论文研究-基于图模式与内存足迹的Android恶意应用与行为检测.pdf

所需积分/C币:5 2019-07-22 23:38:07 1.07MB .PDF
收藏 收藏
举报

现有的各个Android应用商店大多检查已知的静态恶意应用,难以检测新颖、动态加载的恶意应用与行为,对此提出一种基于图结构与内存足迹分析的恶意应用检测系统。首先,采集应用的内存信息,分析应用的足迹与序列号,检测动态打包的恶意代码与新颖的恶意应用;然后,提取应用所请求的共生权限,将权限建模为图结构,并使用图的度量指标分析图的分类模式与中心权限,根据中心权限值选择可表示各类的最优图指标;最终,计算应用的隐私分数与风险阈值,基于该阈值检测各种恶意软件或恶意行为。仿真实验结果表明,本算法对不同类型的恶意应用均具有较好的效果,对于未知的恶意应用也具有较好的检测率。
3764· 计算机应用研究 第34卷 〔)根据出现均值过滤些权限对。为了防止模式建立步为sim 骤中含有的异常应用与无意义的权限,忽略平均出现次数低于 将应用A请求的权限集合设为Apm,将属于类C中模式 1的权限对。最终,根据边的权重过滤最终的模式图,仅保持的杖限集设为N。第一个特征是一个给定的应用与一个模式 与类相关性最高的权限。 之间行在大量的共同权限,将该特征定义为 Perm Count,其相似 d)恨据权重过滤一些权限对。如果一个类中权限对的频性指数定义为 率低于平均值,则Z- score为负值;如果计算的频率值略高于均 simrermCount (a, pattern c )-lApegms I (10) 值,则Z- core等于1;如果权限对的颞率明显地高于均值,则 计算一个应用与一个模式之间相同权限的图指标,作为其 κ- score大于1。过滤分类的图,仅保留权值髙于l的边,并过濃他的特征。定义指标m的相似性特征,根据应用的权限列表 掉未连接的节点。将最终一个类获得的图作为一个参考模式。与类C中模式的归一化相似性计算而来,计算公式为 将类C的模式定义为 Gc(Nc·Ec) (A pattern)-IFApermsnN m(p) ∑m(p e)计算图的分析指标。对于Nc中的每个节点,计算以下其中:m∈ 的图分析指标:节点的度(D)、加权的度(WD)、中介中心(B)、 亲近中心(CC)、 Page Rank分数(FR)、中心型分数(Hb)与权 为每个应用的每个类与每个图指标之间建立一个相似性 威性分数(Auth)。假设一个权限对于某个类的重要性为已 特征,图3所示是·个指标的特征集实例。应用“游戏” 知,上述的指标可提高重要性度量的效果。以下描述了各个图(PID=244类需娑三个权限:P1、P2、P3,将这个权限列表与每 个类模式的权限进行比较,图中显示∫游戏、社交、购物三个类 分析指标的意义与计算方法 (a)节点的度。与该节点相关联的边的条数。 的模式。游戏模式包含三个权限:P1、P3、P6,其中杖限P1、P3 与应用(Pm=244)的权限相同,社交类模式仅包含一个共同 (3)的枝限P1,其相似性等于3/10,购物类的相似性分数为2/10 其中:,是二进制邻接矩阵A的第i行√列的元素 游戏APP (b)节点加权度。本文中强度表示为z-eore,加权度可以 PID=244 游戏APP 社交APP 物APP 显示节点是否为高分或者低分相关的节点对。 P8:5 WD(i) PID 244 游戏 0.9 0.3 0.2 其中:;是节点t与j之间的权重。 c)中介中心。最知路径上节点的中介中心性分数较高 图3应用权限的征计算实例 persis, perm B(t)=∑ (5)2.4隐私分数与风险指数 8≠1+tpem,pem 其中:σ()是s与i之间最短路径的数量,σ,是s与t之问最 使用识别最优的模式建立一个隐私分数。隐私分数基于 短路径的数量。 以下三个假设:a)应用与模式越相似.隐私分数越高;b)如果 (d)亲近中心。该点与图中所有其他点的最短距离之和 应用请求模式的中心权限,其分数应当较髙;c)如果应用请求 的权限不存在模式中,其分数成当较低。 C(i) (6 ∑ 使用请求权限的数量对应用与类的相似性进行加权处理, 因为上述步骤获得了两个代表性的模式指标,所以将一个应用 其中:d(j,)是节点t与j之间的距离。 与模式之间的相似性定义为结合两个指标相似性的最终相似 (e) PageRank,传播影响力。 性LN,计算方法为 PR(i) I-O attern )(12) 其中:L()=∑an,是一个预定义的残留概率,一般设为0.85。其中:(m1,m2)∈M与c∈[0,1是一个调节参数,用于平衡 (f)中心型与权威性 各指标的重要性。式中m1表示图的间接中心,m2表示加权 Hub(z)←∑Auth() 的度。 8) 隐私分数定义为下式 上式的初始化条件为:i,Auth(i)=Hu(i)=1。 privacy(A, C)=LA, C)-LN 16 (13) 将图的指标集合定义为 其中B∈R是风险阈值的调节参数,N。是最小的相似性 M=D, WD, B, C, PR, Hub, Auth, 个理想的应用应当完全地服从对应的模式,如果一个应 将权限P∈Nc的各个指标m∈M计算公式抽象为m(P)用仅请求n个权限,则选择模式中最高的n个权限。真实的应 函数,建立分类模式之后,获得每个类的权限列表,其中每个校用使用的权限较为广泛,不可能与模式的权限完全吻合,所以 限均有七个图分析指标。 