Android恶意软件检测方法研究

针对Android恶意软件泛滥的局面,提出了一种基于行为的恶意软件动态检测的方法。首先,综合收集软件运行时的动态信息,包括软件运行时系统的信息和软件的内核调用信息,并将内核调用序列截断成定长短序列的形式。其次,将各方面信息统一为属性、属性值的形式。以信息增益作为指标,选用CA．5算法筛选出信息增益高、作用不重叠的属性,并依据信息增益的大小为各属性正比分配权重因子。最后,用K最近邻算法完成机器学习,识别出与样本类似的恶意软件,并将未知类型的软件标记为疑似恶意。实验结果表明,该方法识别率高、误报率低。通过增大学习样本库,识别的效果可以进一步提高。     

Android恶意软件检测方法研究综述

基于Android系统恶意软件检测的全流程,对比和分析了国内外的研究现状和进展,从样本获取的角度介绍了标准化数据样本的来源及作用,从特征选择的角度阐述了特征选择应遵循的原则;重点从检测方法的角度对比和分析了各种检测方法的优缺点,同时总结和归纳了特征数据集筛选方法以及实验结果评估方法。最后结合实际应用和需求,展望了未来Android恶意软件检测方法的研究和发展方向。     

基于Android系统的恶意软件的分析

针对智能手机的迅速普及和Android系统的安全危机,本文主要对Android恶意软件进行了分析,从Android恶意软件在安装形式、激活方式,以及恶意负载的三个方面总结了恶意软件的特征,最后,提出了对Android平台安全发展的展望。     

一种基于元信息的Android恶意软件检测方法

Android应用普遍具有比所属类型更多的功能,需要获取更多的权限,过多的权限可能带来一定的安全隐患。针对这类问题,提出一种基于元信息的Android恶意软件检测方法。首先,通过对Android应用程序描述进行LDA主题提取,实现数据降维,使用K-means聚类算法按照功能类型对应用程序分组;然后,对属于同一功能类型的所有应用程序提取其权限信息,以权限特征为研究对象,使用KNN算法进行Android恶意软件的分类检测。实验结果获得94.81%的平均准确率,证明了方法的有效性和高准确率。     

基于深度神经网络的Android恶意软件检测方法

Android 系统正日益面临着恶意软件的攻击威胁。针对支持向量机等传统机器学习方法难以有效进行大样本多分类的恶意软件检测,提出一种基于深度神经网络的Android恶意软件检测与家族分类方法。该方法在全面提取应用组件、Intent Filter、权限、数据流等特征基础上,进行有效的特征选择以降低维度,基于深度神经网络进行面向恶意软件的大样本多分类检测。实验结果表明,该方法能够进行有效检测和分类,良性、恶意二分类精度为 97.73%,家族多分类精度可达到 93.54%,比其他机器学习算法有更好的分类效果。     

基于多特征的Android恶意软件检测方法

传统的基于权限的Android恶意软件检测方法检测率较高,但存在较高的误报率,而基于函数调用的检测方法特征提取困难,难以应用到移动平台上。因此,在保留传统权限特征的基础上,提出了以权限和资源文件多特征组合方式的朴素贝叶斯检测方法,该方法所选特征提取简便,且具有较低的误报率,有效弥补传统检测方法的不足。实验从4 396个恶意样本和4 500个正常样本中随机抽取5组恶意样本和5组正常样本集,分别作了基于权限和基于多特征的对比实验。实验结果表明,与基于权限的分类方法相比,基于多特征的分类方法能显著地降低误报率,因此基于多特征的检测方法效果更优。     

基于权限和API特征结合的Android恶意软件检测方法

随着Android操作系统的广泛应用,基于Android平台的应用程序的数量日益增长。如何有效地识别恶意软件,对保护手机的安全性至关重要。提出了基于权限和API特征结合的Android恶意软件检测方法,该方法通过反编译apk文件来提取权限特征和API特征,并将两者相结合作为一个整体的特征集合。在此基础上,采用分类算法进行恶意软件的甄别。实验结果表明,该方法的判别准确率高于权限集合或API集合单独作为特征的判别方法,从而能更加有效地检测Android恶意应用程序。     

