一种基于权限特征的Android恶意应用检测方法

针对Android手机应用程序存在的安全问题,对恶意应用的检测方法进行了深入研究,提出一种基于权限特征的Android恶意应用检测方法。方法中设计了一种挖掘权限频繁项集的算法——Droid FP-Growth。在构建权限关系特征库时,利用该算法挖掘样本集的权限频繁项集,获得检测规则。该算法仅需扫描两次样本集便可获得权限频繁项集,有效地提高了构建权限关系特征库的效率,同时也提高了检测的准确率。最终实验结果表明,方法对恶意应用的检测率达到81.2%,准确率达到83.6%,对比同类方法也一定优势。     

Android平台恶意应用程序静态检测方法

本文构建的静态检测系统主要用于检测Android平台未知恶意应用程序.首先,对待检测应用程序进行预处理,从Android Manifest.xml文件中提取权限申请信息作为一类特征属性;如待检测应用程序存在动态共享库,则提取从第三方调用的函数名作为另一类特征属性.对选取的两类特征属性分别选择最优分类算法,最后根据上述的两个最优分类算法对待检测应用程序的分类结果判定待检测应用程序是否为恶意应用程序.实验结果表明:该静态检测系统能够有效地检测出Android未知恶意应用程序,准确率达到95.4%,具有良好的应用前景.     

基于多特征融合的安卓恶意应用程序检测方法

安卓恶意应用程序的检测目前存在着检测速度慢、检测率低等问题,本文针对这些问题提出了一种基于多特征融合的安卓恶意应用程序检测方法。从Android恶意应用的恶意行为特点出发,运用静态分析和动态分析互相结合的方法,提取出权限和组件、函数API调用序列、系统命令、网络请求等多维度特征,对维度较大的特征种类使用信息增益方法进行特征的筛选,取出最有用特征。本文还利用半敏感哈希算法的降维和保持相似度的特性,提出基于Simhash算法的特征融合方法,将原有的大维度的特征降维到相对较小的维度,并解决了特征的不平衡问题。融合后的特征使用GBDT算法和随机森林算法分类,检测恶意样本。实验对比分析得出本文使用的多种特征融合的方法在可以大大降低分类的训练时间,提高检测效率。     

多维敏感特征的Android恶意应用检测

应用程序的行为语义在Android恶意应用检测中起着关键作用。为了区分应用的行为语义,文中提出适合用于Android恶意应用检测的特征和方法。首先定义广义敏感API,强调要考虑广义敏感API的触发点是否与UI事件相关,并且要结合应用实际使用的权限。该方法将广义敏感API及其触发点抽象为语义特征,将应用实际使用的权限作为语法特征,再利用机器学习分类方法自动检测应用是否具有恶意性。在13226个样本上进行了对比实验,实验结果表明,该方法的分析速度快且开销小,选取的特征集使Android恶意应用检测得到很好的结果;经机器学习分类技术的比较,我们选择随机森林作为检测方案中的分类技术,所提特征策略的分类准确率达到96.5％,AUC达到0.99,恶意应用的分类精度达到98.8%。     

基于权限和API特征结合的Android恶意软件检测方法

随着Android操作系统的广泛应用,基于Android平台的应用程序的数量日益增长。如何有效地识别恶意软件,对保护手机的安全性至关重要。提出了基于权限和API特征结合的Android恶意软件检测方法,该方法通过反编译apk文件来提取权限特征和API特征,并将两者相结合作为一个整体的特征集合。在此基础上,采用分类算法进行恶意软件的甄别。实验结果表明,该方法的判别准确率高于权限集合或API集合单独作为特征的判别方法,从而能更加有效地检测Android恶意应用程序。     

改进随机森林在Android恶意软件检测中的应用

为解决Android恶意软件检测问题,提出一种利用多特征基于改进随机森林算法的Android恶意软件静态检测模型。模型采用了基于行为的静态检测技术,选取Android应用的权限、四大组件、API调用以及程序的关键信息如动态代码、反射代码、本机代码、密码代码和应用程序数据库等属性特征,对特征属性进行优化选择,并生成对应的特征向量集合。最后对随机森林算法进行改进,并将其应用到本模型的Android应用检测中。实验选取了6?000个正常样本和6?000个恶意样本进行分类检测,结果表明该方法具有较好的检测效果。     

基于BPSO-NB算法的Android恶意应用检测方法

为了提高Android恶意应用检测效率,将二值粒子群算法(BPSO,Binary Particle Swarm Optimization)用于原始特征全集的优化选择,并结合朴素贝叶斯(NB,Nave Bayesian)分类算法,提出一种基于BPSO-NB的Android恶意应用检测方法。该方法首先对未知应用进行静态分析,提取AndroidManifest.xml文件中的权限信息作为特征。然后,采用BPSO算法优化选择分类特征,并使用NB算法的分类精度作为评价函数。最后采用NB分类算法构建Android恶意应用分类器。实验结果表明,通过二值粒子群优化选择分类特征可以有效提高分类精度,缩短检测时间。      

