基于多类特征的Android应用恶意行为检测系统

目前针对未知的Android恶意应用可以采用数据挖掘算法进行检测,但使用单一数据挖掘算法无法充分发挥Android应用的多类行为特征在恶意代码检测上所起的不同作用.文中首次提出了一种综合考虑Android多类行为特征的三层混合系综算法THEA(Triple Hybrid Ensemble Algorithm)用于检测Android未知恶意应用.首先,采用动静态结合的方法提取可以反映Android应用恶意行为的组件、函数调用以及系统调用类特征;然后,针对上述3类特征设计了三层混合系综算法THEA,该算法通过构建适合3类特征的最优分类器来综合评判Android应用的恶意行为;最后,基于THEA实现了Android应用恶意行为检测工具Androdect,并对现实中的1126个恶意应用和2000个非恶意应用进行检测.实验结果表明,Androdect能够利用Android应用的多类行为特征有效检测Android未知恶意应用.并且与其它相关工作对比,Androdect在检测准确率和执行效率上表现更优.     

基于深度信念网络的Android恶意应用检测方法

传统的机器学习算法无法有效地从海量的行为特征中选择出有本质的行为特征来对未知的Android恶意应用进行检测。为了解决这个问题,提出DBNSel,一种基于深度信念网络模型的Android恶意应用检测方法。为了实现该方法,首先通过静态分析方法从Android应用中提取5类不同的属性。其次,建立深度信念网络模型从提取到的属性中进行选择和学习。最后,使用学习到的属性来对未知类型的Android恶意应用进行检测。在实验阶段,使用一个由3 986个Android正常应用和3 986个Android恶意应用组成的数据集来验证DBNSel的有效性。实验结果表明,DBNSel的检测结果要优于其他几种已有的检测方法,并可以达到99.4%的检测准确率。此外,DBNSel具有较低的运行开销,可以适应于更大规模的真实环境下的Android恶意应用检测。     

行为特征值序列匹配检测Android恶意应用

针对Android恶意代码的混淆、隐藏、加密情况以及现有方法的检测能力不足问题,提出了一种基于恶意应用行为特征值序列的动态检测方法。首先利用远程注入技术将动态检测的模块注入到Android系统的Zygote进程中,执行内联挂钩来监测应用中的重要函数。然后,通过函数监听得到Android应用的重要行为;进而,按照行为的特征将其量化为特征值,再按照时间顺序将行为特征值排为序列,得到行为特征值序列。通过利用支持向量机来训练5 560个恶意样本,得到恶意应用家族的行为特征值序列;最后利用此序列与被检测应用的序列进行相似度比较,判断应用是否为恶意应用。在恶意应用动态检测方面的正确率可达到95.1%,以及只增加被检测的应用21.9 KB内存。实验结果表明,所提方法能够正常检测经过代码混淆、代码加密、代码隐藏的恶意应用,提高了恶意应用检测的正确率,所占内存空间减少,有效提升检测效果。     

基于日志分析的Android系统恶意行为检测

针对Android平台恶意软件泛滥的问题,提出一种基于日志分析的Android系统的恶意行为检测模型。模型采用进程守护和广播监听的方式收集日志信息并通过Boyer-Moore算法匹配、识别恶意行为。以Android 4.0平台为测试环境进行软件行为检测,实验结果表明,该检测模型能够检测出90.0%的恶意行为,证明模型对Android系统恶意行为检测的有效性和可行性。     

基于N-gram的Android恶意检测

随着Android系统的广泛应用,Android平台下的恶意应用层出不穷,并且恶意应用躲避现有检测工具的手段也越来越复杂,亟需更有效的检测技术来分析恶意行为。文中提出并设计了一种基于N-gram的静态恶意检测模型,该模型通过逆向手段反编译Android APK文件,利用N-gram技术在字节码上提取特征,以此避免传统检测中专家知识的依赖。同时,该模型使用深度置信网络,能够快速而准确地学习训练。通过对1267个恶意样本和1200个善意样本进行测试,结果显示模型整体的检测准确率最高可以达到98.34%。实验进一步比较了该模型和其他算法的检测结果,并对比了相关工作的检测效果,结果表明该模型有更好的准确率和鲁棒性。     

