基于文本嵌入特征表示的恶意软件家族分类

自动化、高效率和细粒度是恶意软件检测与分类领域目前面临的主要挑战.随着深度学习在图像处理、语音识别和自然语言处理等领域的成功应用,其在一定程度上缓解了传统分析方法在人力和时间成本上的巨大压力.因此本文提出一种自动、高效且细粒度的恶意软件分析方法-mal2vec,其将每个恶意软件看成是一个具有丰富行为语义信息的文本,文本的内容由恶意软件动态执行时的API序列构成,采用经典的神经概率模型Doc2Vec对文本集进行训练学习.实验结果表明,与Rieck~([1])等人的分类效果相比,本文方法得到的效果有明显提升.特别的,不同于其他深度学习的方法,本文方法能够抽取模型训练的中间结果进行显式表示,这种显式的中间结果表示具有可解释性,可以让我们从细粒度层面分析恶意软件家族的行为模式.     

基于敏感权限及其函数调用图的Android恶意代码检测

为了有效地检测Android平台上的恶意软件,提出了一种基于敏感权限及其函数调用流程图的静态综合检测方法.通过对恶意软件进行逆向工程分析,构建了包含恶意代码敏感权限与函数调用图的特征库.并采用Munkres匈牙利算法计算待测样本与特征库在相同敏感权限下两个函数调用图之间的编辑距离,得到两个函数调用图之间的相似性,进而得到两个应用程序之间的相似性,据此对恶意软件进行检测识别.实验结果表明,该检测方法具有较高的准确性与有效性,检测效果明显优于工具Androguard.     

一种基于权限的安卓恶意软件检测方法

针对基于特征代码的Android恶意软件检测方法难以检测未知恶意程序,且基于行为的检测方法误报率较高的问题,提出了一种基于权限的Android恶意软件检测方法.该方法首先在静态分析的基础上,结合动态行为分析提取权限特征;然后,采用权限特征关联分析方法,挖掘权限特征之间的关联规则;最后,基于朴素贝叶斯分类算法,建立恶意应用检测模型.实验结果表明,与现有方法相比,本文方法建立的恶意应用模型具有较高的检测率和准确率.     

基于Android签名及敏感权限分组的安全检测系统

基于Android的系统架构和安全机制,设计并实现了用于检测手机恶意应用App的系统.此系统通过对Android应用程序APK文件的签名及敏感权限分组的检测,有效判定恶意应用意图,排除安全隐患,从而保护用户权益.     

基于AE-DBN的Android恶意软件检测

为了提高Android恶意软件检测的准确率和效率,提出一种在静态分析技术基础上利用自动编码器(AE)网络和深度信念网络(DBN)结合的Android恶意软件检测方案。首先通过静态分析技术,提取了权限、动作、组件和敏感APIs作为特征信息,其次通过AE对特征数据集进行降维,最后结合DBN进行更深层次的特征抽象学习,并训练DBN来进行恶意代码检测。实验结果证明,提出的方案与DBN,SVM和KNN进行比较,提高了检测效率和准确率,降低了误报率。     

基于API序列的恶意软件检测研究

现如今网络技术发展迅猛,恶意软件也被广泛的传播,并且其复杂程度越来越高,对网络的安全造成了巨大的威胁,从而使用户受到严重损失。因此,本文采用虚拟化分析技术对恶意软件进行分析,通过捕获恶意软件在运行过程中产生的API调用序列,然后采用N-Gram和信息增益的思想将捕获到的API序列向量化,最后仿真实验对比正常软件与恶意软件的区别,从而达到有效检测恶意软件的目的。     

基于卷积神经网络Android恶意软件检测

随着智能手机的广泛使用,手机APP软件数量也日益剧增,产生了很多恶意APP软件,恶意APP软件可能会窃取手机里隐私信息,因此,检测恶意APP已成为一项重要的安全问题;其中Android系统市场占有率很高,恶意APP软件也数不胜数,因此,Android恶意软件的检测成为了研究的重点.鉴于很多APP都具备反编译功能,我们直...     

基于结构相似度的Android恶意软件检测

针对目前Android外挂恶意软件检测率低的问题,提出基于结构相似度的Android恶意软件检测算法.该算法首先使用逆向工程将App还原成源码,再利用源码中的class,method,API和系统命令构建结构图,利用互信息MI选出恶意App常用的API,再化简结构图,最后通过比对结构图包含敏感API的部分判断是否为恶意软件.该算法通过静态分析降低资源消耗、结构对比增加检测效率,从而达到提高外挂恶意软件检测率的目的.实验表明,该算法可行可靠.     

