基于机器学习的Android应用组件暴露漏洞分析

现阶段已有很多Android应用软件的自动化漏洞检测方法,针对现有漏洞检测方案仍然依赖于先验知识并且误报率较高的问题,本文研究了基于机器学习的Android应用软件组件暴露漏洞的分析方法.在对Android应用软件结构进行全方位分析的基础上,结合组件暴露漏洞模型,建立了相应的机器学习系统,并能够对Android漏洞特征进行提取、数据清理和向量化.结合人工分析与验证,建立了1 000个Android APK样本集,并通过训练实现了组件暴露漏洞的自动化识别,达到了90%以上的精确度.      

一种基于系统行为序列特征的Android恶意代码检测方法

基于行为特征建立机器学习模型是目前Android恶意代码检测的主要方法,但这类方法的特征集中各行为特征相互独立,而行为特征间的顺序关系是反映恶意行为的重要因素。为了进一步提高检测准确率,提出了一种基于系统行为序列特征的Android恶意代码检测方法。该方法提取了程序运行发生的敏感API调用、文件访问、数据传输等系统活动的行为序列,基于马尔科夫链模型将系统行为序列转换为状态转移序列并生成了状态转移概率矩阵,将状态转移概率矩阵和状态发生频率作为特征集对SAEs模型进行了学习和训练,最后利用训练后的SAEs实现了对Android恶意代码的检测。实验结果证明,提出的方法在准确率、精度、召回率等指标上优于典型的恶意代码检测方法。     

Android应用Intent通信风险分析及检测

针对Android应用Intent通信可能导致的安全风险,设计了基于动静结合的安全威胁检测方法.静态分析阶段检测应用中请求的内部和外部组件并判断组件是否存在被劫持的风险,然后对存在利用Extra属性进行数据传输的Intent对象利用污点跟踪确定是否存在数据和权限泄露;动态测试阶段根据静态分析检测到的Intent对象构造Fuzzing测试数据,发送测试指令给测试对象并收集应用的执行日志,确定是否存在拒绝服务风险.实验结果表明检测方法可以有效和全面地检测由Intent通信导致的安全缺陷.      

WebView组件漏洞自动化检测与验证方法

Android系统WebView组件应用广泛,相关漏洞危害大、影响广,但现有依赖静态匹配敏感函数的检测方法存在漏洞误报率高等问题.为此,本文提出了基于静态分析与动态验证技术融合的WebView组件漏洞自动化检测与验证方法,通过对漏洞可疑点进行可达性分析,避免对不可达路径的无效动态遍历,提高了分析效率;将数据依赖分析与模拟真实攻击行为的动态验证相结合,及时判断漏洞触发的真实性,降低了误报率.已实现原型工具XWebViewDigger并测试了80个Android应用,检出并验证18个应用存在漏洞,与现有方法相比,误报率有效降低.      

基于关联规则的Android驱动未知安全漏洞挖掘

传统漏洞挖掘方法无法研究Android设备驱动与内核间的交互,且需使相关硬件处于工作状态,很难实现Android驱动未知漏洞挖掘。为此,提出基于关联规则的Android驱动未知安全漏洞挖掘方法。对关联规则漏洞挖掘问题进行形式化描述。依据Apriori法对频繁项集进行初寻找。采用RDARF规则筛选器对规则进行进一步筛选,获取强规则。建立待挖掘驱动样本库,对Android驱动进行自动化分析,考虑Android设备驱动与内核间的交互;针对各Android驱动对各自申请的权限信息进行提取,建立权限特征集合,完成格式化操作;挖掘出所有Android驱动漏洞数据的极大频繁项集,建立权限关系特征库,获取关联规则无需执行驱动;针对待挖掘驱动匹配权限关系特征库,实现未知Android驱动安全漏洞的挖掘。实验结果表明,所提方法挖掘准确性高,CPU占用少。     

Towards fast repackaging and dynamic authority management on Android

In order to enhance the security of Android applications, we propose a repackaging and dynamic authority management scheme based on Android application reinforcement methods.Instead of using root privileges and system modification, we introduce a user-level sandbox, which utilizes the native C-level interception mechanism, to further reinforce the risk applications and improve the entire security of Android system. Additionally, by importing and improving the repackaging features, this proposed scheme reduces the potential risks of applications and achieves the goal of the dynamic monitoring of permissions. Finally, a comprehensive evaluation, including efficiency analysis and detection evaluation with 1 000 malwares, whose overall average success rate is about 96%, shows the feasibility and universality of the proposed scheme.     