一种基于组合事件行为触发的Android恶意行为检测方法

当前Android恶意应用程序在传播环节缺乏有效的识别手段,对此提出了一种基于自动化测试技术和动态分析技术的Android恶意行为检测方法。 通过自动化测试技术触发Android应用程序的行为,同时构建虚拟的沙箱监控这些行为。设计了一种组合事件行为触发模型——DroidRunner,提高了Android应用程序的代码覆盖率、恶意行为的触发率以及Android恶意应用的检测率。经过实际部署测试,该方法对未知恶意应用具有较高的检测率,能帮助用户发现和分析未知恶意应用。     

基于权限统计的Android恶意应用检测算法

作为世界上最流行的移动操作系统,Android正面临着快速增长的恶意软件的威胁。如何快速高效地检测出Android恶意软件对保证用户手机安全具有十分重大的意义。从Android软件的权限出发,统计了4000多个恶意应用和2000多个正常应用的权限分布情况,依据特征权限在恶意应用和正常应用中的分布规律,设计了一种轻量级的快速检测方法 LWD(Light Weight Detection)。LWD根据特征权限在恶意应用中的使用频率和在正常应用中的使用频率的不同来定量分析特征权限恶意程度值,并以此计算每个样本的恶意程度值是否超过规定阈值来判断该样本是否属于恶意应用。实验结果表明,与市场上主流的杀毒软件相比,LWD方法具有较好的检测率。而且LWD是基于单一的权限特征对恶意软件进行检测,因此具有较高的时间效率。作为一种轻量级检测方法,LWD可以为更进一步深入检测恶意应用提供参考依据。     

基于贝叶斯网络的Android恶意行为检测方法

Android操作系统是市场占有率最高的移动操作系统,基于Android平台的恶意软件也呈现爆发式的增长,而目前仍然没有有效的手段进行Android恶意行为的检测,通过分析Android恶意行为的特点,采用基于贝叶斯网络的机器学习算法进行Android恶意行为的检测,通过静态分析的方法进行Android文件静态特征的提取,将Android恶意应用的静态分析与贝叶斯网络相结合,最后通过使用提出的方法构建贝叶斯网络模型,通过实验验证了提出的Android恶意行为检测模型的有效性。     

AnDa：恶意代码动态分析系统

近年来,移动终端崛起迅速,其功能已扩展到商务应用等领域,与用户的隐私、财产等信息关系紧密。静态监控已无法满足人们对应用软件安全使用的需求,采用动态监控沙盒分析可以实时监控应用程序,具有速度快、准确性好、安全性高、可行性强的特性。针对Android平台下恶意软件在后台获取用户隐私信息,如获取用户数据并发送到网络端、拦截和窥探用户电话和短信等问题,提出一套采用动态检测沙盒分析技术记录Android恶意软件敏感行为的方案及系统--AnDa,详细描述了该系统总体设计和关键技术,实现了对访问电话、短信、位置信息、手机SIM卡信息等行为的实时监控,并在虚拟机和实体机上测试了AnDa系统。该作品采用动态监控沙盒分析技术,实现了在Android平台下软件动态监控和行为分析,并且实现了对Android框架层API的Java Method Hook和常见的恶意软件特征的有效监控。它可以在Android 4.0以上的设备上使用,可以根据监控到的应用软件恶意行为信息,判定所属恶意软件的类型,使得更加迅速发现新型病毒和更加隐蔽的病毒模型,从而更好地保护手机以及个人重要的数据,极大地提高了安全性。     

