推荐星级:
- 1
- 2
- 3
- 4
- 5
Android恶意软件静态检测模型
资料介绍
为解决Android恶意应用泛滥的问题,提出一种Android恶意应用静态检测模型。模型选取AndroidManifest.xml文件中3个标签项属性值作为特征属性,采用信息增益(IG)算法对特征属性进行优化选择,根据优化结果生成对应特征向量集合。最后,应用知识分析Waikato环境(WEKA)的4种机器学习分类算法对特征向量集合进行检测和分类。实验结果表明,本文提出的静态检测模型具有较好的检测分类效果。
部分文件列表
| 文件名 | 大小 |
| Android恶意软件静态检测模型.pdf | 2M |
部分页面预览
(完整内容请下载后查看)第
卷
第
期
2
(
)
48
吉 林 大 学 学 报 工 学 版
Vol.48 No.2
Mar.2018
年
月
(
)
2018 3
JournalofJilinUniversit EnineerinandTechnolo Edition
y g g
gy
恶意软件静态检测模型
Android
,
杨宏宇 徐 晋
(
,
)
300300
中国民航大学 计算机科学与技术学院 天津
:
,
。
恶意应用静态检测模型 模
摘
要 为解决
恶意应用泛滥的问题 提出一种
Android
Android
,
( )
算
IG
型选取
法对特征属性进行优化选择 根据优化结果生成对应特征向量集合 最后 应 用 知 识 分 析
文件中 个标签项属性值作为特征属性 采用信息增益
AndroidManifest.xml 3
,
。
,
(
)
。
环境 种机器学习分类算法对特征向量集合进行检测和分类 实验结果
Waikato WEKA 4
的
,
。
表明 本文提出的静态检测模型具有较好的检测分类效果
:
;
;
; ; ;
关键词 计算机应用
恶意软件 静态检测 属性 分类
Android
:
TP309
:
A
: ( )
文章编号
1671-5497201802-0564-07
中图分类号
文献标识码
: /
DOI10.13229 .cnki.dxbxb20161422
j j g
AnAndroidmalwarestaticdetectionmodel
,
YANGHon-uXUJin
gy
(
,
,
, )
Schoolo Com uterScienceandTechnolo CivilAviationUniversit o China Tianin300300China
f
p
gy y f
j
:
,
AbstractInordertosolvetheroblemofAndroidmalwaresreadin thisaerroosesanAndroid
p g pp pp
p
,
malwarestaticdetectionmodel.First theattributevalueofthreelabelitemsisselectedin
,
( )
AndroidManifest.xmlfileasthefeatureattribute.SecondtheInformationGainalorithm IG is
g
,
usedtootimizethefeatureattributethenacorresondinfeaturevectorsetiseneratedaccordin
p g g
p
g
,
totheotimizationresults.Finall fourkindsofmachinelearnin classificationalorithmsin
p
y
g
g
( )
WaikatoEnvironmentforKnowledeAnalsis WEKA areusedtodetectandclassifthefeature
g y
y
vectorset.Exerimentresultsdemonstratethatthe roosedstaticdetectionmethodhasbetter
p
pp
detectionandclassificationerformance.
p
:
;
;
;
;
;
Ke wordscomuteralicationAndroid malwarestaticdetectionattributeclassification
p pp
y
。
均每天新增恶意软件达
万个 恶意软
3.8 Android
引 言
0
,
件的泛滥给用户带来了众多危害 使得
安
Android
,
Android
,
全成为信息安全研究的热点之一 所以研究
Android
随着智能手机的不断发展
系统逐渐占
。 ,
据了全球手机操作系统大部分的市场份额 然而
。
恶意软件分类检测方法迫在眉睫
静态检测是 恶意软件检测中常用的
系统的盛行也使它成为了恶意软件最大的
Android
Android
。
360
《
2016
。 []
2
发展平台
公司发布的
年中国手机安全
检测方法 文献 提出一种基于权限相关性的
[]
1
》 ,
状况报告 显示
,
恶意软件检测方案 实现了对恶意软件
互联网安全中心
年全年
360
2016
Android
,
万个 平
。 []
使用
3 Android
共截获
平台新增恶意软件
的初步快速检测 文献
权限信
Android
1403.3
:
收稿日期
2016-12-30.
:
(
);
中国民航科技基金项目
(
, )
基金项目 国家科技重大专项项目
2012ZX03002002
MHRD201009MHRD201205.
: ( ), , ,
:
:
作者简介 杨宏宇 男 教授 博士 研究方向 网络信息安全
1969
.
