DBN和GRU混合的Android恶意软件检测模型

针对Android平台恶意软件数量增长迅猛,种类日益增多的现状,提出了一种基于深度置信网络和门控循环单元网络混合的Android恶意软件检测模型。通过自动化提取Android应用软件的特征,包括权限等静态特征和应用运行时的动态特征进行训练,对Android恶意软件进行检测和分类。实验结果表明,混合了门控循环单元网络和深度置信网络的混合模型,在检测效果上优于传统的机器学习算法和深度置信网络模型。     

基于朴素贝叶斯的Android软件恶意行为智能识别

针对Android系统提供的基于应用权限授权的安全管理机制粒度较粗,并且一旦用户对应用软件授权即无法更改或追踪权限使用的问题,提出了一种基于朴素贝叶斯的Android软件恶意行为识别方法.该方法综合考虑软件运行时的用户操作场景和用户行为习惯以及软件权限等特性,抽取软件是否为系统应用、权限使用时是否有用户操作、软件是否申请了过多的权限、是否存在敏感权限组合、权限的使用是否存在突发性等作为分类属性,并通过对Android安全框架的扩展,实现了对恶意行为的实时分析和处理.实验结果表明,所设计和实现的Android软件恶意行为智能识别技术具有较高的识别率和较低的误报率,并且对系统性能的影响较小,可以有效增强Android系统的安全性.     

基于敏感权限及其函数调用图的Android恶意代码检测

为了有效地检测Android平台上的恶意软件,提出了一种基于敏感权限及其函数调用流程图的静态综合检测方法.通过对恶意软件进行逆向工程分析,构建了包含恶意代码敏感权限与函数调用图的特征库.并采用Munkres匈牙利算法计算待测样本与特征库在相同敏感权限下两个函数调用图之间的编辑距离,得到两个函数调用图之间的相似性,进而得到两个应用程序之间的相似性,据此对恶意软件进行检测识别.实验结果表明,该检测方法具有较高的准确性与有效性,检测效果明显优于工具Androguard.     

基于特征分析Android恶意应用检测方法的研究

Android是目前广泛应用的移动操作系统,也是恶意软件首选的攻击目标。为了在恶意应用发布和攻击用户前将其分析、识别出来,文中提出了一种动态检测Android应用是否具有恶意行为的方法,该方法基于及其学习和对Android API调用和系统调用痕迹的特征提取,最终能够得到96%的检测率。     

基于网络流量分析的未知恶意软件检测

为了有效检测移动端的未知恶意软件,提出一种基于机器学习算法,并结合提取的具有鲁棒性的网络流量统计特征,训练出具有未知移动恶意网络流量识别能力的检测模型;该模型主要包括Android恶意软件样本数据预处理、网络流量数据自动采集以及机器学习检测模型训练;通过对不同时间节点的零日恶意软件检测的实验,验证模型的有效性。结果表明,所提出的方法对未知恶意样本的检测精度可以超过90%,并且F度量值为80%。     

基于大数据关联规则的网络恶意行为识别检测

为提升数据挖掘技术与网络恶意行为识别准确率,研究基于大数据关联规则的网络恶意行为识别检测方法。模糊化处理网络中存在的大数据,构建模糊数据库,分类聚集模糊数据库中的模糊数据,离散化处理模糊数据的连续属性,确定模糊数据频繁关联规则,通过基于模糊关联规则的数据挖掘方法获得整理后的网络数据;以此为基础,分析用户恶意访问流量特征,加权处理用户访问流量特征与用户信息熵特征,建立多特征融合的网络恶意行为识别模型,完成网络恶意行为识别检测。经实验验证,该方法识别检测网络恶意行为时准确率较高,在93%以上,漏检测率较低,低于8%,在数据挖掘时具有较低的时间消耗与空间消耗,支持度较高。     

Android恶意广告威胁分析与检测技术

Android第三方广告框架应用广泛,但Android系统漏洞和Android第三方广告框架的逻辑缺陷严重威胁着Android市场安全。攻击者可以通过恶意广告获取敏感数据、触发敏感操作,甚至是以应用程序的权限执行任意代码。该文总结了4种Android恶意广告攻击方式,并针对这4种方式设计了一种基于后向切片算法和静态污点分析的Android第三方广告框架静态测量方法,以及一种基于API Hook和靶向API Trace的Android恶意广告敏感行为动态检测方法。基于以上研究,该文设计并实现了Android恶意广告威胁分析与检测系统,通过实例证明该系统能够有效地分析Android第三方广告框架可能存在的安全隐患,并能够动态检测Android恶意广告的敏感行为。     