基于电量消耗的Android平台恶意软件检测

根据Android应用在运行期的耗电时序波形与声波信号类似的特点,该文提出了一种基于Mel频谱倒谱系数(Mel frequency cepstral coefficients,MFCC)的恶意软件检测算法。首先计算耗电时序波形的MFCC,根据MFCC的分布构建Gauss混合模型(Gaussian mixture model,GMM)。然后采用GMM对电量消耗进行分析,通过对应用软件的分类处理识别恶意软件。实验证明:应用软件的功能与电量消耗关系密切,并且基于软件的电量消耗信息分析可以较准确地对移动终端的恶意软件进行检测。     

基于网络行为的Android恶意软件检测方案

随着科技的进步,智能手机进入了一个高速发展的阶段,Android手机则是其中最主要的推动力.不过随着Android手机普及,由系统自身安全机制缺陷所带来的安全威胁也越来越大.所以针对Android恶意软件设计出高效率、高准确性的检测方案是非常有必要的.笔者设计了一种基于网络行为分析技术的Android恶意软件检测方案.该方案一方面通过对软件的网络行为进行分析,能够准确地判断出该软件是否被篡改为恶意软件;另一方面,借助于云安全技术,将主要的检测工作部署在云端服务器上,使检测工作能够更加高效.     

基于调用图的Android应用权限泄露检测方法

为提高安卓(Android)应用权限泄露漏洞检测的准确性,提出了1种基于调用图的权限泄露检测方法。提取应用程序的公开接口,进而得到公开方法。提取程序中使用敏感应用程序编程接口(API)的敏感方法,然后构建程序方法间调用图。在公开方法和敏感方法间搜索权限泄露路径。以APKPure应用市场的286个应用程序包(APK)为实验对象进行验证。批量样本检测实验结果表明该文方法能够准确检测多种接口的权限泄露漏洞。选取Drozer、AndroBugs和腾讯金刚审计系统作为对比工具进行对比实验。结果显示,在公开接口检测时,该文方法检测范围最广、考虑的因素最多、漏报误报情况最少。     

基于异构图注意力网络的Android恶意软件检测

近年来Android已经成为最流行的移动操作系统,越来越多的移动终端恶意软件窃取用户的私人信息,对安全造成了严重的威胁。现有的检测方法通常是通过挖掘不同APK文件中具有显著区分度的特征信息,使用机器学习的方法对欧式空间数据进行检测,但这类方法往往没有考虑到特征的结构性依赖关系。因此,将Android应用程序的API调用、请求权限、访问URL和包含组件关系映射到一个大型的异质网络中,把原来的检测问题转换成节点分类任务,构造的异质信息网络通过节点级注意力将所有类型的节点映射到统一的特征空间中,学习元路径邻居节点的权重并将其聚合得到特定语义的节点嵌入。实验结果证明,基于异构图注意力网络的检测方法能充分利用异质信息网络的结构特征和语义信息,能有效检测Android恶意软件。     

基于卷积神经网络的Android恶意软件检测技术研究

Android系统的迅速迭代及其开源特性使得Android恶意软件产生大量的变种,这对Android恶意软件检测和分类带来不小的挑战.机器学习方法已成为恶意软件分类的主流方法,但现有的大多数机器学习方法都使用传统的算法(如支持向量机).目前卷积神经网络(CNN)作为一种深度学习方法表现出了更好的性能,特别是在图像分类等应用上.结合这一优势以及迁移学习的思想,本文提出了一种基于CNN架构的Android恶意软件检测和分类方法.首先,提取Android应用的DEX文件然后将其转换成灰度图像并放入CNN中进行训练分类.本文实验使用Drebin和Android Malware Dataset(AMD)两个样本集.实验结果显示,该方法在Android恶意软件家族分类上准确率达到97.36%,在Android恶意软件检测中在不同样本集上的准确率都达到了99%以上.实验表明,本文提出的方法具有较高的分类准确率和泛化性能.     

