基于多类特征的Android应用恶意行为检测系统_杨欢1

preview
试读
13页
需积分: 0 0 下载量 21 浏览量 更新于2022-08-04 收藏 546KB PDF 举报
基于多类特征的Android应用恶意行为检测系统 摘要:随着移动互联网的普及,Android应用恶意行为的检测变得越来越重要。传统的恶意代码检测方法主要基于单一数据挖掘算法,但这种方法无法充分发挥Android应用的多类行为特征在恶意代码检测上的作用。本文提出了基于多类特征的三层混合系综算法THEA(Triple Hybrid Ensemble Algorithm),用于检测Android未知恶意应用。该算法首先采用动静态结合的方法提取可以反映Android应用恶意行为的组件、函数调用以及系统调用类特征,然后针对上述三类特征设计了三层混合系综算法THEA,该算法通过构建适合三类特征的最优分类器来综合评判Android应用的恶意行为。实验结果表明,THEA能够利用Android应用的多类行为特征有效检测Android未知恶意应用,并且与其他相关工作相比,THEA在检测准确率和执行效率上表现更优。 Android应用恶意行为检测是当前信息安全领域的热点问题。随着移动互联网的普及,Android应用恶意行为的检测变得越来越重要。传统的恶意代码检测方法主要基于单一数据挖掘算法,但这种方法无法充分发挥Android应用的多类行为特征在恶意代码检测上的作用。 Android应用恶意行为检测可以采用数据挖掘算法进行检测,但使用单一数据挖掘算法无法充分发挥Android应用的多类行为特征在恶意代码检测上的作用。为了解决这个问题,本文提出了基于多类特征的三层混合系综算法THEA(Triple Hybrid Ensemble Algorithm),用于检测Android未知恶意应用。 THEA算法首先采用动静态结合的方法提取可以反映Android应用恶意行为的组件、函数调用以及系统调用类特征。然后针对上述三类特征设计了三层混合系综算法THEA,该算法通过构建适合三类特征的最优分类器来综合评判Android应用的恶意行为。 THEA算法的优点在于它能够充分发挥Android应用的多类行为特征在恶意代码检测上的作用,提高检测准确率和执行效率。实验结果表明,THEA能够利用Android应用的多类行为特征有效检测Android未知恶意应用,并且与其他相关工作相比,THEA在检测准确率和执行效率上表现更优。 Android应用恶意行为检测系统是指使用数据挖掘算法和机器学习算法来检测Android应用的恶意行为。常见的恶意行为包括恶意代码、木马、 Trojans、病毒等。 Android应用恶意行为检测系统可以分为静态检测和动态检测两种。静态检测是指在Android应用安装之前对其进行检测,而动态检测是指在Android应用运行过程中对其进行检测。 Android应用恶意行为检测系统的优点在于它能够有效检测Android应用的恶意行为,保护用户的隐私和财产安全。然而, Android应用恶意行为检测系统也存在一些挑战,例如恶意应用的隐蔽性和变异性等。 本文提出了基于多类特征的三层混合系综算法THEA,用于检测Android未知恶意应用。THEA算法能够充分发挥Android应用的多类行为特征在恶意代码检测上的作用,提高检测准确率和执行效率。实验结果表明,THEA能够利用Android应用的多类行为特征有效检测Android未知恶意应用,并且与其他相关工作相比,THEA在检测准确率和执行效率上表现更优。
 
  
  
 
 
  
 
 
 
 
稿
最终修改稿收到日期
本课题得到国家自然科学基金
61272481
中国博士后科学基金资助
项目
北京市自然科学基金
4122089
国家发改委信息安全专项
 
漏洞挖掘和恶意代码检测
中国计算机学会
主要研究领域为网络与
信息系统安全
主要研究领域为
序列密码与分组密码
网络安全协议的设计与分析
主要研究方向为信息安全
漏洞挖掘和漏洞等级评估
基于多类特征的
应用恶意行为检测系统
 
 
 
西安电子科技大学综合业务网理论及关键技术国家重点实验室
 
西
 
中国科学院大学国家计算机网络入侵防范中心
 
 
 
 
目前针对未知的
恶意应用可以采用数据挖掘算法进行检测
但使用单一数据挖掘算法无法充分
应用的多类行为特征在恶意代码检测上所起的不同作
文中首次提出了一种综合考虑
类行为特征的三层混合系综算法
 
 
 
