基于动静结合的Android恶意代码行为相似性检测

一种Android应用程序恶意代码检测方法摘要：本文结合静态分析和动态分析提出一种恶意代码检测系统设计与实现。

静态分析模块中利用静态逆向分析技术，通过对敏感API函数的查找与统计、敏感信息数据流的跟踪实现恶意行为的检测。

动态分析模块中通过对系统日志的分析，对运行中的软件进行跟踪，记录运行过程中产生的各种敏感性行为，最终结合静态分析与动态分析产生的行为报告判断目标软件是否包含有恶意代码。

关键词：Android；恶意代码；静态分析；动态分析近年来，智能手机操作系统层出不穷，移动互联网面临着越来越多的安全问题。

智能终端恶意软件不仅会使用户的个人财产和数据安全受到威胁，也会对国家的信息安全造成了巨大隐患。

因此，分析智能终端操作系统安全性，以及提高对恶意软件的检测能力是十分必要的[1]。

为了对网络上泛滥的各种Android软件进行安全评估，本文将探讨Android平台下的恶意代码检测技术，提出结合静态分析与动态分析的恶意代码检测方案。

1 系统设计恶意代码检测系统主要由静态分析和动态分析两个模块组成。

静态分析模块主要包括黑白名单检测模块、反编译模块、数据流跟踪模块、关键字匹配与替换模块等。

如果在黑白名单检测模块检测出目标软件为恶意软件或者非恶意软件，则退出检测系统，否则进行动态分析。

动态分析利用Android系统输出日志的原理，实现对目标软件运行中所产生的敏感行为进行监控的目的。

1.1 静态检测系统设计1.1.1关键技术分析1）源代码的API恶意行为检测分析技术源代码分析首先利用Apktool工具对应用程序进行反编译，Apktool工具集成有Google官方的baksmali工具，可以将应用程序解压缩后得到的Dex字节码文件完整的转化为Smali代码文件的。

Smali代码文件完整的保留了源程序，逻辑结构比较清晰，能够进行比较准确的查找[2,3]。

2）数据流跟踪分析技术针对源代码的API恶意行为检测技术关于逻辑流程方面的缺点，本文中使用了数据流跟踪分析技术。

基于动静态结合分析的Android恶意应用多重检测模型作者：陈明翔解梦飞张钦尧刘俊来源：《无线互联科技》2018年第22期摘要：文章通过对大量Android恶意软件的研究，提出并设计一种Android恶意应用综合检测模型。

模型中包含动态监测和静态分析两种恶意应用识别技术，并结合机器学习算法，对Android应用中可能存在的恶意代码攻击、漏洞利用、隐私泄露3种问题进行了研究并设计出解决方案。

关键词：Android；恶意软件；动态监测；静态分析；机器学习；漏洞扫描；隐私泄露近年来，Android智能设备在全球市场的占有率越来越高，但Android系统的安全问题却层出不穷。

一方面各大应用市场宽松的审查机制导致Android恶意软件泛滥，另一方面开发者的水平不一也导致Android应用自身的安全性良莠不齐。

随着时间的推移，各大厂商的手机大多都已安装了自家的安全软件，并配套了具有审查机制的应用市场。

但是，由于Android系统的开源性，许多智能手机爱好者会为系统进行root提权，从而对手机进行高度定制。

然而，各大厂商原生的安全机制对root手机不再适用。

用户在没有对Android应用安全性进行确认的情况下，经过root提权的手机（以下简称root手机）更容易被恶意软件以高权限入侵。

与此同时，目前常见的Android应用安全性检测方案主要使用动态和静态两种检测技术，但大多数设计方案只针对其中一项技术进行应用或改进，少有对这些技术检测效果的相关性与互补性进行研究。

