基于权限和API特征结合的Android恶意软件检测方法

随着Android操作系统的广泛应用,基于Android平台的应用程序的数量日益增长。如何有效地识别恶意软件,对保护手机的安全性至关重要。提出了基于权限和API特征结合的Android恶意软件检测方法,该方法通过反编译apk文件来提取权限特征和API特征,并将两者相结合作为一个整体的特征集合。在此基础上,采用分类算法进行恶意软件的甄别。实验结果表明,该方法的判别准确率高于权限集合或API集合单独作为特征的判别方法,从而能更加有效地检测Android恶意应用程序。     

基于敏感Native API的恶意软件检测方法

分析恶意软件传播与破坏的行为特征,包括进程、特权、内存操作、注册表、文件和网络等行为。这些行为通过调用相应的API函数来实现,为此,提出一种基于敏感Native API调用频率的恶意软件检测方法,采用Xen进行二次开发,设计对恶意软件透明的分析监测环境。实验结果表明,使用敏感Native API调用频率能够有效地检测多种未知恶意软件。     

Android恶意软件检测方法研究

针对Android恶意软件泛滥的局面,提出了一种基于行为的恶意软件动态检测的方法。首先,综合收集软件运行时的动态信息,包括软件运行时系统的信息和软件的内核调用信息,并将内核调用序列截断成定长短序列的形式。其次,将各方面信息统一为属性、属性值的形式。以信息增益作为指标,选用CA．5算法筛选出信息增益高、作用不重叠的属性,并依据信息增益的大小为各属性正比分配权重因子。最后,用K最近邻算法完成机器学习,识别出与样本类似的恶意软件,并将未知类型的软件标记为疑似恶意。实验结果表明,该方法识别率高、误报率低。通过增大学习样本库,识别的效果可以进一步提高。     

Android恶意软件检测方法研究综述

基于Android系统恶意软件检测的全流程,对比和分析了国内外的研究现状和进展,从样本获取的角度介绍了标准化数据样本的来源及作用,从特征选择的角度阐述了特征选择应遵循的原则;重点从检测方法的角度对比和分析了各种检测方法的优缺点,同时总结和归纳了特征数据集筛选方法以及实验结果评估方法。最后结合实际应用和需求,展望了未来Android恶意软件检测方法的研究和发展方向。     

基于非用户操作序列的恶意软件检测方法

针对Android恶意软件持续大幅增加的现状以及恶意软件检测能力不足这一问题,提出了一种基于非用户操作序列的静态检测方法。首先,通过对恶意软件进行逆向工程分析,提取出恶意软件的应用程序编程接口（API）调用信息;然后,采用广度优先遍历算法构建恶意软件的函数调用流程图;进而,从函数流程图中提取出其中的非用户操作序列形成恶意行为库;最后,采用编辑距离算法计算待检测样本与恶意行为库中的非用户操作序列的相似度进行恶意软件识别。在对360个恶意样本和300的正常样本进行的检测中,所提方法可达到90.8%的召回率和90.3%的正确率。与Android恶意软件检测系统Androguard相比,所提方法在恶意样本检测中召回率提高了30个百分点;与FlowDroid方法相比,所提方法在正常样本检测中准确率提高了11个百分点,在恶意样本检测中召回率提高了4.4个百分点。实验结果表明,所提方法提高了恶意软件检测的召回率,有效提升恶意软件的检测效果。     

Android恶意软件检测方法综述

Android系统是市场占有率最高的移动端操作系统,然而Android系统上的恶意应用种类和数量疯狂增长,对用户构成极大的威胁,因此对Android系统恶意软件检测方法的研究具有非常重要的意义.分析Android系统的安全机制,介绍Android恶意软件的分类,总结恶意软件的攻击技术,研究目前的检测方法,比较各类方法的...     