DBN和GRU混合的Android恶意软件检测模型

针对Android平台恶意软件数量增长迅猛,种类日益增多的现状,提出了一种基于深度置信网络和门控循环单元网络混合的Android恶意软件检测模型。通过自动化提取Android应用软件的特征,包括权限等静态特征和应用运行时的动态特征进行训练,对Android恶意软件进行检测和分类。实验结果表明,混合了门控循环单元网络和深度置信网络的混合模型,在检测效果上优于传统的机器学习算法和深度置信网络模型。     

基于机器学习的恶意软件分类识别研究

恶意软件的日益增长是对网络世界最大的威胁,基于签名的检测对于恶意软件检测率较低,局限性大,因此提出基于机器学习的恶意软件检测技术来代替传统的签名检测。根据沙箱中提取软件的特征类型包括注册表和API函数调用,并量化数据,使用机器学习的模型对此数据进行分类识别,并取得了较好的分类效果。     

基于控制依赖分析的Android远程控制类恶意软件检测

为检测Android远程控制类恶意软件,该文通过对实际的该类软件进行分析,提出一种基于控制依赖分析的动态污点检测方法。动态污点分析技术是一种检测恶意软件的主流技术。该文对传统的动态污点分析进行扩展以检测Android远程控制类恶意软件。首先采用静态分析确定条件转移指令的控制范围;再使用静态插桩在目标应用中添加分析控制依赖的功能。插桩后的应用可在运行时检查敏感操作是否控制依赖于污染数据,进而对远程控制类恶意软件进行有效的分析和检测。该文实现了一个原型检测系统。实验结果表明:应用此方法可以有效地检测出实际的Android远程控制类恶意应用。     

基于MTM规范的Android可信权限系统的改进和实现

以MTM规范为基础,提出了基于设备识别和改进型权限鉴别模型的可信平台架构,并对架构中模块的可行性进行论证和实现。Android可信权限系统通过加密和鉴权方法为运行软件创建运行时空安全域以确保其安全,提供了系统级、应用级和环境级的可信认证。经过对三种移动平台安全防护产品的对比研究评估了系统的表现效果,发现该系统能够无误完成设备认证工作,对非法文件访问和跳转请求具有80%以上的识别概率,达到了提高移动终端可信度的目的。     

基于API调用分析的Android应用行为意图推测

围绕移动应用程序的用户行为意图分析,结合后台应用程序接口(application program interface,API)调用和前台应用图形用户界面(graphic user interface,GUI)状态,该文提出一种在移动应用(App)运行时产生的多元时间序列数据上识别应用行为模式的方法,给出一个包括Android应用程序静态预处理、动态监控运行和行为意图推测3阶段的不良应用程序用户行为推测框架。介绍了基于Android平台API调用分析的应用行为意图动态推测系统原型实现技术,选取代表性应用案例验证了该文提出的不良行为模式识别算法的有效性,并通过实际应用剖析了基于API调用分析推测用户行为的实用性。     

基于API函数序列的勒索病毒家族同源性研究

近年来,勒索病毒数量的增长多为已知家族衍生的变种,鲜有出现新型勒索病毒家族。通过对勒索病毒动态提取的API函数序列进行研究,在原有基于序列比对分析勒索病毒家族同源性的方法上作出了改进。使用Cuckoo Sandbox监测勒索病毒的动态行为特征,提取病毒进程对应的API函数调用类别序列并对序列进行规范化处理,去除所有重复子序列后,对同一家族的勒索病毒样本序列使用Multalin、Clustal Omega、T-coffee 3种不同的多序列比对方法并分别设置不同的共性水平提取共性序列,结合局部比对算法计算同家族和家族间的相似性,以确定最佳共性序列并将其作为家族图谱序列。在验证该方案有效性时,设置了以家族样本代表序列和最佳共性序列分别作为家族图谱序列进行对比实验,实验结果表明,使用家族最佳共性序列作为家族图谱序列和局部比对方法计算相似性可以更好地区分勒索病毒家族。     

基于代价敏感的图分类算法

引入图的误分类代价矩阵,选取以最小误分类代价为目标的加权子图作为图样本的特征属性,建立起图的决策树桩分类器,进行集成学习,得到一个对新图进行分类的判别函数.在生成候选子图时,利用子图的超图增益值具有上界的性质来裁剪增益值比较小的候选子图,从而减少候选子图数量,提高算法效率.实验结果表明,所提算法比其他图分类算法的误分类代价更小.