基于签名与数据流模式挖掘的Android恶意软件检测系统

随着Android软件开发和维护的不断增多,以及恶意软件的抗检测能力逐渐增强,主流的静态检测方法开始面临一些问题:签名检测虽然检测速度快,但是对代码混淆、重打包类的恶意软件的检测能力不强;基于数据流的检测方法虽然精度高,但检测效率低。针对上述技术存在的缺点,提出了一种混合型静态检测系统。该系统改进了多级签名检测方法,通过对method与class签名进行多级匹配,提高了对代码混淆类恶意软件的检测能力。系统还改进了传统数据流分析技术,通过数据流模式挖掘,找出恶意软件频繁使用的数据流模式,省去了人工确认环节,提高了数据流分析的自动化程度与效率。两种技术的结合使得系统在检测精度与效率两方面达到一个合理的折中点。实验结果表明,该系统对于代码混淆和重打包的恶意软件具有较好的检测能力,对主流恶意软件的检测精确度达到88%。     

基于改进决策树分类的Android恶意软件检测

针对目前Android手机恶意软件越来越多的问题,本文在现有研究的基础上,设计了一个Android恶意软件检测框架。该框架通过提取Android应用程序的特征属性,结合Fisher Score、信息增益和卡方检验三种特征选择方法,对属性特征进行预处理,然后利用恶意检测模块中的改进决策树算法对软件进行分类。通过实验仿真,结果表明使用该检测框架检测恶意软件具有较低的误报率和较高的精确度。     

基于模型库的安卓恶意软件检测方法

单一算法生成的识别器普适性不足,对不同种群安卓软件进行识别产生的效果不稳定.针对这种情况,提出一种基于模型库的安卓恶意软件检测方法.通过Python程序进行爬虫与权限提取工作,得到应用的权限信息;使用SMO按照应用的权限信息分类得到不同种群的数据;将应用的种群信息输入到模型库中,得到恶意检测结果,并根据结果对模型库进行...     

基于权限组合的Android窃取隐私恶意应用检测方法

在分析Android系统总共165个权限的基础上,提炼出30个理论上可以获取Android系统隐私资源的恶意权限组合。提出一种针对应用类别的基于恶意权限组合的恶意值、待测应用恶意权值、恶意阈值的窃取隐私恶意应用检测方法。通过实验验证了该方法的正确性和准确率,并在Android系统中得以实现。     

安卓恶意软件的计算机免疫检测模型

安卓系统因其开放性的特点导致恶意软件泛滥,现有方法多考虑静态或动态单方面特征,判别算法多依赖于学习样本,且准确率有一定的限制。为解决上述问题,提出结合安卓软件的静态权限特征与动态行为特征的计算机免疫恶意软件检测模型。结合静态权限特征与动态行为特征,构建安卓软件的特征体系,经预处理后映射为树突状细胞算法DCA(Dendritic Cell Algorithm)的各类信号,使用无需样本学习的轻量级算法DCA进行恶意软件检测。实验证明该模型可以有效检测恶意软件。     

基于关联特征的贝叶斯Android恶意程序检测技术

Android应用恶意性和它所申请的权限关系密切,针对目前恶意程序检测技术检出率不高,存在误报,缺乏对未知恶意程序检测等不足,为实现对Android平台恶意程序进行有效检测,提出了一种基于关联权限特征的静态检测方法。首先对获取的应用权限特征进行预处理,通过频繁模式挖掘算法构造关联特征集,然后采用冗余关联特征剔除算法对冗余关联特征进行精简,最后通过计算互信息来进行特征筛选,获得最具分类能力的独立特征空间,利用贝叶斯分类算法进行恶意程序的检测。实验结果证明,在贝叶斯分类之前对特征进行处理具有较强的有效性和可靠性,能够使Android恶意程序检出率稳定在92.1%,误报率为8.3%,检测准确率为93.7%。     