基于控制依赖分析的Android远程控制类恶意软件检测

为检测Android远程控制类恶意软件,该文通过对实际的该类软件进行分析,提出一种基于控制依赖分析的动态污点检测方法。动态污点分析技术是一种检测恶意软件的主流技术。该文对传统的动态污点分析进行扩展以检测Android远程控制类恶意软件。首先采用静态分析确定条件转移指令的控制范围;再使用静态插桩在目标应用中添加分析控制依赖的功能。插桩后的应用可在运行时检查敏感操作是否控制依赖于污染数据,进而对远程控制类恶意软件进行有效的分析和检测。该文实现了一个原型检测系统。实验结果表明:应用此方法可以有效地检测出实际的Android远程控制类恶意应用。     

基于Markov链模型的Android平台恶意APP检测研究

目前Android手机上恶意APP安全检测方法大致分为两种,静态检测和动态检测.静态检测利用逆向分解手机安装文件,对APP安装文件进行分解,提取其代码特征和正常应用样本数据库中样本进行对比,判定APP是否存在恶意行为.动态监测基于对系统信息和应用行为的监控结果来判断APP是否为恶意应用.静态方法由于样本库规模的的限制很难检测病毒变种和新型病毒,动态检测需要事实监控系统行为,占用大量手机资源并且检测识别率不高.本文以Markov链模型为基础结合了动态监控应用行为和用户行为的方法得出的Android平台恶意APP检测方法.最后结合静态检测对apk文件进行分析,以增加动态监控方法的准确性.     

采用函数调用关系的注入型Android恶意应用检测

针对注入型Android恶意应用日益泛滥、传统检测方法依赖大量已知特征的问题,提出了采用函数调用关系的注入型Android恶意应用检测方法。该方法无须依赖大量已知特征,仅通过分析注入型Android恶意应用的自身结构特征即可实现对该类恶意应用的有效检测,并能够实现对未知恶意代码家族的识别。所提方法在smali代码的基础上构建函数调用关系图,并进一步进行子图划分,通过判定各子图威胁度确定是否存在恶意行为。检测过程无需动态行为分析辅助,因此分析检测时间短、效率高。该方法不仅可以检测出Android应用是否存在恶意行为,还可根据子图威胁度确定包含恶意行为的具体代码。经过对1 260个Android恶意应用和1 000个正常应用的实验分析发现:所提方法能够很好地检测注入型Android恶意应用,当误报率为8.90%的时候,检测率达到95.94%,相对于主流Android恶意应用检测系统Androguard,检测效果有显著提升。     

基于敏感权限和API的Android恶意软件家族分类方法

提出一种基于敏感权限和API的Android恶意软件家族分类方法,通过提取敏感权限和敏感API,将两部分特征进行融合,构建特征库,最后结合随机森林算法进行恶意软件的家族分类。实验结果表明,该方法的检测精确度达到98.4%,显著优于其他基线算法,能够反映恶意软件的相似性和同源性。     

基于Android签名及敏感权限分组的安全检测系统

基于Android的系统架构和安全机制,设计并实现了用于检测手机恶意应用App的系统.此系统通过对Android应用程序APK文件的签名及敏感权限分组的检测,有效判定恶意应用意图,排除安全隐患,从而保护用户权益.     

基于关联规则的Android驱动未知安全漏洞挖掘

传统漏洞挖掘方法无法研究Android设备驱动与内核间的交互,且需使相关硬件处于工作状态,很难实现Android驱动未知漏洞挖掘。为此,提出基于关联规则的Android驱动未知安全漏洞挖掘方法。对关联规则漏洞挖掘问题进行形式化描述。依据Apriori法对频繁项集进行初寻找。采用RDARF规则筛选器对规则进行进一步筛选,获取强规则。建立待挖掘驱动样本库,对Android驱动进行自动化分析,考虑Android设备驱动与内核间的交互;针对各Android驱动对各自申请的权限信息进行提取,建立权限特征集合,完成格式化操作;挖掘出所有Android驱动漏洞数据的极大频繁项集,建立权限关系特征库,获取关联规则无需执行驱动;针对待挖掘驱动匹配权限关系特征库,实现未知Android驱动安全漏洞的挖掘。实验结果表明,所提方法挖掘准确性高,CPU占用少。     

一种基于系统行为序列特征的Android恶意代码检测方法

基于行为特征建立机器学习模型是目前Android恶意代码检测的主要方法,但这类方法的特征集中各行为特征相互独立,而行为特征间的顺序关系是反映恶意行为的重要因素。为了进一步提高检测准确率,提出了一种基于系统行为序列特征的Android恶意代码检测方法。该方法提取了程序运行发生的敏感API调用、文件访问、数据传输等系统活动的行为序列,基于马尔科夫链模型将系统行为序列转换为状态转移序列并生成了状态转移概率矩阵,将状态转移概率矩阵和状态发生频率作为特征集对SAEs模型进行了学习和训练,最后利用训练后的SAEs实现了对Android恶意代码的检测。实验结果证明,提出的方法在准确率、精度、召回率等指标上优于典型的恶意代码检测方法。     