.E-mail hxlx@hotmail.com
yy
· ·
565
, :
杨宏宇 等
第
期
恶意软件静态检测模型
2
Android
,
,
息作为特征并进行优化选择 创建基于改进朴素
表
中 前 个信息项的标签属性为文本类
1 3
贝叶斯的恶意应用分 类器并取得较好的分类效
,
。
型 后两个信息项的属性为数值型 为了便于提
。 []
文 献 提 出 一 种 基 于 支 持 向 量 机 的
果
4
,
,
取属性值 本文选取前 个信息项作为属性集合
3
,
恶意软件检测方案 利用危险权限组合
Android
、
即
<uses-ermission> <intent-filter><action
p
,
和脆弱性
调用作为特征属性并建立分类器
API
。 ,
其 中 程 序
和
> <intent-filter><cateor>
gy
。 []
自动区分恶意软件和良性软件 文献 提出一
5
,
在运行时会使用各种权限 这些权限需要提前在
文 件 的 中 进 行 配
,
种基于对比权限模式的恶意软件检测方法 利用
关联规则挖掘算法对 应用程序进行频繁项集挖
Manifest
<uses-ermission>
p
;
Intent
置
组件是
应用间通信的一个关
Android
,
掘 提取出恶意软件与正常软件在权限模式使用
,
键组件
用于描述
组件的
Intent
<intent-filter>
,
上的区别规则 并在此基础上建立组合分类器用
, ( )、 (
) ,
等 分
各种属性 如动作
类型
cateor
gy
action
。 , [,]
恶意软件检测 其中 文献 只针
于
对
Android
Android
23
别对应于
标签项中的
<action>
<intent-filter>
,
应用的权限信息进行检测分析 检测
。
标签 这两类标签项中配置的属
和
<cateor>
gy
; [,]
。
综
范围不够全面 文献 检测精度都不够高
45
性值显示了应用程序在运行中所申请的权限信息
,
上所述 目前的检测研究成果在检测精度和检测
。
以及与其他应用程序或系统资源间的交互信息
上述 个标签项的属性值能够有效反映出应用程
。
效率方面还存在诸多不足
3
本文提出一种
恶意软件静态检测模
Android
,
序在运行过程中可能进行的操作 因此本文选取
,
型 对
应用程序安装包文件进行逆向处
文件中的三种标
Android
。
,
理 提取
这
个标签项中的属性值作为特征属性
3
AndroidManifest.xml
,
签项的属性值作为特征属性 采用信息增益算法
静态检测模型
[,]对特征属性进行优化
2
67
(
, )
InformationainIG
g
,
。
应用进行检测分类
选择 建立分类器对
Android
检测模型
2.1
,
实验结果表明 本文方法可有效提高
恶
Android
。
静态检测模型结构如图 所示 该模型主要
1
。
意软件检测效率
、
、
、
包括逆向处理 特征提取 生成特征向量 特征属
。
性优化和检测分类等过程 模型处理过程设计如
特征属性选择
1
:
下
(
文 件 以 下 简 称
AndroidManifest.xml
()
反编译样本集中的
,
安装包文件
Android
1
)
文件 是每一个
应用程序中必
Manifest
Android
。
生成对应
文件
AndroidManifest.xml
,
不可少的组成部分 必须在该文件中声明应用程
()
分别对
文件 中 的
2
AndroidManifest.xml
、
、
序的名称 应用程序运行时所需申请的权限和各
标签 项
<uses-ermission> <intent-filter><
p
,
类组件的信息等 上述信息相当于应用程序的配
和
进 行 属
action> <intent-filter><cateor>
gy
。
,
文件中有许多标签项 例如
<
置信息
Manifest
,
性值提取 并根据所提取出的属性值统计每个属
、
、
,
等
uses-sdk> <ermission> <alication>
p
pp
,
性值出现的次数并排序 将使用频率高的属性值
文件通过给各标签项添加相应属性值实
Manifest
。
组合成为特征集合
()
。
现对应用程序的配置
表
列出了
组
1 5 Manifest
。
根据特征集合对比与每个
安装
文件中常用于恶意软件静态检测的标签项
3
Android
包文件提取出的属性值 生成相应特征向量集合
()
表
静态检测常用标签项
1
,
。
Table1 Labelsoftenusedinstaticdetection
标签项
使用属性特征优化算法对特征属性进行
4
类
型
,
优化选择 对生成的特征向量集合进行特征属性
文本型
文本型
文本型
数值型
数值型
<uses-ermission>
p
,
优化排序 根据排序结果选取更具有代表性的特
<intent-filter><action>
。
征属性并生成优化特征向量集合
()
<intent-filter><cateor>
gy
将经过优化的特征向量集合分为训练集
5
<intent-filter><riorit>
p y
,
和测试集 使用机器学习分类算法对训练集进行
重定义的
数
ermission
p
,
。
训练 并对测试集进行检测分类
全部评论(0)