基于代码图像合成的Android恶意软件家族分类方法

代码图像化技术被提出后在Android恶意软件研究领域迅速普及。针对使用单个DEX文件转换而成的代码图像表征能力不足的问题,提出了一种基于代码图像合成的Android恶意软件家族分类方法。首先,将安装包中的DEX、XML与反编译生成的JAR文件进行灰度图像化处理,并使用Bilinear插值算法来放缩处理不同尺寸的灰度图像,然后将三张灰度图合成为一张三维RGB图像用于训练与分类。在分类模型上,将软阈值去噪模块与基于SplitAttention的ResNeSt相结合提出了STResNeSt。该模型具备较强的抗噪能力,更能关注代码图像的重要特征。针对训练过程中的数据长尾分布问题,在数据增强的基础上引入了类别平衡损失函数(CB Loss),从而为样本不平衡造成的过拟合现象提供了解决方案。在Drebin数据集上,合成代码图像的准确率领先DEX灰度图像2.93个百分点,STResNeSt与残差神经网络(ResNet)相比准确率提升了1.1个百分点,且数据增强结合CB Loss的方案将F1值最高提升了2.4个百分点。实验结果表明,所提方法的平均分类准确率达到了98.97%,能有效分类Android恶意软件家族。

基于敏感权限和API的Android恶意软件家族分类方法

提出一种基于敏感权限和API的Android恶意软件家族分类方法,通过提取敏感权限和敏感API,将两部分特征进行融合,构建特征库,最后结合随机森林算法进行恶意软件的家族分类。实验结果表明,该方法的检测精确度达到98.4%,显著优于其他基线算法,能够反映恶意软件的相似性和同源性。

CallN:基于卷积神经网络的Android恶意软件家族分类技术

现有基于API特征的Android恶意软件分析技术普遍采用API频繁调用序列或者API调用子图作为特征对恶意家族进行聚类,固化了恶意软件的特征,难以准确地进行恶意软件家族分类。API调用图为有向图,本文利用有向图节点依赖性的特点,采用拓扑排序对API调用图进行排序。随机提取局部特征后节点对前节点具有依赖性,这使得特征拥有随机性、有效性。结合卷积神经网络提出一种新的Android恶意软件家族分类技术。通过静态分析提取Android应用的API调用图,同时建立一个API数据库对API进行标记;将API调用图进行排序并转换为RGB图像,使用本文提出的卷积神经网络模型CallN提取图像特征进行分类。本文选择Drebin数据集中恶意软件家族规模前20的恶意家族的恶意软件进行家族分类,家族分类准确率达到99.93%。实验结果表明,本文提出的方法能有效地对恶意软件家族进行分类。

基于深度学习的Android恶意软件动态检测

为提高Android恶意软件的检测精度,提出一种基于改进DenseNet网络的Android恶意软件动态检测方法。以应用软件运行特定阶段的网络通信流量为分析对象,根据会话五元组信息切分原始网络流量并转换为灰度图,提出一种基于DenseNet网络改进的分类检测网络DenseNet_IS。通过添加具有不同大小卷积核的卷积分支获取不同感受野的特征,通过引入SimAM注意力模块,从空间和通道两个维度实现对重要特征的关注。结合应用软件判决机制,实现最终分类。在CICAndMal2017数据集上的实验结果表明,所提方法可以达到99.06%的良恶性检测精度和96.51%的多分类精度,验证了该方法的有效性。

基于关联规则的Android恶意软件检测技术

由于Android系统的开放性和多样性,使得该系统的受攻击面非常广泛,同时随着入侵技术和手段不断升级,导致恶意软件难以被检测到。为此,提出基于关联规则的Android恶意软件检测技术。利用计算机编程语言中dpke库对wireshark配置脚本文件解析,提取恶意软件流量,并获取恶意软件静态特征,通过对恶意软件流量聚类分析,利用频繁项集与关联规则计算最小支持度与最小置信度,提取到关联规则,将关联规则与规则库比对,识别检测恶意软件类型,以此实现基于关联规则的Android恶意软件检测。实验证明,设计技术查准率在95%以上,F_measure值在0.95以上,在Android安全防护方面具有良好的应用前景。

