推荐星级:
- 1
- 2
- 3
- 4
- 5
基于卡方检验的Android恶意应用检测方法
资料介绍
移动终端爆发式增长造成了恶意应用的大量出现,给用户的隐私安全和财产安全带来了巨大的危害.为提高Android应用恶意性检测的准确性,本文将卡方检验与基尼不纯度增量相结合获取更有价值的特征属性;并改进朴素贝叶斯算法提高Android应用恶意性判断的准确性.实验结果表明:新的特征处理方法能够有效提高检测性能;同时,改进后的朴素贝叶斯算法相比原始算法而言准确率有较大的提升.
部分文件列表
文件名 | 大小 |
基于卡方检验的Android恶意应用检测方法.pdf | 1009K |
部分页面预览
(完整内容请下载后查看)第
卷
第
期
北 京 理 工 大 学 学 报
39
3
Vol.39 No.3
ꢀ
ꢀ
ꢀꢀ
年
月
2019
3
TransactionsofBeiin InstituteofTechnolo
ꢀ ꢀ j g ꢀ ꢀ
gy
ꢀ
Mar.2019
基于卡方检验的
恶意应用检测方法
Android
,
12
1
,
王志海
3
,
李经纬
3
,
赵烜 文伟平
3
,
刘亚姝
ꢀ
ꢀ
ꢀ
ꢀ
( ,
北京交通大学 计算机与信息技术学院 北京
1.
;
1000442.
北京建筑大学 电气与
ꢀ
,
信息工程学院 北京
;
,
北京大学 软件与微电子学院 北京
1000443.
)
102600
ꢀ
ꢀ
: ,
移动终端爆发式增长造成了恶意应用的大量出现 给用户的隐私安全和财产安全带来了巨大的危害
摘
要
为
.
ꢀ
, ;
应用恶意性检测的准确性 本文将卡方检验与基尼不纯度增量相结合获取更有价值的特征属性 并
提高
Android
:
应用恶意性判断的准确性 实验结果表明 新的特征处理方法能够有效提高检
.
改进朴素贝叶斯算法提高
Android
; ,
测性能 同时 改进后的朴素贝叶斯算法相比原始算法而言准确率有较大的提升
.
: ; ; ;
关键词 恶意软件 安卓 卡方检验 朴素贝叶斯
:
:
A
:
文章编号
10010645201903029005
ꢀꢀꢀ
(
)
中图分类号
文献标志码
TP309.5
ꢀꢀꢀ
-
-
-
:
/
DOI 10.15918 .tbit10010645.2019.03.011
j
ꢀ
-
AnAndroidMalwareDetectionMethodBasedonChiSuaredTest
ꢀ ꢀ ꢀ ꢀ ꢀ ꢀ
ꢀ
ꢀ
- q
,
12
1
3
3
3
,
,
WANGZhihai
ꢀ
,
,
ZHAOXuan
ꢀ
LIU Yashu
ꢀ -
LIJin wei
ꢀ g-
WEN Wei in
ꢀ -
p g
ꢀ
ꢀ
-
ꢀ
ꢀ
ꢀ
ꢀ
(
,
,
,
Beiin Jiaoton Universit Beiin 100044
j g j g
1.SchoolofCom uterandInformationTechnolo
ꢀ ꢀ ꢀ ꢀ ꢀ
p gy
g
ꢀ
y
ꢀ
ꢀ
;
China 2.SchoolofElectricalandInformationEnineerin Beiin Universit ofCivilEnineerin
ꢀ ꢀ ꢀ g ꢀ g
j g g
,
g
ꢀ
ꢀ
y
ꢀ
ꢀ
ꢀ
,
,
;
andArchitecture Beiin 100044 China 3.SchoolofElectronicsEnineerin andCom uter
j g
ꢀ ꢀ ꢀ g
ꢀ
g
ꢀ
ꢀ
p
ꢀ
,
,
,
)
Science Pekin Universit Beiin 102600 China
j g
g
ꢀ
y
ꢀ
:
Abstract Theexlosive rowthofmobileterminalshas roducedendlessmaliciousa lications
ꢀ p ꢀg ꢀ ꢀ ꢀp ꢀpp
,
ꢀ
ꢀ
ꢀ
ꢀ
,
brin on reatharmtothesecurit ofusers' rivac and roert .Tosolvethis roblem a
ꢀg ꢀ ꢀ ꢀp p ꢀp
g
ꢀ
ꢀ
ꢀ
y
ꢀ
ꢀ
p
y
ꢀ
y
ꢀ
ꢀ
methodbasedonchisuaredtestandGiniim urit incrementwas roosedformorevaluable
ꢀ ꢀ ꢀ ꢀ ꢀ ꢀ p ꢀ ꢀp p ꢀ
ꢀ
-
q
y
ꢀ
ꢀ
ꢀ
,
featuresextractionandtheNaveBaesalorithmim rovement soastoim rovetheestimation
ꢀ y ꢀ g ꢀ p ꢀ ꢀ ꢀ p
ꢀ
ꢀ
ꢀ
ꢀ
ꢀ ꢀ
accurac of Android malevolencea lications.Testshowsthatthenew features rocessin
ꢀ ꢀpp ꢀ ꢀ ꢀ ꢀ ꢀp
g
y
ꢀ
ꢀ
ꢀ
,
methodcanim rovetheclassification erformanceofalorithms.Atthesametime theim roved
ꢀ ꢀ p ꢀ ꢀ ꢀp ꢀ ꢀ g ꢀ ꢀ ꢀ p
ꢀ
NaveBaesalorithmcanachievehiheraccurac thanbefore.
