基于深度学习的Android恶意软件检测:成果与挑战

随着Android应用的广泛使用,Android恶意软件数量迅速增长,对用户的财产、隐私等造成的安全威胁越来越严重。近年来基于深度学习的Android恶意软件检测成为了当前安全领域的研究热点。该文分别从数据采集、应用特征、网络结构、效果检测4个方面,对该研究方向已有的学术成果进行了分析与总结,讨论了它们的局限性与所面临的挑战,并就该方向未来的研究重点进行了展望。     

Android恶意软件检测方法分析

文章首先就Android恶意软件的安装和触发特点进行分析,通过分析Android平台中的恶意行为,制定了Android恶意代码检测方案。结合Android平台的特点,分析了现有的恶意软件检测行为,并指出了现有Android恶意软件检测方法的不足和未来发展趋势。     

基于改进贝叶斯分类的Android恶意软件检测

针对Android手机安全受恶意软件威胁越来越严重这一问题,提出一种改进的Android恶意软件检测算法。监控从Android移动设备应用程序获取的多种行为特征值,应用机器学习技术,通过与卡方检验滤波测试结合的方式改进传统的朴素贝叶斯算法,检测Android系统中的恶意软件。通过实验仿真,结果表明在采取朴素贝叶斯分类模型之前,使用卡方检验过滤应用程序的行为特征,可以使基于Android的恶意软件检测技术拥有较低的误报率和较高的精度。     

Android平台恶意软件的静态行业检测

采用静态行为检测的方法检测Android平台的恶意软件,避免手机恶意软件可能导致用户隐私的泄露、电池耗尽和发送垃圾短信造成的高额话费开支.通过静态分析ELF(executable and linkable format,可执行可链接)文件的符号信息,从动态链接重定位表中提取Android程序的函数调用信息,作为程序的行为特征.最后,使用Nearest Neighbor,Naive Bayes和SMO(结构化查询语言管理对象)3种分类模型对样本进行了分类.分类结果表明,采用静态ELF文件分析的方法,可以有效地检测Android恶意软件.     

基于机器学习动静态检测模型的恶意软件检测系统设计与实现

文章主要介绍了基于动静态检测模型的恶意软件检测系统的设计内容和实现策略。该系统主要由客户端、系统缓存以及恶意软件检测服务器构成,支持数据上传、数据处理和结果展示等功能。对于用户上传的文件,恶意软件检测系统首先判断文件格式、大小等是否符合规定,在确认符合规定后根据文件名提取静态或动态特征,然后使用基于机器学习的静态分析模型和基于深度学习的动态分析模型,对提取到的特征信息进行处理,根据处理结果预测恶意软件。系统设计人员使用Flask开发工具搭建系统框架并展开测试,结果表明文件上传检测和恶意软件检测功能均可正常实现,达到了设计预期。     

基于多维度特征的Android恶意软件检测方法

随着Android操作系统的不断普及与快速发展,Android恶意软件与检测工具之间的对抗也愈发激烈.如何高效、准确地识别Android恶意软件对用户的隐私保护及设备安全至关重要.针对以往文献的不足,提出了一种基于多维度特征的Android恶意软件检测方案.该方案通过对Android应用软件包进行反编译,提取应用的权限...     

基于组合式算法的Android恶意软件检测方法

为解决当前恶意软件静态检测方法中适用面较窄、实用性较低的问题,通过组合式算法筛选出最优分类器,并以此为基础实现了一个检测系统。首先使用逆向工程技术提取软件的特征库,并通过多段筛选得到分类器的初步结果。提出了一种基于最小风险贝叶斯的分类器评价标准,并以此为核心,通过对初步结果赋权值的方式得到最优分类器结果。最后以最优结果为核心实现了一个Android恶意软件检测系统原型。实验结果表明,该检测系统的分析精度为86.4%,并且不依赖于恶意代码的特征。     

移动计算环境下恶意软件静态检测系统设计

移动终端在互联网中下载到恶意软件的几率非常高,这对用户信息私密性造成了严重的威胁,但科研组织曾研究出的恶意软件检测系统往往误报率过高、实用性不强。为此,设计移动计算环境下恶意软件静态检测系统,其由特性提取与预处理模块和移动计算终端组成。特性提取与预处理模块根据静态检测特性数据库中的恶意软件标志特性,对用户移动终端软件的安装包特性、资源特性和编译特性进行提取,并使用静态检测函数对提取出的特性进行预处理,给出恶意与非恶意软件的特性分类结果。系统通过移动计算终端对特性分类结果中的恶意软件特性进行位置检测,隔离出用户移动终端中的恶意软件,防止恶意软件继续入侵。经实验分析可知,所设计的系统误报率较低、实用性较强。     

基于动态监控的Android恶意软件检测方法

Android平台是当今最热门的移动终端平台,但其平台开放性特点使得Android恶意软件数量众多,成为移动安全的重灾区。文中针对Android平台的恶意应用的行为进行检测分析,研究基于动态监控的异常检测技术,提出了一种基于应用行为动态监控的检测方法。测试结果表明,该方法能够有效识别恶意软件,标注出其恶意行为。适用于Android移动智能终端安全防护的需要。     