采用动静态结合的方法提取可以反映
应用恶意行为的组件
函数调用以及系统调用类特征
设计了三层混合系综算法
该算法通过构建适合
类特征的最优分类器来综合评判
应用的恶意行为
应用恶意行为检测工具
个非恶意应用进行检测
应用的多类行为特
并且与其它相关工作对比
在检测准确率和执行效率上表现更优
 
   
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
亿
使
亿
的快速发展使其成为了一
拥有整个市场约三
 
程序开发者可以上传自己的应用程
 
 
线
可以让用户浏览
 
 
意程序在被检测出来之前已经被用
使
 
恶意应用的检测报告显示
各大厂商没有公开杀毒软件的技术细节
由于恶意代码的数量和种类越来
使
典型的恶意代码检测技术包括基于签名
传统的基于签名的检测技术被普
使
必须拥有一类恶意应用的签名库后
因此无法有效检测未知的
基于行为的恶意代码检测目前主要采用动态和
动态方法是在系统运行过程中收集
优点是绕过了静态方法
并且有些恶意程序可以防止自
当在模拟器下运行时会自动崩
要研究使用反汇编反编译技术或者
来进行恶意代码检测
解决静态法无法检测的代码混淆
动态执行中才解码恶意代码的问题
由于数据挖掘技术可以从大量数据中挖掘出有
有些研究者利用该技
术挖掘出恶意
以此来检测未知恶意应用
据挖掘算针对同一类特征的检测效果不同
检测效果不一定都是最优
使
一的算法不能充分发挥每类特征在
检测时所起的不同作用
首次提出一种基
于三层混合系综算法的多类特征
该系统采用动静态结合的行为特征提取方法
并对大量现实中的应用
本文创建恶意应用库和非恶意应用库
意应用库的创建参考
中所使用的部分恶意
非恶意应用库的创建是通过修
 
使
杀毒软件和人工进行检
确保数据库的准确性
静态分析主要对
件进行自动化分析
使
代码的应用程序中的
提取应用程序的函数调用序列
态分析主要采用沙盒技术
拟用户行为和提取系统调用序列等
  
  
 
 
  
 
 
 
 
 
 
 
 
_
 
 
 
一是静态获取的
使
二是静态获取的应
文件所使用的重要函数调用的统计数
取的各个系统调用使用次数的统计
使用三层混合系综算法建立检测模型
使
种不同类型特征进行
给出适合不同类型特征的最优算法
系综算法与最优分类算法结合再次进行训练建立模
第三层对待检测的应用
程序使用建立的模型进行分类并使用判决算法给出
方法在有效性
准确性和
恶意应用检测系统
采用动静态结合的行为特征提取方法
态方法弥补了静态方法不能检测运行中释放的恶意
绕过了静态方法遇到的代码加密和
静态方法为动态方法提供了运行参数
可以加入更多类型特征进行检测
 
 
 
分别选取最优的基础分类算法从而给出综合判决结
节阐述系统的关键技术和算法
节讨论本文提出系
 
广
的官方市场和第三方市场上都出现了含有恶意代码
使得智能手机应用程序的恶意代码检
手机平台恶意代码
检测研究更多地集中在
平台恶
意代码检测技术主要有
基于签名和基于行为的检测方法
首先出现的是基于签名的方法
了基于特码的恶意代码检测方法
恶意
码检测工
也是
于签
它的主要缺点是无法检测未知恶意应用
由于基于签名的方法无法检测未知恶意
究者开始研究基于行为的恶意代码检测方
使用动态方法监视手机应用程序的网络
使
访
和内存等方面的信息
使
消息层和文件层的信息
用于检测隐私泄露方面的漏洞
也有研究者将数据挖掘技术应用到手
使
进行基
于分类算法的恶意代码检
由于研究时间比较早
使
法提取系统调用特征
于同一应程序改写的恶意代码和非恶意代码
该方法只限于检测同一应用程序的不同变种是否包
使
征并使用分类算法对
自己编写的
但没有使用现实中的
大量应用程序进行验证
上述工作从基于签名的检测方法过渡到基于行
从检测已知恶意应用过渡到检测未
基于数据挖掘算法的研究中大部分
是基于处理单一类型特征的数据挖掘算法
中需要考恶意应用的多类行为特征
有一种数据挖掘算法可以充分发挥不同类型特征在
基于多类特征的
应用恶意行为检测系统

剩余12页未读,继续阅读

身份认证 购VIP最低享 7 折!
30元优惠券
资源推荐
资源评论
赶路的稻草人
  • 粉丝: 33
  • 资源: 330
上传资源 快速赚钱
voice
center-task 前往需求广场,查看用户热搜

最新资源