基于BHNB的细粒度的Android恶意应用检测模型

为进一步提高Android恶意应用的检测效率,提出一种基于BHNB(Bagging Hierarchical Na?ve Bayesian)的细粒度Android恶意应用检测模型。该模型首先对样本库中的应用进行类别划分,并分别对其进行动态分析,提取各个应用程序的行为信息作为特征;然后,采用层次朴素贝叶斯HNB(Hierarchical Na?ve Bayesian)分类算法对各类应用特征集合进行分别训练,从而构建出多个层次朴素贝叶斯分类器;最后,采用Bagging集成学习方法对构建出的多个层次朴素贝叶斯分类器进行集成学习,构建出基于层次朴素贝叶斯的Bagging集成学习分类器BHNB。实验结果表明,该模型能够有效检测出Android恶意应用,且检测效率较高。     

基于API和Permission的Android恶意软件静态检测方法研究

当前大量的Android恶意软件在后台收集用户的位置信息、通话记录、电话号码及短信等信息并将其上传至指定服务器,造成了难以估量的危害。为解决此问题,提出一种Android恶意软件静态检测方法。对收集到的训练集中的所有APK文件进行静态反编译,提取其中的静态信息;对静态信息中的API和Permission进行统计学分析,得到API和Permission在恶意APK和正常APK中的使用率;根据它们的使用率确定基准API和Permission集合,将每一个APK转换成可参与计算的关于API和Permission的特征向量;利用改进的k-NN分类器,对待检测的APK进行分类判定。实验结果表明,该方法可以有效地对APK进行恶意分类。     

基于抽象API调用序列的Android恶意软件检测方法

随着Android版本的不断更替,以及恶意软件的代码混淆技术的发展,主流的静态检测方法开始面临检测效率逐年下降的问题。针对上述问题,提出一种基于抽象API调用序列的Android恶意软件检测方法。该方法采用API包名、混淆名和自定义名来抽象API调用序列,使得抽象出来的序列不依赖API版本,同时又包含混淆代码特征,具有更好的容错性。在此基础上,计算抽象API调用序列之间的转移概率矩阵作为分类特征,采用RandomForest分类算法进行恶意软件检测。实验结果表明,该方法对API版本依赖性小,且判别准确率高于一般使用API调用序列作为特征的判别方法,从而能更有效地检测未知应用软件的恶意性。     

Android移动应用检测研究

随着Android操作系统在智能设备上的广泛应用,Android应用的安全性检测成为了当前关注的重点。为了从Android应用程序中检测出恶意软件,研究Android应用静态分析技术、动态分析技术及基于机器学习的Android应用检测技术。提出一个通用的恶意软件检测框架。该框架通过逆向工程从Android应用中提取(安全应用、受感染应用)特征信息并建立关键信息特征库。通过机器学习建立检测模型,采用分类检测技术完成检测。通过该检测框架,可在软件安装前执行应用安全评估,其检测正确率高,并具有良好的扩展性,为Android应用的安全性检测提供参考。     

基于动态污点分析的Android隐私泄露检测方法

针对Android应用存在的隐私泄露问题,提出一种基于动态污点分析技术的隐私泄露检测方法。通过插装Android系统框架层API源码标记隐私数据,并修改Android应用程序的执行引擎Dalvik虚拟机,保证准确跟踪污点标记在程序执行期间的传播,当有数据离开手机时检查污点标记判断是不是隐私数据。动态污点分析使得应用程序对隐私数据的使用更具透明性。实验结果表明,该方法能够有效检测出Android应用泄露用户隐私的行为,从而更好地保护用户的隐私信息。     

恶意域名检测研究与应用综述

目前,网络安全问题层出不穷,特别是近年来以域名为依托的攻击,如勒索软件、垃圾邮件、DDos攻击等,成为网络安全威胁的重要表现形式。以域名攻击技术为主要攻击方式的网络威胁,经历了从传统的机器学习的检测方法到主流的深度学习检测方法的转变。发现神经网络能够很好地自学习恶意域名特征,并能提供更高的检测率。但随着检测技术的不断提高,攻击者提出了更智能的DGA域名来规避神经网络的检测,在后续的基于这些DGA变体的检测成为目前域名检测技术的主要研究方向。随着生成对抗网络在域名检测方面的应用,Anderson等提出利用GAN来生成对抗样本提高检测,为域名的检测发展提出新的发展方向。最后,总结域名检测的发展概况及其存在的问题,并对域名检测的可发展点做出展望。