一种基于行为的Android重打包应用检测方案

重打包类型的恶意应用是通过将恶意代码注入正常应用来生成的,在Android平台已发现的恶意应用中占了很大的比例。针对此类恶意应用,提出一种基于行为的恶意应用检测方案。方案采用云端协作的软件架构,在云端对正常应用进行基于系统短序列的行为模式分析,从而形成正常行为模式库;在终端,从云端下载系统已安装应用的正常行为模式库,监测已安装应用的系统调用序列,并计算其异常率。实验结果表明,该方法是有效的,可以准确地识别出重打包的恶意应用。     

SysTracker:一种采用系统调用监测安卓应用资源使用的方法

安卓恶意应用行为大多源于对系统资源的非法使用,资源使用信息将有助于快速地分析恶意行为。然而,由于安卓系统使用权限机制对资源进行管理的特性,现有的基于系统调用监测安卓应用资源使用的方法并不行之有效。针对该问题,设计并实现了SysTracker:一种采用系统调用辅以API-系统调用映射关系来监测安卓应用资源使用的技术。SysTracker通过截获安卓应用程序中的系统调用,并对系统调用的相关信息进行解析,借助API-系统调用映射关系将特殊的系统调用序列还原为相应的API调用,从而识别出应用程序中资源使用信息。大规模的应用程序测试显示SysTracker对API调用的识别率高达99.2%。同时,通过对多款应用程序的分析表明,SysTracker能直观反映应用对资源使用的情况以快速识别出应用的恶意行为。     

基于多类特征的Android应用恶意行为检测系统

目前针对未知的Android恶意应用可以采用数据挖掘算法进行检测,但使用单一数据挖掘算法无法充分发挥Android应用的多类行为特征在恶意代码检测上所起的不同作用.文中首次提出了一种综合考虑Android多类行为特征的三层混合系综算法THEA(Triple Hybrid Ensemble Algorithm)用于检测Android未知恶意应用.首先,采用动静态结合的方法提取可以反映Android应用恶意行为的组件、函数调用以及系统调用类特征;然后,针对上述3类特征设计了三层混合系综算法THEA,该算法通过构建适合3类特征的最优分类器来综合评判Android应用的恶意行为;最后,基于THEA实现了Android应用恶意行为检测工具Androdect,并对现实中的1126个恶意应用和2000个非恶意应用进行检测.实验结果表明,Androdect能够利用Android应用的多类行为特征有效检测Android未知恶意应用.并且与其它相关工作对比,Androdect在检测准确率和执行效率上表现更优.     

一种基于双层语义的Android原生库安全性检测方法

原生代码已在Android应用中广泛使用,为恶意攻击者提供了新的攻击途径,其安全问题不容忽视。当前已有Android恶意应用检测方案,主要以Java代码或由Java代码编译得到的Dalvik字节码为分析对象,忽略了对原生代码的分析。针对这一不足,提出了一种基于双层语义的原生库安全性检测方法。首先分析原生方法Java层语义,提取原生方法函数调用路径,分析原生方法与Java层的数据流依赖关系以及原生方法函数调用路径的入口点。对于原生代码语义,定义了数据上传、下载、敏感路径读写、敏感字符串、可疑方法调用5类可疑行为,基于IDA Pro和IDA Python对原生代码内部行为进行自动分析。使用开源机器学习工具Weka,以两层语义作为数据特征,对5336个普通应用和3426个恶意应用进行了分析,最佳检测率达到92.4%,表明所提方法能够有效检测原生库的安全性。     

基于分层API调用的Android恶意代码静态描述方法

针对Android APK的静态描述,目前主要是采用权限、数据以及API调用序列的方法,而忽视了代码本身的层级结构,因此无法有效地通过这些静态特征来揭示应用程序的可能行为和恶意属性.设计并实现了一种基于代码层次结构的系统API调用描述方法,其主要是提取APK文件中API调用在应用包、对象类、类函数层面的信息,并将这些信息以树形结构表示,通过将不同应用程序的描述树进行逐层对比来计算相似度,揭示恶意应用程序由于在类型和族群上的差异所带来的API调用特征上的区别,从而为Android应用程序的特征描述和恶意检测提供新的视角.实验采用真实多样的已知Android恶意程序来验证描述方法的正确性和系统实现的效果,分析了不同层次和检测情况下该方法的利弊以及可能的改进之处.     

基于PageRank和系统调用的网页安全检测模型

传统的基于病毒特征的网页检测方法已不能适应现在病毒产生快和变形多的特点,针对这个问题,本文提出基于Pag-eRank和系统调用的网页安全检测模型.该模型首先使用PageRank对网页进行快速分类,然后通过自动分析安全网页的系统调用参数来建立系统调用的正常访问模式,以此来检测可疑网页中病毒入侵的异常访问行为.最后实现了系统原型并进行性能测试,实验结果表明:本模型对典型恶意网页的检测率达到79.5%,效果理想,尤其在对新出现的网页病毒进行检测时明显优于传统方法.     