这明显无法对root手机进行全面、高效的安全防护。

在此背景下，本文提出一种综合多种检测技术的Android应用安全性检测模型。

此模型基于现有的检测技术进行改进，并通过不同检测方案间的互补性来设计检测流程，一方面可以提高检测的精度，另一方面则可以扩展应用安全性的评估面。

此外，本系统针对root手机的特点，在应用安全性评估模型中还着重实现了动态的风险评估和危险行为拦截，具有全面性、精确性、高效性。

基于静态分析的虚假安卓APP产品分析与检测0 引言随着移动互联网的发展，智能手机销量迅速增长。

这个过程中，安卓操作系统占据了移动设备市场的主导地位。

安卓操作系统在移动设备市场的流行性、开放性和巨大的利益，使它成为各种欺诈应用程序投放的重灾区。

著名安全厂商赛门铁克发表了一份报告，称安卓APP产品产品中有17%是恶意APP产品产品——每不到6个安卓APP产品产品中就存在一个恶意软件，安卓恶意APP产品产品的泛滥程度可见一斑。

根据赛门铁克的统计，在2013年，安卓平台上有70万个恶意APP产品产品；而到2014年，安卓恶意APP产品产品数量已经增长到100万个。

同时，还有230万的安卓APP产品产品被赛门铁克称之为“灰色软件”或是“疯子软件”。

这些灰色软件往往会用疯狂的手段给你推送各种弹窗、通知广告。

更重要的是，一项基于安卓系统恶意软件分析的最新研究表明[3]，在分析1 260件恶意应用程序后发现，1 083个（即86.0%）恶意应用程序是经过仿冒的虚假APP产品产品，即经过合法版本与恶意程序重新打包生成的。

即使是在官方的安卓市场，也有可能存在从其他各种对合法应用程序进行仿冒的恶意应用程序。

以上报告与数据研究表明，虚假的应用程序是恶意应用程序进行伪装、传播的主要方式。

安卓平台应用的安全，特别是对虚假安卓APP产品产品的分析与识别，将是未来一段时间内的研究重点。

近年，信息安全工作者发表了一些高质量文章，有助于人们了解此领域的前沿研究方法和工作。

2012年5月，加州大学伯克利分校Li用代码重用的角度阐述了虚假程序的现状和检测代码重用的方法。

他的检测方法基于特征值哈希算法。

2013年，Huang总结大量虚假应用程序检测研究方法，分析了其中的利弊。

文章末尾提出了一种新的检测方法，并验证了其具有很高的准确性和稳定性。

国内对安卓平台安全研究起步较晚，且多是针对恶意程序的检测，关注度集中在可疑程序的权限和一些可疑程序行为的分析上，如读取电话本、收发短信、拨打电话等。

专利名称：一种静动态结合的恶意安卓应用自动检测系统专利类型：发明专利
发明人：王林章,黄浩华,李宣东
申请号：CN201711114266.9
申请日：20171113
公开号：CN107798242A
公开日：
20180313
专利内容由知识产权出版社提供
摘要：本发明公开了一种静动态结合的恶意安卓应用自动检测系统，它包含一个恶意行为模型配置模块，一个静态恶意特征检测模块和一个动态恶意行为确认模块。

恶意行为模型配置模块供用户指定待检测的恶意行为类型；静态恶意特征检测模块针对特定恶意类型，静态分析安卓应用的反编译文件，检测其中是否存在对应敏感API的调用，以此确定待测安卓应用是否为疑似恶意应用；动态恶意行为确认模块基于底层测试工具自动执行疑似恶意应用，并且利用监测工具收集行为信息确认应用运行过程中是否存在恶意行为。