y
ꢀ y ꢀ g ꢀ ꢀ ꢀ g ꢀ ꢀ
ꢀ
:
;
;
Ke words malware Android Chisuaredtest NaveBaes
ꢀ y
;
-
q
ꢀ
y
ꢀ
[]
2
》
中显示
,
随着互联网行业的深入发展 移动互联网切实
告
年智能手机占所有移动网络感染
2017
,
其 中
ꢀꢀ
,
融入了日常生活工作中 但移动操作系统的开放生
的
手 机 感 染 率 高 达 到
68%.
72%
Android
,
态体系 使得终端安全和应用安全正遭受严峻考验
年由互联网应急中心捕获的移动系统平台上
.
2017
,
系统 开放性和数据的大规模流
,
万 余 个 同 比 增 长
特别对于
的恶意 程 序 样 本 数 量 为
Android
253
[]
1
,
23.4%
,
其 中 面 向
动带来了大量的数据信息隐私安全等问题
平 台 的 约 达
.
Android
[]
3
,
,
这些数据说明 目前
. Android
据统计
平台上恶意程序的数量 总 体
平台已成
Android
96.55%
《
,
为最主要的攻击对象 因此有效的恶意应用检测技
一直呈上 升 趋 势 诺 基 亚
.
年 度 威 胁 情 报 报
2017
:
收稿日期
20181018
- -
ꢀꢀ
ꢀꢀ
:
基金项目 国家重点研发计划资助项目
(
);
国家自然科学基金重点资助项目
( );
国家自然科学基金面上资助
U1736218
2018 Y FB0803604
(
)
项目
61672086
:
作者简介 刘亚姝
(
—),
, ,
女 博士生
E mailliuashu bucea.edu.cn.
:
1977
ꢀꢀ
ꢀꢀ
-
y
@
:
通信作者 王志海
(
1963
—),
, ,
男 教授
E mailzhhwan btu.edu.cn.
g@ j
:
-
:
刘亚姝等 基于卡方检验的
第
期
恶意应用检测方法
3
Android
291
ꢀ ꢀ
ꢀ
2
ꢀ
( )
ad bc N
-
2
术是非常必要的
.
( )
1
.
χ
=
(
a
)(
)(
)(
)
d
+
[]
4
杨欢等 提出了基于
b c d a c b
+
+
+
、
组件特征 函数
Android
:、、、
abcd
式中
代表的是两个分类特征属性类别两
,
调用特征以及系统调用类特征的 层混合算法 以
3
;
N
两组合统计四格表中 个格子中样本的频数
4
为
, ;
此建立最优的分类器 实现恶意行为的判定 曾立鹍
,
总次数 即
、、、
频数之和
abcd
.
[]
5
等
通过汇编代码获得组件信息和敏感
调用
API
、
签 名
“
一个式子中独立变量的数目称作该式的 自由
[]
6
,
;
图 并分 析 其 安 全 性 秦 中 元 等 利 用
API
,
签名生成多级签名
”,
,
四格表的自由度为 利用式
1
()
计算类别权限
1
度
、
Class
、
签名
签名
Method
APK
,
的卡方值 查找卡方临界值表 自由度为 时检验
.
水准通常用
关的概率为
1
;
并通过签名检测
应用是否含有恶意行为
Android
,
作为阈值 即两个特征属性之间相
0.05
[]
7
马锐等 提出基于粒子群优化算法的
应用
Android
,
将卡方值与临界值进行比较 若
95%.
,
检测方法 能够提高测试用例生成效率和自动化率
;
,
卡方值大于临界值 则认为二者相关性大于
,
95%
[]
8
等
应用
哈希函数 算 法 提 炼 字 符
DJB
Venuoal
gp
,
说明两个特征之间的联 系过高 可视 为冗 余特征
.
、 ,
串 形成特征码 通过 特征 码匹 配检 测应用 的恶意
,
为了去除关联性较高的冗余特征 本文采用基尼不
[]
9
;
、
通过权限信息 方法和类的信息构成
性
等
Zhen
g
纯度增量进行度量
.
