一种基于系统行为序列特征的Android恶意代码检测方法

基于行为特征建立机器学习模型是目前Android恶意代码检测的主要方法,但这类方法的特征集中各行为特征相互独立,而行为特征间的顺序关系是反映恶意行为的重要因素。为了进一步提高检测准确率,提出了一种基于系统行为序列特征的Android恶意代码检测方法。该方法提取了程序运行发生的敏感API调用、文件访问、数据传输等系统活动的行为序列,基于马尔科夫链模型将系统行为序列转换为状态转移序列并生成了状态转移概率矩阵,将状态转移概率矩阵和状态发生频率作为特征集对SAEs模型进行了学习和训练,最后利用训练后的SAEs实现了对Android恶意代码的检测。实验结果证明,提出的方法在准确率、精度、召回率等指标上优于典型的恶意代码检测方法。     

Android系统中恶意代码的动态检测技术研究

随着手机普及程度的日益提高,人们对智能手机的依赖性加重,手机的安全性问题变得愈加突出.根据Android安装包(APK)文件的权限调用和Android系统的应用程序接口(API)函数调用情况,设计了一种基于API拦截技术的检测恶意代码的动态检测方法.实验结果表明,该方法可以有效检测并报告Android系统中的恶意代码.     

恶意代码的分析技术

本文讨论了基于代码特征的分析方法、基于代码语义的分析方法、外部观察法和跟踪调试法等四种恶意代码分析方法     

一种针对Android系统隐私保护机制有效性的评估方法

为了保护用户的隐私数据,Android实现了一套基于权限的安全机制.为此设计了一种针对该机制的评估工具PrivacyMiner,以检测其在隐私保护方面的有效性.首先将Android系统中的隐私数据分为22个类别;然后使用动态检测与静态污点分析相结合的方法,来检测Android系统的安全机制是否能有效地保护它们.用PrivacyMiner工具对12个版本的Android源代码进行了检测,发现其中有7个类别的隐私数据并没有得到有效的保护,恶意软件可以在用户不知情的情况下读取这些隐私,并发送到任意服务器上.这些漏洞在6个Android设备上得到了验证,从Android2.1到最新发布的Android 4.4.2,均得到了Android安全团队的确认.     

采用函数调用关系的注入型Android恶意应用检测

针对注入型Android恶意应用日益泛滥、传统检测方法依赖大量已知特征的问题,提出了采用函数调用关系的注入型Android恶意应用检测方法。该方法无须依赖大量已知特征,仅通过分析注入型Android恶意应用的自身结构特征即可实现对该类恶意应用的有效检测,并能够实现对未知恶意代码家族的识别。所提方法在smali代码的基础上构建函数调用关系图,并进一步进行子图划分,通过判定各子图威胁度确定是否存在恶意行为。检测过程无需动态行为分析辅助,因此分析检测时间短、效率高。该方法不仅可以检测出Android应用是否存在恶意行为,还可根据子图威胁度确定包含恶意行为的具体代码。经过对1 260个Android恶意应用和1 000个正常应用的实验分析发现:所提方法能够很好地检测注入型Android恶意应用,当误报率为8.90%的时候,检测率达到95.94%,相对于主流Android恶意应用检测系统Androguard,检测效果有显著提升。     

基于敏感权限及其函数调用图的Android恶意代码检测

为了有效地检测Android平台上的恶意软件,提出了一种基于敏感权限及其函数调用流程图的静态综合检测方法.通过对恶意软件进行逆向工程分析,构建了包含恶意代码敏感权限与函数调用图的特征库.并采用Munkres匈牙利算法计算待测样本与特征库在相同敏感权限下两个函数调用图之间的编辑距离,得到两个函数调用图之间的相似性,进而得到两个应用程序之间的相似性,据此对恶意软件进行检测识别.实验结果表明,该检测方法具有较高的准确性与有效性,检测效果明显优于工具Androguard.     