基于混合特征的Android恶意软件静态检测

当前智能手机市场中,Android占有很大的市场份额,又因其他的开源,基于Android系统的智能手机很容易成为攻击者的首选目标。随着对Android恶意软件的快速增长,Android手机用户迫切需要保护自己手机安全的解决方案。为此,对多款Android恶意软件进行静态分析,得出Android恶意软件中存在危险API列表、危险系统调用列表和权限列表,并将这些列表合并,组成Android应用的混合特征集。应用混合特征集,结合主成分分析(PCA)和支持向量机(SVM),建立Android恶意软件的静态检测模型。利用此模型实现仿真实验,实验结果表明,该方法能够快速检测Android应用中恶意软件,且不用运行软件,检测准确率较高。     

基于权限频繁模式挖掘算法的Android恶意应用检测方法

Android应用所申请的各个权限可以有效反映出应用程序的行为模式,而一个恶意行为的产生需要多个权限的配合,所以通过挖掘权限之间的关联性可以有效检测未知的恶意应用。以往研究者大多关注单一权限的统计特性,很少研究权限之间关联性的统计特性。因此,为有效检测Android平台未知的恶意应用,提出了一种基于权限频繁模式挖掘算法的Android恶意应用检测方法,设计了能够挖掘权限之间关联性的权限频繁模式挖掘算法—PApriori。基于该算法对49个恶意应用家族进行权限频繁模式发现,得到极大频繁权限项集,从而构造出权限关系特征库来检测未知的恶意应用。最后,通过实验验证了该方法的有效性和正确性,实验结果表明所提出的方法与其他相关工作对比效果更优。     

Android malware detection method based on SimHash

A new similarity detection scheme based on hierarchical SimHash algorithm was proposed.The scheme extractd contents from different aspects to represent the APK file,then used the improved SimHash to respectively represent the file.The scheme analyzed the APK file by extracting the AndroidManifest.xml file in it,the sum of the Smali code from the decompilation of dex file,instructions extracted in Smali files,Java code set,and instructions extracted in Java code files.Through the study of Voted Perceptron voting algorithm,the scheme used trust weight method,by valuating a trust weight in every layer,then combined all the result with weight in every layer as a resule of scheme,the result can be more reasonable and more convincing.     

Android malware detection based on improved random forest

Aiming at the defect of vote principle in random forest algorithm which is incapable of distinguishing the differences between strong classifier and weak classifier,a weighted voting improved method was proposed,and an improved random forest classification (IRFCM) was proposed to detect Android malware on the basis of this method.The IRFCM chose Permission information and Intent information as attribute features from AndroidManifest.xml files and optimized them,then applied the model to classify the final feature vectors.The experimental results in Weka environment show that IRFCM has better classification accuracy and classification efficiency.     

Android malware detection based on APK signature information feedback

A new malware detection method based on APK signature of information feedback (SigFeedback) was proposed.Based on SVM classification algorithm,the method of eigenvalue extraction adoped heuristic rule learning to sig APK information verify screening,and it also implemented the heuristic feedback,from which achieved the purpose of more accurate detection of malicious software.SigFeedback detection algorithm enjoyed the advantage of the high detection rate and low false positive rate.Finally the experiment show that the SigFeedback algorithm has high efficiency,making the rate of false positive from 13% down to 3%.     

基于机器学习算法的网络入侵检测

网络入侵的频率越来越高,严重危害了网络安全。为了获得高正确率的网络入侵检测结果,针对当前网络入侵检测模型的局限性,提出基于机器学习算法的网络入侵检测模型,通过机器学习算法中性能优异的支持向量机构建"一对一"的网络入侵检测分类器,采用当前标准网络入侵检测数据库对模型的有效性进行验证,网络入侵检测正确率高达95%以上,检测误差远远低于实际应用范围,可以应用于实际的网络安全管理中。     

Android恶意软件无感植入技术的研究与防范

随着Android系统的推广,Android恶意软件造成的危害也越来越大,而当前对恶意植入的研究缺乏全面性和独立性。该文对Android系统恶意软件植入进行了研究,明确提出了无感植入概念,并构建了无感植入模型;其次,实现了基于Web View漏洞的无感植入,并以此为例说明了无感植入的危害性;最后提出了相关的防范建议,以期降低无感植入给用户带来的各种安全威胁。     

改进布谷鸟算法优化极限学习机的网络入侵检测

为了保证网络的安全,针对极限学习机在网络入侵检测过程中参数优化的难题,提出一种改进布谷鸟搜索算法优化极限学习机的网络入侵检测模型。首先将极限学习机参数编码为布谷鸟巢位置,并以网络入侵检测正确率作为ELM参数优化目标,然后通过模拟布谷鸟繁育行为找到极限学习机的最优参数,建立网络入侵检测分类器,最后在Matlab 2012平台上采用KDD99数据集进行仿真实验。结果表明,MCS-ELM提高了网络入侵检测正确率,可以满足网络入侵检测在线检测要求。     

新的基于机器学习的入侵检测方法

提出了一种基于机器学习的用户行为异常检测方法,主要用于UNIX平台上以shell命令为审计数据的入侵检测系统。该方法在LaneT等人提出的检测方法的基础上,改进了对用户行为模式和行为轮廓的表示方式,在检测中以行为模式所对应的命令序列为单位进行相似度赋值;在对相似度流进行平滑时,引入了“可变窗长度”的概念,并联合采用多个判决门限对被监测用户的行为进行判决。实验表明,该方法在检测准确度和实时性上均优于LaneT等人提出的方法。