将与模式相似度较高的应用作为该模式的应用 2.3特征提取 图4所示是不同β值对应的风险阈值,横坐标表小一个应 本文的每个类有一个对应的模式,为了将各模式相关的数用的权限数量14m,纵坐标表示模式相似性分数N(4,C); 据分类,需要建立不同的特征方法。通过将目标应用所需的权红色实线表示不同β阙值的曲线,红色虚线代表最小相似性为 限列表与各类的模式进行比较,建立应用的相似性特征,表示LN。的风险阙们黑线代表一个理想的相似性分数,黑色圈是 12期 郑忠伟,等:基于图模式与内存足迹的 Android恶意应用与行为检测 3765 数据集中的应用,红色圈是(β>1,LN=0)条件的应用,请参意行为的分析效果较好。本文方案则是·个多层的恶意软件 见电了版。 检测系统,首先通过足迹分析与序列号分析检测出零时差的恶 当β=0,隐私分数等于相似性分数,风险阀值会固定为给意攻击;然后测试了伪造文件的系统命令,检测应用是否隐藏 定的相似性;当β=1,则定义了一个线性分离,通过应用杖限了sMs的通知,检测短信诈骗用的规则;最终基于图的模式 计算的平均相似性分数决定风险阈值;当β>1,风险阈值如图技术分析了应用的共生权限深入、有效地分析应用的行为,同 4所小,该阈值使相似性低的应川设置高风险值,即应川的权时也保持了较低的计算成本。 限越多,相似性阈值则越高。 表1四种恶意软件检测方案对1260个恶意应用样本的检测结果 恶意代码族 本数量 Andro Guard Google APriori本文方案 ADRD 19 埋想值、 Bean bot 000°9 Cuinpirale ●● 7111 =0 DroidDeluxe 010 9 bo。°.9 ●●●● oid KungFu 权限数量 FakcNctFlix 图4不同β值对应的风险阈值 Gamblers 000 ll7 1111 3检测模块 Jifake 161 检测模块基于其行为模式决定目标应用是否是恶意应用。 Kyi 0020 2 检测模块包含以下几个部分:a)序列号的检查规则,将应用的 Nick aBul 序列号与恶意软件家族进行比较,判断应用是否为恶意软件; b)测试伪造文件的系统命令,检查应用使用的系统命令中是 800 否包含∫伪造的文件;c)检测应用是否隐藏∫SⅥS的通知,这 Walkinwat 种恶意应用的日标是捕获用户订阅的服务信息;d)检测短信 诈骗应用的规则,这种恶意应用捕获正常的短信并修改为诈驯 Z 短信;e)检查应用请求的杖限分析,使用第2章“基于图模式 187 的恶意应用与行为决策”进行权限分析,检测出恶意的应用 Rasebrilye Boser 4实验与结果分析 Droid Drcam 4.1实验环境 Droid Kungfu 001020000063800 12 8 DroidKunglu3 309 0068.0 不文的恶意软件检测系统包含客户端组件与服务器组件。 DrilKuInyFuS甲 3 客户端组件安装在智能手机上,操作系统为 Android4.4.2;服 0 务器为XenX5660处理器,8G内,操作系统为 Bunt Takeplayer 12.04。使用 Python3.2脚本实蚬服务器端的程序,服务器端 Gingcrmasto 的 Android SDK为 Android4.1.2 sdk apll16级。 Go 0 本文采用的恶意应用样本库来自于美国北卡州立大学 Hippos jsMSHider Zhu等人2提供的ADRD、 Anserverbot等49个恶意应川家 族,共1260个恶意应用样木 Nicky spy Plankton 11 4.2实验结果与分析 RogueSPpush 4949120300 9 将本算法与 Droidranger1、 googles、 APriori13进 行比较,全面地评估本系统的性能。表1所示是四种恶意软件 YZHO 检测方案对1260个恶意应用样本的检测结果,其中 gdl△VS的检测率最低,仅为15.32%;Ando(uard的检测率 总计126083 1003 1212 明显地优于 GoogleS,为68.49%; APrior的检测率则获得4.3对零时差恶意软件的检测效果 较大提升,为79.60%;算法的检测率最优,为96.19%。 将zero-day恶意软件定义为尚未被安全软件检测出、行为 PRiori对权限之间的关系进行」联合分析,基于杈限频繁模可疑的应用。本文选择KSA1携供的10个 zero-day恶意应 式挖掘算法的 android恶意应用检测方法设计了能够挖掘权用进行实验,并使用几大茗名的安全上具( McAfee、 Avast 限之间关联性的杖限频繁模式挖掘算法。该算法对49个恶意交全卫士)进行实验,这三个安全软件无法检测出KⅠSA的 应用家族进行杖限频繁模式发现,得到极大频繁杖限项集,从个zero-day恶意应用,而本文方案可成功地检测出10个恶意 而构造出权限关系特征库来检测未知的恶意应用,该算法对恶应用,检测率为100% 3766· 计算机应用研究 第34卷 4.4本检测系统的效率 [3] Tang Heran, Tlan Weili, I i Yingjin. Permission hased Android securi 为了评佔本系统的检测效率,选择10个正常应用样本与 ty: issues and countermeasures[ J. Computers Security, 2014, 43 10个恶意应用样本,正常应用的大小为40~50MB,恶意应用 6):205-218 [4』朱佳信,喻梁文,关志,等. Android权限机制安全硏究综述[J].