,减少样本存储的空间占用,同时随着样本规模的积累逐步提高分类精度.

基于BHNB的细粒度的Android恶意应用检测模型

为进一步提高Android恶意应用的检测效率,提出一种基于BHNB(Bagging Hierarchical Na?ve Bayesian)的细粒度Android恶意应用检测模型。该模型首先对样本库中的应用进行类别划分,并分别对其进行动态分析,提取各个应用程序的行为信息作为特征;然后,采用层次朴素贝叶斯HNB(Hierarchical Na?ve Bayesian)分类算法对各类应用特征集合进行分别训练,从而构建出多个层次朴素贝叶斯分类器;最后,采用Bagging集成学习方法对构建出的多个层次朴素贝叶斯分类器进行集成学习,构建出基于层次朴素贝叶斯的Bagging集成学习分类器BHNB。实验结果表明,该模型能够有效检测出Android恶意应用,且检测效率较高。

基于敏感权限和API的Android恶意软件家族分类方法

提出一种基于敏感权限和API的Android恶意软件家族分类方法,通过提取敏感权限和敏感API,将两部分特征进行融合,构建特征库,最后结合随机森林算法进行恶意软件的家族分类。实验结果表明,该方法的检测精确度达到98.4%,显著优于其他基线算法,能够反映恶意软件的相似性和同源性。