信息系统软件框架的一致性维护

为保证在组件和框架开发模式下应用系统的一致性 ,必须研究如何检测和解决组件建模过程中存在的冲突。通过对组件模型、组件库结构和几种典型约束条件的分析 ,建立应用框架的一致性模型 ,包括组件体系结构约束和组件行为约束。这些约束条件以规则的形式表示 ,分层的规则库构成最终的形式化模型 ,模型的检验归结为规则的推理。在信息系统快速开发平台中 ,使用上述约束模型可建立信息系统的一致性视图 ,使开发平台具有一致性管理的功能     

难分类样本快速空中目标意图识别方法

针对不平衡难分类条件下空中目标群组意图快速识别的难题,提出一种基于滑动窗口估计的时空卷积自注意力网络模型的意图识别方法。该方法根据特征数据的特点对其使用滑动窗口的预先处理,通过时空卷积网络快速提取多维时序特征数据的流信息;然后采用自注意力机制捕捉每个特征数据的关键特征并优化权重。仿真结果表明该方法有效提升了不平衡样本中难分类样本意图识别的训练效率和分类的准确率。     

基于粒子群优化算法的Android应用自动化测试方法

Android应用自动化测试是应用质量保证的重要手段.针对目前传统Android应用自动化测试方法存在的自动化率和测试用例生成效率较低且应用异常发现能力较弱的问题,本文提出了基于粒子群优化算法的Android应用自动化测试方法（particle swarm optimization for Android,PSOA）.PSOA方法主要分为3部分:控件信息获取、测试方法模块化、测试用例生成与基于粒子群优化算法的测试数据优化.实验结果表明,与传统自动化测试方法相比,PSOA方法能够有效提高异常发现能力、测试用例生成效率和自动化率.      

一种安卓系统手机恶意软件链接串行联合检测方法

恶意软件链接将给人们的财产甚至生命安全带来极大威胁.为了保障移动终端通信的安全性,提出了一种安卓系统手机恶意软件链接串行联合检测方法,该方法设计了基于域名的黑白名单检测模块、敏感关键词检测模块及基于逻辑回归算法的检测模块.逻辑回归检测模型基于6种链接特征构建;3个检测模块以串行的方式递进工作,一旦得出检测结论即终止本次检测.实验测试结果表明,该方法可有效识别安卓系统手机恶意软件下载链接,检测准确率达98.5%以上;且检测速度较快,一个典型链接的平均检测时间约0.181 s.     

基于命题逻辑的组件约束检测

针对组件约束数量大、复杂度高的问题，提出了一种基于命题逻辑的组件约束检测算法．通过命题符号化的过程，即通过5个联结词将日常语言中的命题转化成数理逻辑中的形式命题．该算法首次使用受限真值表的概念来描述组件约束，清楚、准确地揭示了软件组织结构、动态行为以及组件之间的转换，通过包含、否定和插入等规则来合并真值表，以解决检测组件约束时存在的冗余与冲突问题，并获得期望行为的最小组件集合，从而保证了组件约束之间相互一致．与基于规则模式表方法相比，所提算法克服了人工检测的不确定性，改善了检测的时间性能，并可将冲突错判率降低大约10％，平均处理时间降低大约33％．     

Research on android malware detection and interception based on behavior monitoring

Focusing on the sensitive behaviors of malware, such as privacy stealing and money costing, this paper proposes a new method to monitor software behaviors and detect malicious applications on Android platform. According to the theory and implementation of Android Binder interprocess communication mechanism, a prototype system that integrates behavior monitoring and intercepting, malware detection, and identification is built in this work. There are 50 different kinds of samples used in the experiment of malware detection, including 40 normal samples and 10 malicious samples. The theoretical analysis and experimental result demonstrate that this system is effective in malware detection and interception, with a true positive rate equal to 100% and a false positive rate less than 3%.     

基于事件逻辑的CPS组件协同模型

针对CPS系统的异构性、实时性、物理世界与信息世界的高度融合等特征,提出了基于事件逻辑关系的组件协同代数模型。首先,定义了基于时空事件接口的组件形式化表示方法,建立了基于事件驱动的组件协同体系架构。然后,根据组件协同方式分析了事件间的逻辑关系,建立了组件协同代数系统。最后,以智能家居的非法入侵行为为例,使用协同代数式描述事件驱动组件行为的过程。分析表明,基于事件逻辑的组件协同代数模型能够清晰地反应组件间的交互关系,屏蔽了组件的异构性,实现了物理进程与计算进程的融合,为CPS系统的形式化建模提供了新的方法。     