所述自动检测系统灵活性大，根据用户配置可以检测不同类型恶意应用，此外所述自动检测系统采取静动态结合的方式在提高准确率的同时提高了检测效率。

申请人：南京大学
地址：210093 江苏省南京市鼓楼区汉口路22号
国籍：CN
代理机构：南京知识律师事务所
代理人：张苏沛
更多信息请下载全文后查看。

基于深度学习的Android恶意程序检测算法研究随着移动互联网的快速普及，Android系统成为最主流的移动操作系统之一。

然而，越来越多的Android设备上出现了恶意程序，它们会偷取用户的私人信息，利用设备的计算能力进行挖矿等非法行为，对手机用户的安全与隐私造成很大威胁。

因此，如何检测和拦截Android恶意程序，保障用户的安全与隐私成为了一个重要的研究课题。

目前，恶意程序检测算法主要包括基于特征的静态分析和基于行为的动态分析。

基于特征的静态分析将恶意程序看作是一个具有独特特征的文件，通过比对这些特征，判定是否是恶意程序。

这种方法的优点在于检测速度快，但是容易被恶意程序绕过。

基于行为的动态分析是通过监测恶意程序的行为，判断是否是恶意程序，相较于前者更加准确，但是也更加复杂。

为了提高恶意程序检测的精度和效率，越来越多的研究采用了深度学习算法。

深度学习是一种人工神经网络的变体，网络层次结构更加深入，可以通过大量的数据进行训练，自动提取数据的特征，对于分类和回归等任务有很好的表现。

在Android恶意程序检测中，深度学习算法将自动提取恶意程序的特征，使检测更加准确、普适性和实时性更强。

近年来，基于深度学习的Android恶意程序检测算法也取得了很大的进展。

深度学习算法在Android恶意程序检测中主要采用卷积神经网络（CNN）和循环神经网络（RNN），并结合其他算法进行综合评估。

CNN是一种前馈神经网络，具有卷积操作和下采样操作，可以有效地处理图像等数据，而RNN是一种递归神经网络，对于序列数据的处理效果更好。

这两种算法在恶意程序检测中可以自动识别特征，同时结合使用可以提高检测的准确性。

除了CNN和RNN，还有一些其他的深度学习算法，如自编码器、支持向量机等，也被应用于恶意程序检测。

自编码器是一种无监督学习的神经网络，可以对输入数据进行压缩和优化，从而提取出数据的特征。

支持向量机是一种常见的机器学习算法，可以将数据映射到高维空间，通过分类超平面对数据进行分类。

基于行为特征和语义特征的多模态Android恶意软件检测方法随着智能手机的普及和应用程序的增多，Android恶意软件的威胁也越来越严重。

传统的恶意软件检测方法主要基于静态或动态特征分析，但这些方法往往只关注软件的结构和行为，忽视了语义特征。

因此，本文提出了一种基于行为特征和语义特征的多模态Android恶意软件检测方法。

首先，我们使用静态分析方法提取Android应用程序的行为特征。

这些特征包括权限请求、敏感API调用、组件暴露等。

权限请求和敏感API调用是恶意软件常用的手段，通过分析这些行为特征可以初步判断一个应用程序是否具有恶意意图。

同时，我们还使用动态分析方法获取应用程序的运行时行为特征，包括文件读写、网络通信等。

通过比较静态和动态行为特征，可以发现恶意软件隐藏的行为特征，从而提高检测的准确性。

其次，我们引入了语义特征来增强恶意软件的检测能力。

语义特征是指通过文本分析方法提取应用程序的自然语言信息，包括应用描述、用户评论等。

通过分析这些语义特征，我们可以了解应用程序的功能和用户评价，从而判断其是否具有恶意行为。

例如，如果应用程序的描述中包含诸如“监听电话”、“窃取个人信息”等敏感词语，或用户评论中反映出应用程序具有欺诈、垃圾信息发送等不良行为，那么可以初步判断该应用程序可能是恶意软件。

最后，我们将行为特征和语义特征进行融合，将二者结合起来进行综合分析。

具体地，我们首先对行为特征进行加权处理，根据其重要性分配不同的权重；然后，对语义特征进行情感分析，判断应用程序的积极或消极倾向；最后，将行为特征和语义特征进行相似度比较，得出最终的恶意软件检测结果。