基于可解释性的Android恶意软件检测

针对Android恶意软件检测, 通常仅有检测结果缺乏对其检测结果的可解释性. 基于此, 从可解释性的角度分析Android恶意软件检测, 综合利用多层感知机和注意力机制提出一种可解释性的Android恶意软件检测方法(multilayer perceptron attention-method, MLP_At). 通过提取Android恶意软件的应用权限和应用程序接口(application programming interface, API)特征来进行数据预处理生成特征信息, 采用多层感知机对特征学习. 最后, 利用BP算法对学习到的数据进行分类识别. 在多层感知机中引入注意力机制, 以捕获敏感特征, 根据敏感特征生成描述来解释应用的核心恶意行为. 实验结果表明所提方法能有效检测恶意软件, 与SVM、RF、XGBoost相比准确率分别提高了3.65%、3.70%和2.93%, 并能准确地揭示软件的恶意行为. 此外, 该方法还可以解释样本被错误分类的原因.     

基于SVM的Android应用程序安全检测综述

当前基于SVM的Android应用程序安全检测技术主要是通过将SVM算法与动静态分析方法相结合,应用于Android应用程序的漏洞和恶意软件的检测中,而恶意软件的检测又可分为恶意行为的检测和恶意代码的检测。故本文按SVM算法应用到的检测领域分类,分别对其应用于Android应用程序中的恶意行为检测、恶意代码检测和漏洞检测方面的研究进行分析与讨论,并总结了当前该领域中仍然存在的一些问题,给出了SVM算法和其应用于Android安全检测中的改进之处,最后对未来的发展进行了展望。     

基于权限分析的 Android 应用程序检测系统

Android 系统在应用程序安装时仅给予粗略的权限提示界面,此界面不仅权限条目不全,而且解释异常粗略,普通用户完全看不懂,但基于使用需要,只能盲目确定授权。市面上的一些例如手机金山卫士,腾讯手机管家等管理软件,对于应用权限信息的查询要么权限条目远少于实际申请,要么权限解释一样粗略难懂,要么干脆就是直接调用 Android 系统 settings 下的粗略权限列表。〈br〉 通过研究 Android 的安全机制,在分析了上述现象可能导致的潜在安全隐患的基础上,文章设计开发了一种结合电脑端和手机端,能够对未安装的 APK 文件和已安装的 APP 应用程序进行深入权限检测系统。此系统可以检测出应用软件所申请的精确的权限个数和详细的权限列表,并通过建立数据库的方法给每条权限以及可能引起的安全问题辅以详尽、易懂的说明,使无专业知识的普通用户也可以弄懂所申请权限的作用,提高应用程序使用者的安全意识。此外,此系统还能提供用户针对某条敏感权限进行应用筛选,即列出手机内使用该敏感权限的所有应用,协助用户排查恶意软件,保护系统安全。〈br〉 针对 Android 平台开放性带来的用户隐私泄露和财产损失的问题,文章通过对 Android 安全机制的分析,给出了一种在电脑端和手机端的基于权限分析的 Android 应用程序检测系统。该系统能检测出各种应用的权限信息,也能检测出具有某条敏感权限的所有应用程序,为用户提供再判断的机会,可以更全面的保障用户信息和财产安全。     

Andriod平台病毒危害及其预防

随着Android智能手机技术的飞速发展,应用群体的不断扩大,而由于应用商店管理的不规范,导致众多的第三方应用商店出现病毒泛滥的情况,让Android这一开源系统变得十分脆弱.通过反编译分析Andriod平台,发现存在恶意删除安全软件、后台私发短信、私自联网而下发恶意指令等不安全行为,并提出了一些解决手机安全的对策,对Andriod平台用户有很大的指导意义.     