基于多级签名匹配算法的Android恶意应用检测*

针对Android恶意应用泛滥的问题,提出了一种基于恶意应用样本库的多级签名匹配算法来进行Android恶意应用的检测。以MD5哈希算法与反编译生成的smali文件为基础,生成API签名、Method签名、Class签名、APK签名。利用生成的签名信息,从每一类恶意应用样本库中提取出这类恶意行为的共有签名,通过匹配待检测应用的Class签名与已知恶意应用样本库的签名,将待测应用中含有与恶意签名的列为可疑应用,并回溯定位其恶意代码,确定其是否含有恶意行为。在测试中成功的发现可疑应用并定位了恶意代码,证明了本系统的有效性。     

静动态结合的恶意Android应用自动检测技术

随着移动互联网的快速发展,移动终端及移动应用在人们日常生活中越来越重要,与此同时,恶意移动应用给网络和信息安全带来了严峻的挑战。Android平台由于其开放性和应用市场审查机制不够完善,使其成为了移动互联网时代恶意应用的主要传播平台。现有的恶意应用检测方法主要有静态分析和动态测试两种。一般而言,静态分析方法代码覆盖率高、时间开销小,但存在误报率较高的问题;而动态测试准确度较高,但需要实际运行应用,所需的时间和计算资源开销较大。针对上述情况,本文基于静动态结合的方法,自动检测恶意Android应用。首先,使用静态分析技术获取应用API的调用情况来判定其是否为疑似恶意应用,特别是可有效检测试图通过反射机制调用API躲避静态分析的恶意应用;然后,根据疑似恶意应用UI控件的可疑度进行有针对性的动态测试,来自动确认疑似恶意应用中是否存在恶意行为。基于此方法,我们实现了原型检测工具框架,并针对吸费短信类恶意行为,对由465个恶意应用和1085个正常应用组成的数据集进行了对比实验。实验结果表明,该方法在提高恶意应用检测效率的同时,有效地降低了误报率。     

基于关键应用编程接口图的恶意代码检测

针对基于特征码的恶意代码检测方法无法应对混淆变形技术的问题,提出基于关键应用编程接口(API)图的检测方法。通过提取恶意代码控制流图中含关键API调用的节点,将恶意行为抽象成关键API图,采用子图匹配的方法判定可疑程序的恶意度。实验结果证明,该方法能有效检测恶意代码变体,漏报率较低。     

基于关键应用编程接口图的恶意代码检测

针对基于特征码的恶意代码检测方法无法应对混淆变形技术的问题,提出基于关键应用编程接口(API)图的检测方法。通过提取恶意代码控制流图中含关键API调用的节点,将恶意行为抽象成关键API图,采用子图匹配的方法判定可疑程序的恶意度。实验结果证明,该方法能有效检测恶意代码变体,漏报率较低。     

一种基于组合事件行为触发的Android恶意行为检测方法

当前Android恶意应用程序在传播环节缺乏有效的识别手段,对此提出了一种基于自动化测试技术和动态分析技术的Android恶意行为检测方法。 通过自动化测试技术触发Android应用程序的行为,同时构建虚拟的沙箱监控这些行为。设计了一种组合事件行为触发模型——DroidRunner,提高了Android应用程序的代码覆盖率、恶意行为的触发率以及Android恶意应用的检测率。经过实际部署测试,该方法对未知恶意应用具有较高的检测率,能帮助用户发现和分析未知恶意应用。     

基于多特征融合的安卓恶意应用程序检测方法

安卓恶意应用程序的检测目前存在着检测速度慢、检测率低等问题,本文针对这些问题提出了一种基于多特征融合的安卓恶意应用程序检测方法。从Android恶意应用的恶意行为特点出发,运用静态分析和动态分析互相结合的方法,提取出权限和组件、函数API调用序列、系统命令、网络请求等多维度特征,对维度较大的特征种类使用信息增益方法进行特征的筛选,取出最有用特征。本文还利用半敏感哈希算法的降维和保持相似度的特性,提出基于Simhash算法的特征融合方法,将原有的大维度的特征降维到相对较小的维度,并解决了特征的不平衡问题。融合后的特征使用GBDT算法和随机森林算法分类,检测恶意样本。实验对比分析得出本文使用的多种特征融合的方法在可以大大降低分类的训练时间,提高检测效率。     