综合特征码检测恶意应用
.
,
基尼指 数 是 一 种 数 据 不 纯 度 的 度 量 方 法 如
目前研究人员也陆续开发出一些
恶意
Android
是一个用来发现
漏洞的 项 目 但 是 它 仅 仅 警 告 可 能 存 在 的 漏
()
所示
2
式
.
[
]
10
,
应用检测工具 例如
t
.
Comdroid
2
( )
GiniD
( )
2
1
-
.
pi
=
,
∑
i 1
=
APP
[ ]
11
,
洞 并不 能 够 验 证 是 否 存 在 攻 击
;
DroidChecker
:
D
;
;
p
式中
为数据集 为类别总 数 表示类 别 为
t
i
i
( )
表示数据集
.GiniD
的样本占总数的概率
的基
D
特别之处 在 于 可 以 发 现
应 用 的
AdobePhotosho
ꢀ
p
[ ]
12
,
尼不纯度 与信息增益类似 可以定义如式
.
()
所示
3
;
;
Risk
-
漏洞
Ranker
时就可将其识别出来 从而避免恶意软件进入用户
是 个 多 层 监 测 系 统
ProfileDroid
[
]
13
:
的基尼不纯度的增量
能在存在风险行为的应用还在应用商店
( )
GiniA
( )
GiniD
( ) ( )
GiniD A . 3
-
Δ
=
-
,
[ ]
14
:
(
GiniD-A
)
为数据集
式中
确定
特征后的基
A
D
;
的手机
是一款
动态污点分
Taintdroid
Android
;
Δ
( )
为
GiniA
尼不纯度
特征对应的基尼不纯度的
A
,
析工具 但是目前仅能在
上使用
Dakvik
.
,
增量 该值越大表明 特征对结果影响越大
A
.
,
应用的安全问题 本
面对日益严重的
Android
,
因此 可以根据式
() ,
的结果筛选特征 去除基
3
文提出了一种基于卡方检验和基尼不纯度增量相结
, ,
尼不纯度增量较小的特征 选择增量较大的特征 因
, ;
合的特征预处理方法 能够选择更有效的特征 提出
,
为该特征对于结果的影响较大 将有助于分类检测
.
,
了基于卡方值加权属性改进的朴素贝叶斯算法 设
计并实现一种基于卡方检验的 恶意应用检
Android
改进的朴素贝叶斯算法
1.2
ꢀ
朴素贝叶斯模型是 一个有 监 督 学习 的分 类模
, 、
测工具 能够快速 有效地检测出恶意应用
.
,
型 其基本原理是根据贝叶斯公式计算样本类别的
,
后验概率 选择后验概率大的类别作为该样本的类
基本原理
1
ꢀ
别
贝叶斯分 类算法 非 常 适 合 用 来 过 滤 大 量 的 样
.
特征筛选
1.1
ꢀ
,
本 因为它一旦经过训练就可以相对较快地执行分
(
)
是一种统计量的分
卡方检验
Chisuaredtest
q
- ꢀ
、
类 计算开销较低
.
布在零假设成立时近似服从卡方分布的假设检验
.
( , ,…, ),
个 属 性
n
假设有
个 类 别
m
C C C
C
m
1
2
其根本思想是比较两个样本率和两个分 类变量的
( , ,…, ),
计算训练样本集中每个属性在各
X
n
X X X
1
2
,
关联性 因此 可以通过计算两个分类变量的卡方
.
,
个类别下的概率 即
(
P X C P X C
|
), (
i
),…, (
P X
|
n
|
1
2
i
,
值判断分类变量之间的关联性 卡方值越大 说明
.
),
简写为
C
i
(
P X C .
i
)
|
, ;
两个分类变量之间的联系越大 独立性越低 反之
,
则根据贝叶斯定理 属性属于每个样本的后验
,
则说明两个分类变量间的联系越小 独立性越高
.
,
概率 如式
()
所示
4
.
样本的两个特征在不同类别下的统计次数构成
( ) (
P C P X
i
)
C
|
i
(
P C
|
i
)
( )
4
X
.
=
,
卡方检验四格表 四格卡方公式如式
()
所示
1
( )
P X
.
相关下载
- 华为模块电源管理设计指导-(V100R001_02 Chi...
- 华为LGA模块PCB设计指导_V2.0_20150126.pdf
- HUAWEI Module USB Interface Descriptor Gui...
- HUAWEI ME909s-821 LTE LGA模块硬件指南V100R...
- HUAWEI ME909s-821 LTE LGA Module Acceptanc...
- HUAWEI 30 mm x 30 mm LGA Module Hardware M...
- HUAWEI 30 mm x 30 mm LGA Module Developmen...
- Altium_Designer_规则设置三例.pdf
- STM32F407产品技术培训-DSP库及其例程
- STM32F407产品技术培训-2.浮点单元.pdf
全部评论(0)