为了验证我们提出的方法的有效性，我们使用了一个包含恶意软件和正常软件的数据集进行实验。

实验结果表明，我们的方法在恶意软件检测方面具有较高的准确性和鲁棒性。

与传统的检测方法相比，基于行为特征和语义特征的多模态检测方法可以更好地识别隐藏的恶意行为，降低误报率和漏报率。

一种针对Android平台恶意代码的检测方法及系统实现胡文君;赵双;陶敬;马小博;陈亮【期刊名称】《西安交通大学学报》【年(卷),期】2013(047)010【摘要】针对Android恶意代码泛滥的问题,综合静态和动态分析技术,设计实现了Android恶意代码检测系统.在静态分析部分,提取Android程序中的权限、API 调用序列、组件、资源以及APK结构构建特征向量,应用相似性度量算法,检测已知恶意代码家族的恶意代码样本;在动态分析部分,通过修改Android源码、重新编译成内核镜像,使用该镜像文件加载模拟器,实时监控Android程序的文件读写、网络连接、短信发送以及电话拨打等行为,基于行为的统计分析检测未知恶意代码.经过实际部署测试,所提检测方法具有较高的检测率和较低的误报率.所开发Android恶意代码检测系统已经在互联网上发布,可免费提供分析检测服务.【总页数】7页(P37-43)【作者】胡文君;赵双;陶敬;马小博;陈亮【作者单位】西安交通大学智能网络与网络安全教育部重点实验室,710049,西安;中国科学院信息工程研究所,100093,北京;西安交通大学智能网络与网络安全教育部重点实验室,710049,西安;西安交通大学智能网络与网络安全教育部重点实验室,710049,西安;中电长城网际与国家信息安全测评中心联合实验室数据分析实验室,100093,北京;OWASP中国北京区,100093,北京【正文语种】中文【中图分类】TP393【相关文献】1.一种基于本地代码特征的Android恶意代码检测方法 [J], 何平;胡勇2.一种基于协同训练的Android恶意代码检测方法 [J], 王全民;张帅帅;杨晶3.一种基于深度学习的强对抗性Android恶意代码检测方法 [J], 李鹏伟;姜宇谦;薛飞扬;黄佳佳;徐超4.一种基于特征编码技术的恶意代码检测方法 [J], 丁应;李琳5.一种基于混合学习的恶意代码检测方法 [J], 梁光辉;摆亮;庞建民;单征;岳峰;张磊因版权原因，仅展示原文概要，查看原文内容请购买。

Android恶意软件检测方法研究打开文本图片集摘要：Android已成为当今最热门的移动终端平台，其开放性的特点使得针对它的恶意软件层出不穷。

该文针对恶意软件的行为进行动态分析，提出了一种基于监控敏感API调用的恶意软件检测算法。

该算法用卡方检验筛选出权值高、作用不重叠的敏感API，最后使用K-means算法做机器学习，识别出与样本库相似的恶意软件，该方法能够有效识别恶意软件，标注出其恶意行为。

关键词：Android；恶意软件；敏感API近几年来，Android平台日益严重的安全问题，使得恶意软件研究成为当务之急。

Android恶意代码分析研究目前主要有两种方法，即静态分析和动态检测。

静态分析是指通过分析程序代码来判断程序行为[1]。

动态分析是指在严格控制的环境下执行应用程序，尽可能的触发软件的全部行为并记录，以检测应用程序是否包含恶意行为[2]。

本文提出的全面检测软件运行时信息的Android恶意软件检测方案就是基于动态分析的基础上，利用敏感API的触发来判断应用程序的行为。

据此开发了一个恶意程序检测系统，对系统的检测效果进行评估和验证。

1敏感API通常，恶意软件在运行时需要调用特定的API来完成，如隐私窃取型恶意软件需要访问通讯录API，恶意计费型恶意软件需要调用发送短信API，这些API是敏感API[3]。