一种基于静态API调用与集成学习的恶意代码检测技术

本文提出了一种利用PE导入表中的静态API调用为特征,采用文本分类的思想,将获得的特征字符串转换为特征向量,并利用信息增益进行特征降维,最后利用集成学习算法训练分类器对恶意代码进行检测,实验证明了该方法的有效性。     

基于卷积神经网络Android恶意软件检测

随着智能手机的广泛使用,手机APP软件数量也日益剧增,产生了很多恶意APP软件,恶意APP软件可能会窃取手机里隐私信息,因此,检测恶意APP已成为一项重要的安全问题;其中Android系统市场占有率很高,恶意APP软件也数不胜数,因此,Android恶意软件的检测成为了研究的重点.鉴于很多APP都具备反编译功能,我们直...     

恶意代码的分析与检测技术的研究

随着网络技术的飞速发展,恶意代码严重威胁着计算机及网络安全。病毒、蠕虫等恶意代码不断变种,快速传播,信息安全受到了巨大的挑战,恶意代码分析及检测问题成为当前网络研究工作的重点。本文在分析恶意软件相关理论基础上,探讨了恶意代码分析技术和分析工具相关问题。     

Windows恶意代码动态通用脱壳方法研究

加壳技术为程序保护提供了一种新的思路,但同时也成为恶意代码的保护伞.恶意软件通过加壳可以批量、快速地生成海量变种,给分析人员带来极大的困扰.因此,研究脱壳技术成为解决该问题的一种有效方法.传统的脱壳方法如UPX、ASProtect等针对的是特定种类的壳,因其不能应付壳的版本与种类的变化而逐渐无法适用,研究一种通用的动态脱壳方法是极为必要的.根据加壳程序执行时都要在内存中还原原始代码的特点,在动态二进制分析平台的基础上提出了一种基于内存标记的动态通用脱壳方法.实验表明,该方法无需先验知识就可以有效地定位加壳程序的原始入口点,提取出程序的原始代码,具有较好的脱壳效果.     

DBN和GRU混合的Android恶意软件检测模型

针对Android平台恶意软件数量增长迅猛,种类日益增多的现状,提出了一种基于深度置信网络和门控循环单元网络混合的Android恶意软件检测模型。通过自动化提取Android应用软件的特征,包括权限等静态特征和应用运行时的动态特征进行训练,对Android恶意软件进行检测和分类。实验结果表明,混合了门控循环单元网络和深度置信网络的混合模型,在检测效果上优于传统的机器学习算法和深度置信网络模型。     

基于卡方检验的Android恶意应用检测方法

移动终端爆发式增长造成了恶意应用的大量出现,给用户的隐私安全和财产安全带来了巨大的危害.为提高Android应用恶意性检测的准确性,本文将卡方检验与基尼不纯度增量相结合获取更有价值的特征属性;并改进朴素贝叶斯算法提高Android应用恶意性判断的准确性.实验结果表明:新的特征处理方法能够有效提高检测性能;同时,改进后的朴素贝叶斯算法相比原始算法而言准确率有较大的提升.      

基于深度学习的恶意代码检测综述

恶意代码检测是网络空间安全领域的重要研究方向之一。在简要阐述恶意代码检测重大研究价值的基础上,结合国内外研究现状,总结了现有的基于深度学习的恶意代码检测技术及方法。首先,分别从静态、动态和混合检测方法多方面地梳理了传统检测技术,其次,分别从基于序列特征、图像可视化和数据增强的恶意代码特征提取方法出发,对基于深度学习的恶意代码分类识别方法进行了总结,最后,对基于深度学习的恶意代码特征提取与识别方向的技术难点和未来发展趋势进行了分析与展望。     

基于最长频繁序列挖掘的恶意代码检测

基于动态API序列挖掘的恶意代码检测方法未考虑不同类别恶意代码之间的行为差别,导致代表恶意行为的恶意序列挖掘效果不佳,其恶意代码检测效率较低.本文引入面向目标的关联挖掘技术,提出一种最长频繁序列挖掘算法,挖掘最长频繁序列作为特征用于恶意代码检测.首先,该方法提取样本文件的动态API序列并进行预处理;然后,使用最长频繁序列挖掘算法挖掘多个类别的最长频繁序列集合;最后,使用挖掘的最长频繁序列集合构造词袋模型,根据该词袋模型将样本文件的动态API序列转化为向量,使用随机森林算法构造分类器检测恶意代码.本文采用阿里云提供的数据集进行实验,恶意代码检测的准确率和AUC(Area Under Curve)值分别达到了95.6%和0.99,结果表明,本文所提出的方法能有效地检测恶意代码.     