Android恶意软件特征研究

智能手机的广泛应用导致手机恶意软件的数量急速增加,尤其是近几年,基于Android操作系统的手机在智能手机市场占据主导地位,针对Android系统的恶意软件数量快速增加。手机恶意软件主要收集手机用户地理位置、语音通信、短信等个人隐私信息,或进行恶意扣费、耗费系统资源等行为,给用户自身和手机系统带来很大危害。准确分析恶意软件行为特征可以为后续清除恶意软件提供有力依据。传统的恶意软件分析技术主要包括静态分析与动态分析,文中介绍了当前存在的一些手机恶意软件分析检测技术及其缺陷,并从安装、激活、恶意负载三方面对已知Android恶意软件主要行为特征进行详细分析。     

基于Android的隐私数据安全保护系统

随着移动互联网的快速发展,移动支付、移动办公融入人们生活,商业机密、个人隐私等敏感信息保护变得至关重要。然而主流的移动平台Android系统却频频发生各种信息泄露、恶意篡改、系统破坏等恶意行为。为了弥补Android系统在隐私数据保护上存在的不足,文章设计了一种基于Android安全策略的手机隐私数据安全保护方案,并实现了本地隐私数据及远程隐私数据的保护机制。该系统可以有效保护用户的隐私数据安全,给用户提供了一个安全的手机环境。     

Android用户隐私保护系统

随着移动互联网的快速发展,手机作为移动互联的重要终端其所受的安全威胁已不亚于传统PC。文章针对目前手机用户的隐私信息(如通讯信息、短信息、通话记录、相册、文件等)泄露这一用户最为关心的问题,在目前主流的手机操作系统Android OS下设计并实现一个用户隐私保护系统。其主要研究和解决Android系统下的恶意进程识别和隐私数据加密两个问题,通过设计黑白名单授权访问隐私数据和实时监控每个进程以及用AES、MD5等算法加密隐私数据,从而达到保护用户隐私的目的。     

基于沙盒的Android恶意软件动态分析方案

智能手机的普及极大地刺激了恶意软件的广泛传播,Android平台因其巨大的市场占有率和开源特性,已成为攻击者首选的攻击目标。针对传统的基于签名的反病毒软件仅能检测已知恶意软件的缺点,文章提出基于沙盒的Android恶意软件动态分析方案,用于有效地分析未知恶意软件的行为。文章通过在虚拟化软件Oracle VM VirtualBox中安装Android x86虚拟机的方式来实现Android沙盒,利用VirtualBox提供的命令行工具来控制Android沙盒。Android应用程序通过调用相应系统API来完成对应的行为,文中方案通过在应用程序包中插入API监视代码的方法监测Android应用程序调用的系统API,并通过脚本程序向Android沙盒发送不同的用户事件流来模拟用户对应用程序的真实操作,控制Android应用程序在沙盒中自动运行,实验证明文中提出的方法切实可行。     

Android平台数据安全保密机制探析

Android操作系统数据安全是为数据处理系统建立技术和管理安全保护,保护用户的数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。为了更好地保护Android手机用户的信息安全,可以通过动态安全口令认证、SQLite数据库安全设计机制、使用密钥将明文转化成密文等方式来实现。     

Android恶意软件的多特征协作决策检测方法

由于智能手机使用率持续上升促使移动恶意软件在规模和复杂性方面发展更加迅速。作为免费和开源的系统,目前Android已经超越其他移动平台成为最流行的操作系统,使得针对Android平台的恶意软件数量也显著增加。针对Android平台应用软件安全问题,提出了一种基于多特征协作决策的Android恶意软件检测方法,该方法主要通过对Android 应用程序进行分析、提取特征属性以及根据机器学习模型和分类算法判断其是否为恶意软件。通过实验表明,使用该方法对Android应用软件数据集进行分类后,相比其他分类器或算法分类的结果,其各项评估指标均大幅提高。因此,提出的基于多特征协作决策的方式来对Android恶意软件进行检测的方法可以有效地用于对未知应用的恶意性进行检测,避免恶意应用对用户所造成的损害等。