在恶意软件动态分析中，需要用到程序运行时的API调用日志，而Android系统的日志仅提供了有限信息。

因此通过dalvik注入的方式在Android源码中hook这些敏感API，使得恶意软件调用这些敏感API时能及时得到调用日志。

2检测方法的设计与实现恶意软件检测系统功能包括：1）综合信息采集；2）数据预处理；3）数据分析。

综合信息采集的目标是获取敏感API调用信息及全面获取程序的其它静、动态信息，以便于人工分析经过数据处理后仍然可疑的应用程序。

数据预处理指的是用卡方检验算法对敏感API调用序列做滤波处理，以得到一个更加独立的敏感API调用特征值集合。

基于动静结合的Android恶意代码行为相似性检测陈鹏;赵荣彩;单征;韩金;孟曦【期刊名称】《计算机应用研究》【年(卷),期】2018(035)005【摘要】针对同家族恶意软件行为具有相似性的特点进行研究,提出通过静态分析与动态运行程序相结合的方式度量软件行为的相似性.通过反编译和soot代码转换框架获取程序控制流图,利用行为子图匹配算法从静态方面对程序行为相似性进行度量;通过自动化测试框架运行程序,利用文本无关压缩算法将捕获到的trace文件压缩后进行相似性度量.该检测方法综合静态检测执行效率高和动态检测准确率高的优点,提高了软件行为相似性度量的效率和准确率.实验分析表明,该检测技术能够准确度量程序之间行为的相似性,在准确率上相较于Androguard有大幅提升.【总页数】6页(P1534-1539)【作者】陈鹏;赵荣彩;单征;韩金;孟曦【作者单位】数学工程与先进计算国家重点实验室,郑州450000;数学工程与先进计算国家重点实验室,郑州450000;数学工程与先进计算国家重点实验室,郑州450000;数学工程与先进计算国家重点实验室,郑州450000;数学工程与先进计算国家重点实验室,郑州450000【正文语种】中文【中图分类】TP309.5【相关文献】1.Android系统恶意代码动静态联合检测 [J], 任李2.基于行为依赖特征的恶意代码相似性比较方法 [J], 杨轶;苏璞睿;应凌云;冯登国3.基于动静态结合分析的Android恶意应用多重检测模型 [J], 陈明翔;解梦飞;张钦尧;刘俊4.基于图标相似性分析的恶意代码检测方法 [J], 杨萍;赵冰;舒辉5.动静结合的网络恶意代码检测技术研究 [J], 邓兆琨;陆余良;黄钊因版权原因，仅展示原文概要，查看原文内容请购买。

静动态结合的恶意Android应用自动检测技术黄浩华;崔展齐;潘敏学;王林章;李宣东【期刊名称】《信息安全学报》【年(卷),期】2017(002)004【摘要】随着移动互联网的快速发展,移动终端及移动应用在人们日常生活中越来越重要,与此同时,恶意移动应用给网络和信息安全带来了严峻的挑战。

Android平台由于其开放性和应用市场审查机制不够完善,使其成为了移动互联网时代恶意应用的主要传播平台。

现有的恶意应用检测方法主要有静态分析和动态测试两种。

一般而言,静态分析方法代码覆盖率高、时间开销小,但存在误报率较高的问题;而动态测试准确度较高,但需要实际运行应用,所需的时间和计算资源开销较大。

针对上述情况,本文基于静动态结合的方法,自动检测恶意Android应用。

首先,使用静态分析技术获取应用API的调用情况来判定其是否为疑似恶意应用,特别是可有效检测试图通过反射机制调用API躲避静态分析的恶意应用;然后,根据疑似恶意应用UI 控件的可疑度进行有针对性的动态测试,来自动确认疑似恶意应用中是否存在恶意行为。

基于此方法,我们实现了原型检测工具框架,并针对吸费短信类恶意行为,对由465个恶意应用和1085个正常应用组成的数据集进行了对比实验。

实验结果表明,该方法在提高恶意应用检测效率的同时,有效地降低了误报率。

【总页数】14页(P27-40)【作者】黄浩华;崔展齐;潘敏学;王林章;李宣东【作者单位】[1]计算机软件新技术国家重点实验室（南京大学）,中国南京210023;[2]江苏省软件新技术与产业化协同创新中心,南京210023;[3]南京大学计算机科学与技术系,南京210023;[4]南京大学软件学院,南京210023;[5]北京信息科技大学计算机学院,北京100101【正文语种】中文【中图分类】TP311.5【相关文献】1.中压配电网静动态中继结合的分级分层电力线载波通信路由算法 [J], 王艳;薛晨;焦彦军2.一种基于静、动态分析相结合的漏洞挖掘分析方法 [J], 傅涛;孙文静3.静动态结合的恶意Android应用自动检测技术 [J], 黄浩华;崔展齐;潘敏学;王林章;李宣东4.“动中寻静，动静结合”破解高中数学动态难题 [J], 李彦5.计及新能源影响静动态结合的电网脆弱节点辨识 [J], 李利娟;吴军;刘红良;李媛;曾泰元;周健;巩政因版权原因，仅展示原文概要，查看原文内容请购买。