基于API函数及其参数相结合的恶意软件行为检测

提出了一个较灵活、可扩展的方法, 它是基于更细致的运行特征： API函数调用名、API函数的输入参数及两种特征的结合。抽取以上三类特征, 借助信息论中的熵, 定义了恶意代码信息增益值的概念, 并计算相应的API及其参数在区分恶意软件和良性软件时的信息增益值, 进而选择识别率高的特征以减少特征的数目从而减少分析时间。实验表明, 少量的特征选取和较高的识别率使得基于API函数与参数相结合的检测方法明显优于当前主流的基于API序列的识别算法。     

基于Android系统的恶意软件的分析

针对智能手机的迅速普及和Android系统的安全危机,本文主要对Android恶意软件进行了分析,从Android恶意软件在安装形式、激活方式,以及恶意负载的三个方面总结了恶意软件的特征,最后,提出了对Android平台安全发展的展望。     

MACSPMD:基于恶意API调用序列模式挖掘的恶意代码检测

基于动态分析的恶意代码检测方法由于能有效对抗恶意代码的多态和代码混淆技术,而且可以检测新的未知恶意代码等,因此得到了研究者的青睐。在这种情况下,恶意代码的编写者通过在恶意代码中嵌入大量反检测功能来逃避现有恶意代码动态检测方法的检测。针对该问题,提出了基于恶意API调用序列模式挖掘的恶意代码检测方法MACSPMD。首先,使用真机模拟恶意代码的实际运行环境来获取文件的动态API调用序列;其次,引入面向目标关联挖掘的概念,以挖掘出能够代表潜在恶意行为模式的恶意API调用序列模式;最后,将挖掘到的恶意API调用序列模式作为异常行为特征进行恶意代码的检测。基于真实数据集的实验结果表明,MACSPMD对未知和逃避型恶意代码进行检测的准确率分别达到了94.55%和97.73%,比其他基于API调用数据的恶意代码检测方法 的准确率分别提高了2.47%和2.66%,且挖掘过程消耗的时间更少。因此,MACSPMD能有效检测包括逃避型在内的已知和未知恶意代码。     

基于API和Permission的Android恶意软件静态检测方法研究

当前大量的Android恶意软件在后台收集用户的位置信息、通话记录、电话号码及短信等信息并将其上传至指定服务器,造成了难以估量的危害。为解决此问题,提出一种Android恶意软件静态检测方法。对收集到的训练集中的所有APK文件进行静态反编译,提取其中的静态信息;对静态信息中的API和Permission进行统计学分析,得到API和Permission在恶意APK和正常APK中的使用率;根据它们的使用率确定基准API和Permission集合,将每一个APK转换成可参与计算的关于API和Permission的特征向量;利用改进的k-NN分类器,对待检测的APK进行分类判定。实验结果表明,该方法可以有效地对APK进行恶意分类。     

基于模型库的安卓恶意软件检测方法

单一算法生成的识别器普适性不足,对不同种群安卓软件进行识别产生的效果不稳定.针对这种情况,提出一种基于模型库的安卓恶意软件检测方法.通过Python程序进行爬虫与权限提取工作,得到应用的权限信息;使用SMO按照应用的权限信息分类得到不同种群的数据;将应用的种群信息输入到模型库中,得到恶意检测结果,并根据结果对模型库进行...     

基于BHNB的细粒度的Android恶意应用检测模型

为进一步提高Android恶意应用的检测效率,提出一种基于BHNB(Bagging Hierarchical Na?ve Bayesian)的细粒度Android恶意应用检测模型。该模型首先对样本库中的应用进行类别划分,并分别对其进行动态分析,提取各个应用程序的行为信息作为特征;然后,采用层次朴素贝叶斯HNB(Hierarchical Na?ve Bayesian)分类算法对各类应用特征集合进行分别训练,从而构建出多个层次朴素贝叶斯分类器;最后,采用Bagging集成学习方法对构建出的多个层次朴素贝叶斯分类器进行集成学习,构建出基于层次朴素贝叶斯的Bagging集成学习分类器BHNB。实验结果表明,该模型能够有效检测出Android恶意应用,且检测效率较高。     