基于GCN和BiLSTM的Android恶意软件检测方法

现有Android恶意软件检测方法大多是对单一结构类型的特征进行学习,在分析应用程序语义方面有所缺失。针对传统检测方法捕获特征语义不够全面的问题,文中创新性地提出了一种基于GCN和BiLSTM的Android恶意软件检测模型,在精准提取样本结构信息的同时对恶意行为语义进行重点分析。首先以图的方式表征26类关键系统调用间的拓扑关系,使用双层GCN网络聚合系统调用图中节点的高阶结构信息,有效提高特征学习效率;然后利用带有自注意力机制的BiLSTM网络获取操作码序列的上下文语义,通过为具有恶意特征的序列赋予高权重得到特征内部的强相关性;最后使用Softmax输出融合结构信息和上下文特征的样本分类概率。在基于Drebin和AndroZoo数据集的实验中,所提模型准确率达到了93.95%,F1值达到了97.09%,相较于基准算法有显著提高,充分证明了基于GCN和BiLSTM的模型能有效提升Android恶意软件的检测效果。

基于行为特征和语义特征的多模态Android恶意软件检测方法

现有的Android恶意软件检测方法只考虑单一种类的特征,并不能全面描述Android软件的特征。为解决此类问题,文中从权限、字节码概率矩阵和函数调用图3种类型特征出发,提出了一种基于行为特征和语义特征的多模态Android恶意软件检测方法。同时,为了解决函数节点特征表示问题,文中针对函数调用图的生成过程提出了一种新的节点特征生成方法。为了丰富操作码语义信息,提出了一种基于2-gram的字节概率矩阵生成方法。通过实验证明了文中方法相较于其他方法可更加全面地描述Android软件的特征,检测准确率达到95.2%,相较于已有方法准确率平均提升了22%,有效提高了Android恶意软件的检测能力。

基于集成机器学习算法的Android恶意软件创新预测方法研究

恶意软件旨在破坏、禁用或控制计算机系统.Android恶意软件专门针对Android操作系统,以泄露机密信息和破坏系统为目的.文献显示相关领域已进行了多次尝试来检测Android恶意软件.然而,这些工作无法自动检测恶意软件,而且大多数都是基于签名的,无法检测恶意软件的新变种.本研究中,探索了不同的算法,以获得恶意软件预测的最佳算法,并获得有助于本研究有效预测恶意软件的最佳特征集.从本研究的分析中,已经看到,在预测恶意软件方面,集成方法比传统的机器学习算法要好.本研究使用LGBM创新算法将特征数量从215个减少到100个,精准率达到99.50%.此外,本研究使用只有55个特征的随机森林获得了99.17%的精准度。

Android恶意软件检测方案探析

Android系统具有开源性、硬件选择丰富等优点,目前已成为用户基数最为庞大的移动操作系统,但同时也成为恶意应用软件的主要攻击目标,给广大的Android系统用户带来了危害。现阶段针对Android恶意应用检测的研究越来越多,本文对Android恶意应用检测技术和方案进行归纳总结,分析不同技术特点,对Android恶意应用软件检测研究的方向与特点进行讨论。

基于特征图像生成的Android恶意软件检测方法

目前的传统机器学习方法在Android恶意软件检测上存在特征分布不平衡、检测准确率偏低的问题。针对于此,该文提出一种基于特征图像生成的Android恶意软件检测方法。该方法首先采用特征匹配的方法提取APK文件的权限、API、操作码作为特征,并使用改进的FPGrowth算法挖掘各特征的频繁特征项集,以获取有效特征;再利用降噪自编码器(DAE)抽取特征信息和转换特征向量维度,将各特征对应的特征向量转换成单通道图像并在通道维度进行拼接,生成RGB特征图像用于训练和分类;最后构建BaggingCNN分类算法,其集成了多个不同的卷积神经网络(CNN)算法,这些算法均在采用Bootstrap抽样构造的多个子训练集上进行训练,得到若干个子分类器,这些子分类器将用来对表示APK文件的特征图像进行检测,并采取多数投票机制得到最终的检测结果。实验结果表明,该方法生成的特征图像具有较好的表征能力,有利于分类算法的收敛和准确度的提升;其检测准确率达到98.21%,可以有效地检测Android恶意软件。