DApriori：一种基于Apriori的Android恶意应用检测方法

目前很少有研究者使用有关联的静态与动态相结合的方式检测Android恶意应用,多数静态分析方法考虑具体代码运行流程,计算复杂度较高,而单纯的动态检测方法占用Android系统资源,大大降低手机的运行速度。本文提出DApriori算法,能够有效的检测出Android恶意应用。DApriori算法分别计算恶意应用样本与良性应用样本权限关联规则,对比两种样本得到的用户权限之间的差异性,并使用恶意样本得到的关联规则对一定的混合样本进行检测,实验结果表明,该算法能够有效地检测出Android恶意应用,并将关联规则应用于Android恶意应用动态检测中。     

基于集成学习投票算法的Android恶意应用检测

针对Android平台恶意应用的检测技术,提出一种基于集成学习投票算法的Android恶意程序检测方法MASV（Soft-Voting Algorithm）,以有效地对未知应用程序进行分类。从已知开源的数据集中获取了实验的基础数据,使用的应用程序集包含213 256个良性应用程序以及18 363个恶意应用程序。使用SVM-RFE特征选择算法对特征进行降维。使用多个分类器的集合,即SVM（Support Vector Machine）、[K]-NN[（K]-Nearest Neighbor）、NB（Na?ve Bayes）、CART（Classification and Regression Tree）和RF（Random Forest）,以检测恶意应用程序和良性应用程序。使用梯度上升算法确定集成学习软投票的基分类器权重参数。实验结果表明,该方法在恶意应用程序检测中达到了99.27%的准确率。     

基于多特征的Android恶意软件检测方法

传统的基于权限的Android恶意软件检测方法检测率较高,但存在较高的误报率,而基于函数调用的检测方法特征提取困难,难以应用到移动平台上。因此,在保留传统权限特征的基础上,提出了以权限和资源文件多特征组合方式的朴素贝叶斯检测方法,该方法所选特征提取简便,且具有较低的误报率,有效弥补传统检测方法的不足。实验从4 396个恶意样本和4 500个正常样本中随机抽取5组恶意样本和5组正常样本集,分别作了基于权限和基于多特征的对比实验。实验结果表明,与基于权限的分类方法相比,基于多特征的分类方法能显著地降低误报率,因此基于多特征的检测方法效果更优。     

面向Android恶意应用静态检测的特征频数差异增强算法

随着Android应用程序数量的快速增长，面向Android应用程序的安全性检测已成为网络安全领域的热点研究问题之一。针对恶意应用静态检测的特征选择，给出了良性特征、恶意特征、良性典型特征、恶意典型特征、非典型特征等概念，设计提出了特征频数差异增强算法FDE。FDE算法通过计算特征出现在良性与恶意应用中的频数，去除静态特征中的非典型特征。为合理验证算法的目标效果和性能优劣，分别设计了基于平衡数据与非平衡数据的实验，对于非平衡数据，引入了权重损失函数。实验结果表明，FDE算法可有效去除静态特征中的非典型特征，筛选出有效特征，权重损失函数可有效提高非平衡数据中的恶意数据识别率。     

基于Bagging-SVM的Android恶意软件检测模型

针对Android恶意软件检测中数据不平衡导致检出率低的问题,提出一种基于Bagging-SVM（支持向量机）集成算法的Android恶意软件检测模型。首先,提取AndroidManifest.xml文件中的权限信息、意图信息和组件信息作为特征;然后,提出IG-ReliefF混合筛选算法用于数据集降维,采用bootstrap抽样构造多个平衡数据集;最后,采用平衡数据集训练基于Bagging算法的SVM集成分类器,通过该分类器完成Android恶意软件检测。在分类检测实验中,当良性样本和恶意样本数量平衡时,Bagging-SVM和随机森林算法检出率均高达99.4%;当良性样本和恶意样本的数量比为4：1时,相比随机森林和AdaBoost算法,Bagging-SVM算法在检测精度不降低的条件下,检出率提高了6.6%。实验结果表明所提模型在数据不平衡时仍具有较高的检出率和分类精度,可检测出绝大多数恶意软件。     

基于孪生神经网络的恶意流量检测方法

随着科技的发展,个人电脑和手机成为现代社会中所不可缺少的智能设备。个人电脑和手机中丰富的应用程序通过互联网给用户提供诸如实时聊天、邮件、下载等便捷的网络服务。但是,这些设备的普及也吸引了大量的恶意攻击者,恶意应用程序和恶意流量随之产生。针对这一问题,在恶意流量分类检测的基础上,基于孪生神经网络提出一种端到端的单样本检测方法。对样本数据进行预处理转化为灰度图像,在TensorFlow深度学习框架下对图像样本进行训练学习,通过对比灰度图像间的相似程度实现了恶意流量的检测。提出的方法不仅能够实现端到端的单样本检测,而且在样本不均衡的分类问题上也给出了一种解决方案。最终的实验检测准确率可达95.04%,证明了该方法的可行性和科学性。     