Android 系统恶意代码动静态联合检测摘要 Android 系统由于其开放开源的特征，被广泛使用于众多智能移动平台，同时其安全问题也日益突出。

本文提出了一种基于Android 平台的恶意代码动静态联合检测方法，克服了单一检测方式容易漏报、误报的缺点。

关键词 Android 动态静态恶意代码1 引入Android 系统目前已经成为移动平台上主流的操作系统，在当前智能手机市场占有很高的份额，其安全问题也越来越引人关注。

Android 是以 Linux 为基础的开源软件，各大软硬件厂商在此基础上可以个性化定制开发自己的特色产品，升级提升技术，自主创新，但是正是由于这种开放开源的特点，也给 Android 平台带来巨大安全隐患。

2 Android 安全机制分析Android 的安全机制十分重要，必须保护隐私信息不被泄露，防止恶意代码破坏系统自身。

Android 的安全机制是基于 Linux 安全机制改进而来，它是一个权限分离系统，可以有效隔离进程之间数据和内存。

在此基础上， Android 在应用框架层、运行环境层、内核层上都有自己的安全防范机制。

但是， Android 自身防范机制并不能完全有效阻止恶意代码，必须对未知代码进行检测，阻止恶意代码破坏。

3 恶意代码静态检测基于行为的恶意代码检测，是对源代码进行反汇编后抽取代码的系统结构和系统调用，分析判断其行为，计算和样本库中的恶意行为匹配度来判断。

主要是抽取源代码中的敏感 API 信息、 Intent 信息、 Content Provider 信息作为备选特征项，通过 SVD 算法筛选相应属性。

SVD 提供了一种方法将一个矩阵拆分成简单的，并且有意义的几块，达到降低维度的作用。

4 恶意代码动态检测移动平台手机交互行为 ?y 以获取，但系统变化状态可以观察，通过观察系统变化状态，侧面获取系统行为，图 1 为隐马尔可夫模型隐含状态和观察值转移。

建立样本库行为序列 HMM 模型，检测源代码行为序列和 HMM 模型匹配程度，判断是否为恶意代码。

基于动静态结合分析的Android恶意应用多重检测模型陈明翔;解梦飞;张钦尧;刘俊
【期刊名称】《无线互联科技》
【年(卷),期】2018(015)022
【摘要】文章通过对大量Android恶意软件的研究,提出并设计一种Android恶意应用综合检测模型.模型中包含动态监测和静态分析两种恶意应用识别技术,并结合机器学习算法,对Android应用中可能存在的恶意代码攻击、漏洞利用、隐私泄露3种问题进行了研究并设计出解决方案.
【总页数】4页(P45-48)
【作者】陈明翔;解梦飞;张钦尧;刘俊
【作者单位】中国民航大学计算机科学与技术学院,天津 300300;中国民航大学计算机科学与技术学院,天津 300300;中国民航大学计算机科学与技术学院,天津300300;中国民航大学计算机科学与技术学院,天津 300300
【正文语种】中文
【相关文献】
1.基于云安全架构的Android恶意软件静态检测方案 [J], 许小媛;黄黎;李从明;刘芳
2.基于数据挖掘的Android恶意软件静态检测技术 [J], 陈鹏;戴涛;钟伟杰;陈华军
3.基于API和Permission的Android恶意软件静态检测方法研究 [J], 杨鸣坤; 罗锦光; 欧跃发; 慕德俊
4.基于静态分析方法的Android应用内存泄漏检测模型 [J], 沙有闯;胡学钢;付贤
政;袁明磊
5.基于GEP-NBC算法的Android恶意应用静态检测 [J], 罗锦光;杨鸣坤;苏锦因版权原因，仅展示原文概要，查看原文内容请购买。