一种基于行为的Android恶意软件家族聚类方法

基于同一家族恶意软件在行为上的相似性特征,提出了一种基于行为的Android恶意软件家族聚类方法.该方法构建了软件行为刻画特征集合,通过定制ROM的方式来构建行为捕获机制并采集恶意软件的行为日志,基于行为日志提炼恶意软件特征集,使用DBSCAN(density-based spatial clustering of applications with noise)聚类算法进行家族聚类.通过对大量已经人工分类的恶意软件进行评估,实验结果表明,在最优情况下,本方法在聚类准确率上达到了91.3%,在测试样本识别预测上正确率达到了82.3%.

基于机器学习技术的Android恶意软件检测算法设计

机器学习为恶意软件检测提供了一种新的视角,它可以从大量的样本中自动学习和提取特征,然后使用这些特征进行预测。通过对Android系统的权限、API调用以及动态行为等方面进行深入的分析,研究人员已经成功地发现了许多与恶意软件相关的显著特征。对Android恶意软件的特征进行了深入的分析,探讨几种主流的机器学习算法,并对它们的性能进行了对比。研究结果表明,该算法在检测Android恶意软件时可以提高实时性和准确性,从而提高了检测的精确性和效率。

基于深度学习的可扩展Android恶意软件检测和分类方案

Android操作系统是目前移动设备中的主流操作系统之一。它拥有庞大的用户群,因此也出现了许多恶意的Android软件。每年,研究人员都会提出一些新的Android恶意软件分析框架来防御现实世界的Android恶意软件应用程序。论文使用主流的深度学习算法,构建了合适的神经网络,并在网络层之间增加修正线性单元,实现了Android恶意软件的检测和分类。通过对网络的训练,最终得到了一个比较好的恶意检测器(二元分类器)和三个多分类器的结果——基于静态恶意软件二分类器的准确率为95.74%,多分类器的准确率为92.98%,基于动态的恶意软件大类多分类器的准确率为84.48%,基于动态的恶意软件家族小类多分类器的准确率为60.34%。

基于行为的Android恶意软件判定方法及其有效性

针对当前Android平台资源受限及恶意软件检测能力不足这一问题,以现有Android安装方式、触发方式和恶意负载方面的行为特征为识别基础,构建了基于ROM定制的Android软件行为动态监控框架,采用信息增益、卡方检验和Fisher Score的特征选择方法,评估了支持向量机(SVM)、决策树、k-邻近(KNN)和朴素贝叶斯(NB)分类器四类算法在Android恶意软件分类检测方面的有效性。通过对20 916个恶意样本及17 086个正常样本的行为日志的整体分类效果进行评估,结果显示,SVM算法在恶意软件判定上准确率可以达到93%以上,误报率低于2%,整体效果最优。可应用于在线云端分析环境和检测平台,满足海量样本处理需求。

基于沙盒的Android恶意软件动态分析方案

智能手机的普及极大地刺激了恶意软件的广泛传播,Android平台因其巨大的市场占有率和开源特性,已成为攻击者首选的攻击目标。针对传统的基于签名的反病毒软件仅能检测已知恶意软件的缺点,文章提出基于沙盒的Android恶意软件动态分析方案,用于有效地分析未知恶意软件的行为。文章通过在虚拟化软件Oracle VM Virtual Box中安装Android x86虚拟机的方式来实现Android沙盒,利用Virtual Box提供的命令行工具来控制Android沙盒。Android应用程序通过调用相应系统API来完成对应的行为,文中方案通过在应用程序包中插入API监视代码的方法监测Android应用程序调用的系统API,并通过脚本程序向Android沙盒发送不同的用户事件流来模拟用户对应用程序的真实操作,控制Android应用程序在沙盒中自动运行,实验证明文中提出的方法切实可行。