基于函数调用图分析的NGB TVOS恶意应用检测方法

TVOS是我国自主研发的新一代具有自主知识产权、可管可控、安全高效的智能电视操作系统.TVOS自带应用商店是TVOS应用安装的唯一途径,但也对应用的检测提出了更高的要求.与Android应用不同,TVOS应用中很多权限和硬件调用均不涉及.采用函数调用图作为特征来弥补权限、API调用等在TVOS应用上表征能力上的不足的缺点.该方法采用基于核函数的分析方法和基于图相似度算法的分析方法提取TVOS应用的结构信息作为特征,使用SVM、RF、KNN 3种机器学习算法进行训练和分类.实验结果表明:所提出的基于函数调用图分析的NGB TVOS恶意应用检测方法能有效地检测出TVOS中的恶意应用,检测率最高达98.38%.     

基于结构相似度的Android恶意软件检测

针对目前Android外挂恶意软件检测率低的问题,提出基于结构相似度的Android恶意软件检测算法.该算法首先使用逆向工程将App还原成源码,再利用源码中的class,method,API和系统命令构建结构图,利用互信息MI选出恶意App常用的API,再化简结构图,最后通过比对结构图包含敏感API的部分判断是否为恶意软件.该算法通过静态分析降低资源消耗、结构对比增加检测效率,从而达到提高外挂恶意软件检测率的目的.实验表明,该算法可行可靠.     

基于卷积神经网络的Android恶意软件检测技术研究

Android系统的迅速迭代及其开源特性使得Android恶意软件产生大量的变种,这对Android恶意软件检测和分类带来不小的挑战.机器学习方法已成为恶意软件分类的主流方法,但现有的大多数机器学习方法都使用传统的算法(如支持向量机).目前卷积神经网络(CNN)作为一种深度学习方法表现出了更好的性能,特别是在图像分类等应用上.结合这一优势以及迁移学习的思想,本文提出了一种基于CNN架构的Android恶意软件检测和分类方法.首先,提取Android应用的DEX文件然后将其转换成灰度图像并放入CNN中进行训练分类.本文实验使用Drebin和Android Malware Dataset(AMD)两个样本集.实验结果显示,该方法在Android恶意软件家族分类上准确率达到97.36%,在Android恶意软件检测中在不同样本集上的准确率都达到了99%以上.实验表明,本文提出的方法具有较高的分类准确率和泛化性能.     

基于网络行为的Android恶意软件检测方案

随着科技的进步,智能手机进入了一个高速发展的阶段,Android手机则是其中最主要的推动力.不过随着Android手机普及,由系统自身安全机制缺陷所带来的安全威胁也越来越大.所以针对Android恶意软件设计出高效率、高准确性的检测方案是非常有必要的.笔者设计了一种基于网络行为分析技术的Android恶意软件检测方案.该方案一方面通过对软件的网络行为进行分析,能够准确地判断出该软件是否被篡改为恶意软件;另一方面,借助于云安全技术,将主要的检测工作部署在云端服务器上,使检测工作能够更加高效.     

一种针对Android平台恶意代码的检测方法及系统实现

针对Android恶意代码泛滥的问题,综合静态和动态分析技术,设计实现了Android恶意代码检测系统.在静态分析部分,提取Android程序中的权限、API调用序列、组件、资源以及APK结构构建特征向量,应用相似性度量算法,检测已知恶意代码家族的恶意代码样本;在动态分析部分,通过修改Android源码、重新编译成内核镜像,使用该镜像文件加载模拟器,实时监控Android程序的文件读写、网络连接、短信发送以及电话拨打等行为,基于行为的统计分析检测未知恶意代码.经过实际部署测试,所提检测方法具有较高的检测率和较低的误报率.所开发Android恶意代码检测系统已经在互联网上发布,可免费提供分析检测服务.     

基于静态分析的TVOS恶意应用检测方法研究

TVOS是一种新型的智能电视操作系统,针对当前TVOS应用分析相关工作较少,并且缺乏相应TVOS恶意应用检测方法的问题,全面深入分析TVOS应用,并提出有效的TVOS恶意应用检测方法.由于TVOS兼容Android应用,但又具有面向广电行业及媒体融合的特点.首先,基于静态特征深入研究了TVOS应用与Android应用的区别.其次,以TVOS的典型应用市场欢视网为例,分析并检测了欢视网应用市场中3 425个应用.再次,量化分析应用的静态特征,并使用支持向量机、逻辑回归、决策树、随机森林等4种机器学习方法对应用进行检测.最后,深入分析检测结果,讨论了基于静态特征的TVOS恶意应用检测方法的可行性与局限性.实验结果表明,所提出的基于支持向量机的TVOS恶意应用检测方法在误报率为0.54%的条件下,能够有效检测出98.67%的潜在恶意应用.