基于权限组合的Android窃取隐私恶意应用检测方法

在分析Android系统总共165个权限的基础上,提炼出30个理论上可以获取Android系统隐私资源的恶意权限组合。提出一种针对应用类别的基于恶意权限组合的恶意值、待测应用恶意权值、恶意阈值的窃取隐私恶意应用检测方法。通过实验验证了该方法的正确性和准确率,并在Android系统中得以实现。     

安卓恶意软件的计算机免疫检测模型

安卓系统因其开放性的特点导致恶意软件泛滥,现有方法多考虑静态或动态单方面特征,判别算法多依赖于学习样本,且准确率有一定的限制。为解决上述问题,提出结合安卓软件的静态权限特征与动态行为特征的计算机免疫恶意软件检测模型。结合静态权限特征与动态行为特征,构建安卓软件的特征体系,经预处理后映射为树突状细胞算法DCA(Dendritic Cell Algorithm)的各类信号,使用无需样本学习的轻量级算法DCA进行恶意软件检测。实验证明该模型可以有效检测恶意软件。     

基于关联特征的贝叶斯Android恶意程序检测技术

Android应用恶意性和它所申请的权限关系密切,针对目前恶意程序检测技术检出率不高,存在误报,缺乏对未知恶意程序检测等不足,为实现对Android平台恶意程序进行有效检测,提出了一种基于关联权限特征的静态检测方法。首先对获取的应用权限特征进行预处理,通过频繁模式挖掘算法构造关联特征集,然后采用冗余关联特征剔除算法对冗余关联特征进行精简,最后通过计算互信息来进行特征筛选,获得最具分类能力的独立特征空间,利用贝叶斯分类算法进行恶意程序的检测。实验结果证明,在贝叶斯分类之前对特征进行处理具有较强的有效性和可靠性,能够使Android恶意程序检出率稳定在92.1%,误报率为8.3%,检测准确率为93.7%。     

一种基于权限特征的Android恶意应用检测方法

针对Android手机应用程序存在的安全问题,对恶意应用的检测方法进行了深入研究,提出一种基于权限特征的Android恶意应用检测方法。方法中设计了一种挖掘权限频繁项集的算法——Droid FP-Growth。在构建权限关系特征库时,利用该算法挖掘样本集的权限频繁项集,获得检测规则。该算法仅需扫描两次样本集便可获得权限频繁项集,有效地提高了构建权限关系特征库的效率,同时也提高了检测的准确率。最终实验结果表明,方法对恶意应用的检测率达到81.2%,准确率达到83.6%,对比同类方法也一定优势。     

基于Android的远程心电检测系统

目前,心血管疾病等重大慢性疾病以年均15%的速度上升为主要疾病,成为严重的社会问题。针对市场对于移动化、便携化、远程化心电监护系统的需要,开发基于Android系统的心电检测系统。Android手机作为网关,通过蓝牙接收心电数据并发送至服务器,服务器HL7网关构造心电波形的HL7消息与医疗机构进行心电数据传输。结合医学信息传输标准HL7,探索Android手机在移动医疗领域的应用。     

基于权限统计的Android恶意应用检测算法

作为世界上最流行的移动操作系统,Android正面临着快速增长的恶意软件的威胁。如何快速高效地检测出Android恶意软件对保证用户手机安全具有十分重大的意义。从Android软件的权限出发,统计了4000多个恶意应用和2000多个正常应用的权限分布情况,依据特征权限在恶意应用和正常应用中的分布规律,设计了一种轻量级的快速检测方法 LWD(Light Weight Detection)。LWD根据特征权限在恶意应用中的使用频率和在正常应用中的使用频率的不同来定量分析特征权限恶意程度值,并以此计算每个样本的恶意程度值是否超过规定阈值来判断该样本是否属于恶意应用。实验结果表明,与市场上主流的杀毒软件相比,LWD方法具有较好的检测率。而且LWD是基于单一的权限特征对恶意软件进行检测,因此具有较高的时间效率。作为一种轻量级检测方法,LWD可以为更进一步深入检测恶意应用提供参考依据。