基于网络行为的Android恶意软件检测方案

随着科技的进步,智能手机进入了一个高速发展的阶段,Android手机则是其中最主要的推动力.不过随着Android手机普及,由系统自身安全机制缺陷所带来的安全威胁也越来越大.所以针对Android恶意软件设计出高效率、高准确性的检测方案是非常有必要的.笔者设计了一种基于网络行为分析技术的Android恶意软件检测方案.该方案一方面通过对软件的网络行为进行分析,能够准确地判断出该软件是否被篡改为恶意软件;另一方面,借助于云安全技术,将主要的检测工作部署在云端服务器上,使检测工作能够更加高效.     

基于Android平台多生理参数检测系统设计与实现

针对多生理参数的无创采集和移动传输需求,设计了基于Android平台的血氧饱和度、血压和心电等多生理参数检测系统．根据多生理参数的不同特性,通过定时中断模式,结合AndroidJNI和Linux驱动接口实现多生理参数无创硬件采集和无线实时传输,同时采用MVC开发框架,实现多生理参数的接收、显示、统计报表和用户管理等功能．为了减少数据冗余、提高数据融合效率,在多医学传感器形成的蓝牙散射网中,采用捕鱼策略优化算法进行收缩搜索和移动搜索．实验表明,该系统能有效实现多生理参数的无创采集、移动传输和智能处理,具有体积小、可扩展性强、融合效果优等特点,为家庭或社区监护和远程医疗创造了条件．     

基于卷积神经网络的Android恶意软件检测技术研究

Android系统的迅速迭代及其开源特性使得Android恶意软件产生大量的变种,这对Android恶意软件检测和分类带来不小的挑战.机器学习方法已成为恶意软件分类的主流方法,但现有的大多数机器学习方法都使用传统的算法(如支持向量机).目前卷积神经网络(CNN)作为一种深度学习方法表现出了更好的性能,特别是在图像分类等应用上.结合这一优势以及迁移学习的思想,本文提出了一种基于CNN架构的Android恶意软件检测和分类方法.首先,提取Android应用的DEX文件然后将其转换成灰度图像并放入CNN中进行训练分类.本文实验使用Drebin和Android Malware Dataset(AMD)两个样本集.实验结果显示,该方法在Android恶意软件家族分类上准确率达到97.36%,在Android恶意软件检测中在不同样本集上的准确率都达到了99%以上.实验表明,本文提出的方法具有较高的分类准确率和泛化性能.     

WebView组件漏洞自动化检测与验证方法

Android系统WebView组件应用广泛,相关漏洞危害大、影响广,但现有依赖静态匹配敏感函数的检测方法存在漏洞误报率高等问题.为此,本文提出了基于静态分析与动态验证技术融合的WebView组件漏洞自动化检测与验证方法,通过对漏洞可疑点进行可达性分析,避免对不可达路径的无效动态遍历,提高了分析效率;将数据依赖分析与模拟真实攻击行为的动态验证相结合,及时判断漏洞触发的真实性,降低了误报率.已实现原型工具XWebViewDigger并测试了80个Android应用,检出并验证18个应用存在漏洞,与现有方法相比,误报率有效降低.     

一种新的缓冲区溢出检测模型

分析缓冲区溢出类型和缓冲区溢出防范技术,提出一种新的缓冲区溢出检测模型．该模型首先对反汇编代码中的潜在溢出点进行定位,然后通过静态分析和动态分析确定真正的溢出点．给出缓冲区溢出检测模型的具体实现,实验结果表明该检测模型是有效的．     

基于免疫危险理论的手机恶意软件检测模型

为了提高智能手机恶意软件检测的自适应性和有效性,该文提出了基于免疫危险理论的手机恶意软件检测模型,该模型由4个部分组成:数据采集、危险信号生成、共刺激信号生成和预警部分,针对不同的恶意软件,采用微分方法表达危险信号,由自适应抗原提呈细胞产生相应的共刺激信号,最后对恶意软件产生预警.通过实验验证了该文模型的自适应性和有效性.