支持电子政务应用的安全操作系统的访问控制

通过分析单一访问控制模型的局限及电子政务应用的安全需求,提出了一种多策略访问控制方法（MACM）。该模型充分利用已有访问控制模型的优点,同时考虑进程的可靠性以及系统的可用性,给出了新模型的形式化描述,并在Linux内核上进行实现,性能分析表明,该方法对系统效率影响很小。     

基于三层Client／Server模式的构件服务模型设计

针对基于构件的软件开发如何与面向对象方法有效结合,设计并实现高度灵活、可复用的构件式应用程序,从而实现软件分析、设计与实现的连续性与一致性问题,提出了基于三层Client/Server模式的构件服务模型,研究了从OOA＆OOD模型建立应用程序的构件服务模型的方法,同时给出了形式化的构件服务模型描述,这不仅为构件服务模型的形式化验证方法提供了新的研究思路,也为基于构件的软件开发提供了基础。文中的方法已成功用于实际的项目开发中,且取得了较好效果。     

DBN和GRU混合的Android恶意软件检测模型

针对Android平台恶意软件数量增长迅猛,种类日益增多的现状,提出了一种基于深度置信网络和门控循环单元网络混合的Android恶意软件检测模型。通过自动化提取Android应用软件的特征,包括权限等静态特征和应用运行时的动态特征进行训练,对Android恶意软件进行检测和分类。实验结果表明,混合了门控循环单元网络和深度置信网络的混合模型,在检测效果上优于传统的机器学习算法和深度置信网络模型。     

基于图注意力网络的安卓恶意软件检测

安卓恶意软件的爆发式增长对恶意软件检测方法提出了更高效、准确的要求.早年的检测方法主要是基于权限、opcode序列等特征,然而这些方法并未充分挖掘程序的结构信息.基于API调用图的方法是目前主流方法之一,它重在捕获结构信息,可准确地预测应用程序可能的行为.本文提出一种基于图注意力网络的安卓恶意软件检测方法,该方法通过静态分析构建API调用图来初步表征APK,然后引入SDNE图嵌入算法从API调用图中学习结构特征和内容特征,再通过注意力网络充分融合邻居节点特征向量,进而构成图嵌入进行检测任务.在AMD数据集上的实验结果表明,本文提出的方法可以有效检测恶意软件,准确率为97.87%,F1分数为97.40%.     

云计算环境下非法用户入侵行为的检测与分析

为提高云计算环境下非法用户入侵行为的检测效果,设计一种新型云计算环境下非法用户入侵行为的检测模型.首先提取云计算环境下非法用户入侵行为特征,采用主成分分析对特征进行特征筛选;然后采用最小二乘支持向量机对非法用户入侵行为进行分类和检测,并采用粒子群算法确定最小二乘支持向量机的参数;最后选择具体非法用户入侵数据集对模型的有效性进行验证.结果表明,该模型能获得较高正确率的非法用户入侵行为检测结果,加快了非法用户入侵行为的检测速度.     

Nonlinear fault diagnosis method based on kernel principal component analysis

To ensure the system run under working order, detection and diagnosis of faults play an important role in industrial process. This paper proposed a nonlinear fault diagnosis method based on kernel principal component analysis (KPCA). In proposed method, using essential information of nonlinear system extracted by KPCA, we constructed KPCA model of nonlinear system under normal working condition. Then new data were projected onto the KPCA model. When new data are incompatible with the KPCA model,it can be concluded that the nonlinear system is out of normal working condition. Proposed method was applied to fault diagnosis on rolling bearings. Simulation results show proposed method provides an effective method for fault detection and diagnosis of nonlinear system.     

DroidDetector: Android Malware Characterization and Detection Using Deep Learning

Smartphones and mobile tablets are rapidly becoming indispensable in daily life. Android has been the most popular mobile operating system since 2012. However, owing to the open nature of Android, countless malwares are hidden in a large number of benign apps in Android markets that seriously threaten Android security. Deep learning is a new area of machine learning research that has gained increasing attention in artificial intelligence. In this study, we propose to associate the features from the static analysis with features from dynamic analysis of Android apps and characterize malware using deep learning techniques. We implement an online deep-learning-based Android malware detection engine(Droid Detector) that can automatically detect whether an app is a malware or not. With thousands of Android apps, we thoroughly test Droid Detector and perform an indepth analysis on the features that deep learning essentially exploits to characterize malware. The results show that deep learning is suitable for characterizing Android malware and especially effective with the availability of more training data. Droid Detector can achieve 96.76% detection accuracy, which outperforms traditional machine learning techniques. An evaluation of ten popular anti-virus softwares demonstrates the urgency of advancing our capabilities in Android malware detection.