计 的大小为6~20MB。使用 Ubuntu的wmst命令貪看系统的 算机应用研究,2015,32(10):2881-2885 CPI与内存消耗,使用 istat命令忄看系统的网络带宽消耗。 5』雷灵光,荊继武,三跃武,等,一种基于行为的Δ droid系统资源 将CPU利用率定义为一个应用的运行时间除以总的CPU时 访问控制方案LJ.计算机研究与发展,2014,51(5):1028-1038. 间,内存利用率定义为一个应用使用的内存除以总的内存量,[6张叶慧,彭新光,蔡志标,基于类别以及权限的 Android恶意程序 网络利用率定义为当前的网络流量除以网络的最大流量。表 检测[J.计算机工程与没计,2014,35(5):1568-1571 2所示是本系统CPU内存与N络利用率的平均值,可看出对[7] Moonsamy V, ong jia,lin$hanw. Mining permission patterns tor 于恶意应用,本系统消耗的CPU和内存资源分別为12.03%和 contrasting clean and malicious android applications [J]. Future 14.31%。为∫仝面地检测出不同的恶意软件与行为,不文牺 Generation Computer Systems, 2014, 36(3): 122-132 牲了一定的计算效率,但本系统的运行成本属于合理的范围。 L8』胡文君,赵双,陶敬,等,一神针对 Android平台恶意代码的检测 方法及系统实现J」.西安交逦大学学报,2013,47(10):37-43. 表2本系统CPU、内存与网络利用率的平均值 9]李挺,董航,袁春阳,等.基于 Dalvik指令的 Android恶意代码特征 資源类 正常应用/% 恶意应用% 描述及验证[冂],计算机研究与发展,2014,51(7):1458-1466 内仔 l4.31 [10]奘如霞,房弟益,汤战勇,等.一种代码猝片化的 Android应用程 网络带宽 0.003 序防二次打包方法[冂].小型微型计算机系统,2016,37(9):1969 5结束语 l1】」张希远,张刚,沆立炜,等.多维度的安卓应用相似度分所L打」.计 算机科学,2016,43(3): 本文系统包含了序列号的检查规则,将应用的序列号与想[121 Zhou y ajin, Jiang Xuxiar, Dissecting Android malware: characteriza- 意软件家族进行比较,判断应用是否为恶意软件;测试伪造文 tion and evolution[ C// Proc of IEEE Symposium on Security & Pri 件的系统命令;检测应用是否隐藏」SMS的通知;检测短信诈 vacy. Washington DC: IFEI, Computer Society, 2012: 95-109 骗应用的规则;检↑应用请求的权限分析,使用基于图模式的[13] Zhou Yajin, Wang Zhi, Zhou wu,etat.lHey,yu, gel off of lly imir- 恶意应用与行为决策进行权限分析,检测出恶意的应用。本文 ket: detecting malicious apps in official and alternative Android mar 系统通过对内存的分析可检测出动态加载的恶意代码,基于权 ketsLC //Proc of Annual Network Distributed System Security 限图模式的机制分析了共生的杈限,提高了对恶意行为的检测 准确率。耒来将重点研究通过机器学习技术,白动地学习新恶「14] Tchakounte F. Permission-based are detection mechanisms on nalysis and perspectives[J. Journal of Computer 意软件的特征,从而提高对新恶意软件的静态检测能力。 Science Software Application, 2014, 1(2): 63-77 参考文献 [15]杨欢,张清,胡予濮,等.基于权限频繁模式挖掘算法的 androi Ⅰ]张玉清,王凯,杨欢,等. Android安全综述[冂].汁算札研究与发 恶熹应用检测方法J」.暹信学报,2013,34(51):106-115 展,2014,51(7):1385-1396 L Jang J W, Kang H, Woo J, et aL. Andro-Dumpsys: anti-malware system 12」许艳萍,马兆丰,王中华,等.Δ droid智能终安全綜述LJ.