基于静态特征的Android恶意代码检测贾蕴哲;黄征;林祥【期刊名称】《通信技术》【年(卷),期】2017(050)009【摘要】Android平台是恶意软件的重灾区.在恶意软件传播方面,第三方应用商店仍是智能移动终端病毒传播的主要途径.由于Android系统的开放性及广泛的市场占有率,恶意软件在Android平台传播广泛.为了防止恶意软件传播,针对恶意软件行为特征复杂的特点,提出了结合深度学习的恶意代码检测方法.基于Android程序的静态特征,利用深度学习模型进行分类学习,并在公开的Android软件样本集上进行测试.测试结果表明,所提方法判断恶意软件的正确率可以达到95%左右,实用性强,可以有效保护Android系统的安全.%Android platform is the hardest hit of malicious software. The third-party app store is still the main way to the spread of intelligent mobile terminal malwares. Malwares spread so widely on the Android platform due to the extensibility and openness of Android system. In order to prevent malicious software from spreading, a malicious code detection method based on depth-learning is proposed in view of the complex characteristics of malicious software. Based on the static features of Android program, a depth-learning model is used for classification learning, and the test also done on publicly-available Android software sample set. The test results indicate that the proposed method could achieve about 95% correct rate of malicious software and withstrong practicability could effectively protect the security of Android systems.【总页数】7页(P2060-2066)【作者】贾蕴哲;黄征;林祥【作者单位】上海交通大学,上海 200240;上海交通大学,上海 200240;卫士通摩石实验室,北京 100070;上海交通大学,上海 200240【正文语种】中文【中图分类】TP309【相关文献】1.一种基于Native层的Android恶意代码检测机制 [J], 孙炳林;庄毅2.一种基于协同训练的Android恶意代码检测方法 [J], 王全民;张帅帅;杨晶3.基于Android的手机恶意代码检测与防护技术 [J], 叶子;李若凡4.一种基于深度学习的强对抗性Android恶意代码检测方法 [J], 李鹏伟;姜宇谦;薛飞扬;黄佳佳;徐超5.基于CNN的Android恶意代码检测方法 [J], 赖英旭;陈业;殷刘智子;罗叶红;刘静因版权原因，仅展示原文概要，查看原文内容请购买。

一种基于组合事件行为触发的Android恶意行为检测方法张国印;曲家兴;付小晶;何志昌【期刊名称】《计算机科学》【年(卷),期】2016(043)005【摘要】当前Android恶意应用程序在传播环节缺乏有效的识别手段,对此提出了一种基于自动化测试技术和动态分析技术的Android恶意行为检测方法.通过自动化测试技术触发Android应用程序的行为,同时构建虚拟的沙箱监控这些行为.设计了一种组合事件行为触发模型——DroidRunner,提高了Android应用程序的代码覆盖率、恶意行为的触发率以及Android恶意应用的检测率.经过实际部署测试,该方法对未知恶意应用具有较高的检测率,能帮助用户发现和分析未知恶意应用.【总页数】5页(P96-99,139)【作者】张国印;曲家兴;付小晶;何志昌【作者单位】哈尔滨工程大学计算机科学与技术学院哈尔滨 150001;哈尔滨工程大学计算机科学与技术学院哈尔滨 150001;黑龙江省国防科学技术研究院哈尔滨150001;哈尔滨工程大学计算机科学与技术学院哈尔滨 150001;哈尔滨工程大学计算机科学与技术学院哈尔滨 150001【正文语种】中文【中图分类】TP393【相关文献】1.基于贝叶斯网络的Android恶意行为检测方法 [J], 张国印;曲家兴;李晓光2.基于上下文信息的Android恶意行为检测方法 [J], 卢正军;方勇;刘亮;张文杰;左政3.基于Android API调用的恶意软件行为检测方法研究 [J], 卢晓荣;刘钊远4.一种Android应用程序恶意行为的静态检测方法 [J], 李子锋; 程绍银; 蒋凡5.一种Android应用程序恶意行为的静态检测方法① [J], 李子锋; 程绍银; 蒋凡因版权原因，仅展示原文概要，查看原文内容请购买。