一种基于特征编码技术的恶意代码检测方法

在对恶意代码进行检测和分类时,由于传统的灰度编码方法将特征转换为图像的过程中,会产生特征分裂和精度损失等问题,严重影响了恶意代码的检测性能。同时,传统的恶意代码检测和分类的数据集中只使用了单一的恶意样本,并没有考虑到良性样本。因此,文中采用了一个包含良性样本和恶意样本的数据集,同时提出了一种双字节特征编码方法。首先将待检测的PE文件特征编码为二进制数,从单个特征中取前两个字节,然后将所有字节转换为图像,最后通过卷积神经网络提取特征并在测试集上进行验证。实验表明,通过将待检测的PE文件的特征进行双字节编码处理,相对于同等条件下的灰度编码方法,其准确率从81.4%提升到92.82%。实验结果证明双字节特征编码方法能够有效地应用于恶意代码检测中。     

基于统计学特征的android恶意应用检测方法

Android系统作为世界上最流行的智能手机系统,其用户正面临着来自恶意应用的诸多威胁。如何有效地检测Android恶意应用是非常严峻的问题。本文提出基于统计学特征的Android恶意应用检测方法。该方法收集5560个恶意应用和3000个良性应用的统计学特征作为训练数据集并采用聚类算法预处理恶意数据集以降低个体差异性对实验结果的影响。另一方面,该方法结合特征和多种机器学习算法（如线性回归、神经网络等）建立了检测模型。实验结果表明,该方法提供的两个模型在时间效率和检测精度上都明显优于对比模型。     

“Andromaly”: a behavioral malware detection framework for android devices

This article presents Andromaly—a framework for detecting malware on Android mobile devices. The proposed framework realizes a Host-based Malware Detection System that continuously monitors various features and events obtained from the mobile device and then applies Machine Learning anomaly detectors to classify the collected data as normal (benign) or abnormal (malicious). Since no malicious applications are yet available for Android, we developed four malicious applications, and evaluated Andromaly’s ability to detect new malware based on samples of known malware. We evaluated several combinations of anomaly detection algorithms, feature selection method and the number of top features in order to find the combination that yields the best performance in detecting new malware on Android. Empirical results suggest that the proposed framework is effective in detecting malware on mobile devices in general and on Android in particular.     

基于图像纹理和卷积神经网络的恶意文件检测方法

在大数据环境下,针对传统恶意文件检测方法对经过代码变种和混淆后的恶意文件检测准确率低以及对跨平台恶意文件检测通用性弱等问题,提出一种基于图像纹理和卷积神经网络的恶意文件检测方法。首先,使用灰度图像生成算法将Android和Windows平台下可执行文件,即.dex和.exe文件,转换成相应的灰度图像;然后,通过卷积神经网络（CNN）算法自动提取这些灰度图像的纹理特征并加以学习训练,从而构建出一个恶意文件检测模型;最后,使用大量未知待检测的文件去验证模型检测准确率的高低。通过对大量的恶意样本进行实验,在Android和Windows平台下,模型检测最高准确率分别达到79.6%和97.6%,平均准确率分别约为79.3%和96.8%;与基于纹理指纹的恶意代码变种检测方法相比,基于图像纹理和卷积神经网络的恶意文件检测方法准确率提高了约20%。实验结果表明,所提方法能够有效避免人工筛选特征带来的问题,大幅提高检测的准确率和效率,成功解决跨平台检测问题,实现了一种端到端的恶意文件检测模型。     

基于动态行为和机器学习的恶意代码检测方法

目前恶意代码出现频繁且抗识别性加强,现有基于签名的恶意代码检测方法无法识别未知与隐藏的恶意代码。提出一种结合动态行为和机器学习的恶意代码检测方法。搭建自动化分析Cuckoo沙箱记录恶意代码的行为信息和网络流量,结合Cuckoo沙箱与改进DynamoRIO系统作为虚拟环境,提取并融合恶意代码样本API调用序列及网络行为特征。在此基础上,基于双向门循环单元（BGRU）建立恶意代码检测模型,并在含有12 170个恶意代码样本和5 983个良性应用程序样本的数据集上对模型效果进行验证。实验结果表明,该方法能全面获得恶意代码的行为信息,其所用BGRU模型的检测效果较LSTM、BLSTM等模型更好,精确率和F1值分别达到97.84%和98.07%,训练速度为BLSTM模型的1.26倍。     

基于切片的深度学习SDN恶意应用程序的检测方法

SDN是一种新型网络架构,其核心技术是通过将网络设备控制面与数据面分离。然而目前针对SDN网络架构的恶意应用程序研究还较少。针对这一问题,在总结分析现有恶意应用检测方法的基础上,采用代码切片技术并基于深度学习框架提出一种面向SDN恶意应用程序的检测方法。它旨在对样本进行模块化分割并提取特征后,将特征向量以矩阵形式重组。在TensorFlow深度学习环境Keras下对SDN恶意样本进行学习和检测,实验数据表明,该方法对恶意应用程序检测率可以达到93.75%,证明了方案的可行性和科学性。