基于静态污点分析的Android隐私泄露检测方法研究

Android移动设备中存储了大量的敏感信息,如通话记录、联系人等,容易成为恶意攻击者的目标。基于静态污点分析技术,提出了一种面向Android平台的隐私泄露检测方法。通过提取Android敏感权限与API,创建两者之间的映射关系,生成Android应用程序的函数调用图,实现了对于大规模应用程序中潜在隐私数据泄露行为的检测。实验结果表明,本文所提出方法的准确率较高,且运行耗时较短,适合于大规模应用程序的检测。     

基于textCNN模型的Android恶意程序检测

针对当前Android恶意程序检测方法对未知应用程序检测能力不足的问题,提出了一种基于textCNN神经网络模型的Android恶意程序检测方法.该方法使用多种触发机制从不同层面上诱导激发程序潜在的恶意行为;针对不同层面上的函数调用,采用特定的hook技术对程序行为进行采集;针对采集到的行为日志,使用fastText算...     

基于Android网络恶意行为检测系统的应用研究

目前,Android系统是当今网络用户最对的应用系统之一,而随着科学技术的发展,对于Android系统的恶意行为软件也逐渐增多,给当前的应用用户的财产以及私人信息安全带来了很大的威胁,严重的迟缓了当前移动通信网络技术以及相关于应用客户端的推广;为此,根据Android系统的特有机构设计出一种基于Binder信息流的自动检测恶意行为系统,以此来解决对于当前网络安全对于Android系统用户带来的负面影响;根据目前网络中的应用通信信息,检测可能存在的泄露用户信息的应用软件为目标,建立信息矢量图以此来分析当前网络中的恶意行为;通过对软件进行检测,研究可实用性和检测效果,结果显示其识别率可以达到100%,并且软件运行只占有内存的7%,结果可以达到当前的Android用户的使用范围。     

代码向量深度学习的恶意Android应用检测方法

目前针对恶意Android应用的静态检测方法大多基于对病毒哈希值的分析与匹配,无法迅速检测出新型恶意Android应用及其变种,为了降低现有静态检测的漏报率,提高对新型恶意应用的检测速度,提出一种通过深度网络融合模型实现的恶意Android应用检测方法。首先提取反编译得到的Android应用核心代码中的静态特征,随后进行代码向量化处理,最后使用深度学习网络进行分类判别。该方法实现了对恶意应用高准确度的识别,经过与现存方法的对比分析,验证了该方法在恶意代码检测中的优越性。     

基于统计学特征的android恶意应用检测方法

Android系统作为世界上最流行的智能手机系统,其用户正面临着来自恶意应用的诸多威胁。如何有效地检测Android恶意应用是非常严峻的问题。本文提出基于统计学特征的Android恶意应用检测方法。该方法收集5560个恶意应用和3000个良性应用的统计学特征作为训练数据集并采用聚类算法预处理恶意数据集以降低个体差异性对实验结果的影响。另一方面,该方法结合特征和多种机器学习算法（如线性回归、神经网络等）建立了检测模型。实验结果表明,该方法提供的两个模型在时间效率和检测精度上都明显优于对比模型。     

基于贝叶斯网络的Android恶意行为检测方法

Android操作系统是市场占有率最高的移动操作系统,基于Android平台的恶意软件也呈现爆发式的增长,而目前仍然没有有效的手段进行Android恶意行为的检测,通过分析Android恶意行为的特点,采用基于贝叶斯网络的机器学习算法进行Android恶意行为的检测,通过静态分析的方法进行Android文件静态特征的提取,将Android恶意应用的静态分析与贝叶斯网络相结合,最后通过使用提出的方法构建贝叶斯网络模型,通过实验验证了提出的Android恶意行为检测模型的有效性。     

行为特征值序列匹配检测Android恶意应用

针对Android恶意代码的混淆、隐藏、加密情况以及现有方法的检测能力不足问题,提出了一种基于恶意应用行为特征值序列的动态检测方法。首先利用远程注入技术将动态检测的模块注入到Android系统的Zygote进程中,执行内联挂钩来监测应用中的重要函数。然后,通过函数监听得到Android应用的重要行为;进而,按照行为的特征将其量化为特征值,再按照时间顺序将行为特征值排为序列,得到行为特征值序列。通过利用支持向量机来训练5 560个恶意样本,得到恶意应用家族的行为特征值序列;最后利用此序列与被检测应用的序列进行相似度比较,判断应用是否为恶意应用。在恶意应用动态检测方面的正确率可达到95.1%,以及只增加被检测的应用21.9 KB内存。实验结果表明,所提方法能够正常检测经过代码混淆、代码加密、代码隐藏的恶意应用,提高了恶意应用检测的正确率,所占内存空间减少,有效提升检测效果。