逦信 based on the similarity of malware creator and malware centric infor 子报,2016,37(6):169-184 mation[J]. Computers& Security, 2016, 58: 125-138 (上接第3757页) [18] Ii Ilongwei, Liu Dongxiao, Dai Yuanshun, et al. Personalized search [ 11] Sun Wenhai, Yu Shucheng, Lou Wenjing, et al. Prolecling your right over encrypted dala with efficienl ind secure updates in mobile clouds verifiable attribute-based keyword search with fine-grained owner-en- [JJ. IEEE Trans on Emerging Topics in Computing, 2015, 99 forced search authorization in the cloud J. IEEE Trans on Parallel (2):159-170 and Distributed Systems, 2016, 27(4): 1187-1198 [19] Ducas L. Anomynily Iroll asy umelry new constructions for anun 12」杨旸,林柏钢,马懋德,具冇细粒度访问控制的隐瘢关健词可搜索 HIBEL C/Proc of International Conference on Topics in Cryptol 加密方案[J].通信学报,2013,34(51):%2-100 Berlin: Springer, 2010: 148-164 [13]陈冬冬,曹珍富,董晓蕾.在线/离线密文策略鬲忪基可搜索加密「20] Boneh d, Franklin m. dentil!- lused entry lion fror山 e Weil pairing LJ.计算机研究与发展,2016,53(10):2365-2375 LJ. SIAM Journal on Computing 2001, 32(3): 213-229 「I14]杨宁,金逸,刘丹,等.云环境下可搜索加密技术安全机制及应用[21]解理,任铯丽.隐藏访问结构的高效基于属性加密方案[J].西安 陷阱LJ.计算机应用研究,2015,32(8):254-2260 电子科技大学学报:自然科学版,2015,42(3):97-102 15]林鹏,江颃,陈铁明.云环境下关键词搜索加寳笄法硏究[J.通信「22 RayS, Dutta r. Recipient anonymous ciphertext- policy attribute 学报,2015,36(S1):259 based encryption[(//Proc of International (onference on Informa- L 16] Qiu Shuo, Liu Jiyang, Shi Yanfeng, et al. Hidden policy ciphertext Lion Syslems Securily. Berlin: Springer, 2013: 329-344 policy attribute-based encryption with keyword search against keyword [23 Bozovic V, Socek D, Steinwandt R, et al. Multi-authority attribute-based guessing attack[J. Science China Information Sciences, 2017, 60 encryption with honest-but-curious central authority J. International uter Mathematics, 2012, 89(3): 268 17 Li Jian, Ma Ruhui, Guan Haibing. TEES: an efficient search scheme [24 Caro A D, Iovino V. jPBC: Java pairing based cryptography[C]//Proc yer encrypted data on mobile cloud J]. IEEE Trans on Cloud of IFFE Symposium on Computers and Communications. 2011: 850) Computing,2017(5):126-139 855

...展开详情
试读 5P 论文研究-基于图模式与内存足迹的Android恶意应用与行为检测.pdf
立即下载 低至0.43元/次 身份认证VIP会员低至7折
    抢沙发
    一个资源只可评论一次,评论内容不能少于5个字
    img

    关注 私信 TA的资源

    上传资源赚积分,得勋章
    最新推荐
    论文研究-基于图模式与内存足迹的Android恶意应用与行为检测.pdf 5积分/C币 立即下载
    1/5
    论文研究-基于图模式与内存足迹的Android恶意应用与行为检测.pdf第1页
    论文研究-基于图模式与内存足迹的Android恶意应用与行为检测.pdf第2页

    试读已结束,剩余3页未读...

    5积分/C币 立即下载 >