Android恶意软件检测方法研究

针对Android恶意软件泛滥的局面,提出了一种基于行为的恶意软件动态检测的方法。首先,综合收集软件运行时的动态信息,包括软件运行时系统的信息和软件的内核调用信息,并将内核调用序列截断成定长短序列的形式。其次,将各方面信息统一为属性、属性值的形式。以信息增益作为指标,选用C4.5算法筛选出信息增益高、作用不重叠的属性,并依据信息增益的大小为各属性正比分配权重因子。最后,用K最近邻算法完成机器学习,识别出与样本类似的恶意软件,并将未知类型的软件标记为疑似恶意。实验结果表明,该方法识别率高、误报率低。通过增大学习样本库,识别的效果可以进一步提高。

基于随机森林的Android恶意软件检测方法

为提高Android恶意软件检测准确率,针对现有方法对关联权限研究存在的不足,提出一种基于随机森林的恶意软件检测方法。提取特征权限,通过PFP_Tree算法挖掘关联权限;在卡方检验筛选恶意性关联权限的基础上,将每个恶意关联权限作为一个属性加入随机森林训练,构建随机森林分类器检测未知恶意软件。实验结果表明了该方法的有效性与可行性,其检测准确率比其它方法更高,该方法从关联权限恶意度的角度为恶意软件的检测提供了新思路。

基于签名与数据流模式挖掘的Android恶意软件检测系统

随着Android软件开发和维护的不断增多,以及恶意软件的抗检测能力逐渐增强,主流的静态检测方法开始面临一些问题:签名检测虽然检测速度快,但是对代码混淆、重打包类的恶意软件的检测能力不强;基于数据流的检测方法虽然精度高,但检测效率低。针对上述技术存在的缺点,提出了一种混合型静态检测系统。该系统改进了多级签名检测方法,通过对method与class签名进行多级匹配,提高了对代码混淆类恶意软件的检测能力。系统还改进了传统数据流分析技术,通过数据流模式挖掘,找出恶意软件频繁使用的数据流模式,省去了人工确认环节,提高了数据流分析的自动化程度与效率。两种技术的结合使得系统在检测精度与效率两方面达到一个合理的折中点。实验结果表明,该系统对于代码混淆和重打包的恶意软件具有较好的检测能力,对主流恶意软件的检测精确度达到88%。

一种基于异质模型融合的Android终端恶意软件检测方法

针对单一分类模型检测精度有限的问题,提出了一种基于异质模型融合的Android恶意软件检测方法。首先识别和采集恶意软件混合特征信息,采用基于CART决策树的随机森林算法和基于MLP的Adaboost算法分别构造集成学习模型,然后通过Blending算法对这两个分类器进行模型融合,最后得到一种异质模型融合分类器,在此基础上实施移动终端恶意软件检测。实验结果表明所提方法能够有效克服单一分类模型检测精度不足的问题。

基于多特征和Stacking算法的Android恶意软件检测方法

Android由于其广泛的普及率使得其平台上的恶意软件数量不断增加,针对目前大部分方法采用单一特征和单一算法进行检验,准确率不高的不足,提出了一种基于多特征与Stacking算法的静态检测方法,该方法能够弥补这两方面的不足.首先使用多种特征信息组成特征向量,并且使用Stacking集成学习算法组合Logistic,SVM,k近邻和CART决策树多个基本算法,再通过训练样本进行学习形成分类器.实验结果表明,相对于使用单一特征和单一算法其识别准确率得到提高,可达94.05%,该分类器对测试样本拥有较好的识别性能.