Android恶意软件检测方法研究
基于行为特征和语义特征的多模态Android恶意软件检测方法
基于行为特征和语义特征的多模态Android恶意软件检测方法随着智能手机的普及和应用程序的增多,Android恶意软件的威胁也越来越严重。
传统的恶意软件检测方法主要基于静态或动态特征分析,但这些方法往往只关注软件的结构和行为,忽视了语义特征。
因此,本文提出了一种基于行为特征和语义特征的多模态Android恶意软件检测方法。
首先,我们使用静态分析方法提取Android应用程序的行为特征。
这些特征包括权限请求、敏感API调用、组件暴露等。
权限请求和敏感API调用是恶意软件常用的手段,通过分析这些行为特征可以初步判断一个应用程序是否具有恶意意图。
同时,我们还使用动态分析方法获取应用程序的运行时行为特征,包括文件读写、网络通信等。
通过比较静态和动态行为特征,可以发现恶意软件隐藏的行为特征,从而提高检测的准确性。
其次,我们引入了语义特征来增强恶意软件的检测能力。
语义特征是指通过文本分析方法提取应用程序的自然语言信息,包括应用描述、用户评论等。
通过分析这些语义特征,我们可以了解应用程序的功能和用户评价,从而判断其是否具有恶意行为。
例如,如果应用程序的描述中包含诸如“监听电话”、“窃取个人信息”等敏感词语,或用户评论中反映出应用程序具有欺诈、垃圾信息发送等不良行为,那么可以初步判断该应用程序可能是恶意软件。
最后,我们将行为特征和语义特征进行融合,将二者结合起来进行综合分析。
具体地,我们首先对行为特征进行加权处理,根据其重要性分配不同的权重;然后,对语义特征进行情感分析,判断应用程序的积极或消极倾向;最后,将行为特征和语义特征进行相似度比较,得出最终的恶意软件检测结果。
为了验证我们提出的方法的有效性,我们使用了一个包含恶意软件和正常软件的数据集进行实验。
实验结果表明,我们的方法在恶意软件检测方面具有较高的准确性和鲁棒性。
与传统的检测方法相比,基于行为特征和语义特征的多模态检测方法可以更好地识别隐藏的恶意行为,降低误报率和漏报率。
Android恶意软件检测方法分析
Android恶意软件检测方法分析甘露;曹帮琴【摘要】The article ifrst Androidmalware installed and trigger characteristics were analyzed, and the analysis of the Androidplatform that malicious behavior, made the Androidmalicious code detection scheme. According to the characteristics of the Androidplatform, this paper analyzes the existing malware detection behavior, and points out the shortages of the existing Androidmalware detection method and the future development trend.%文章首先就Android恶意软件的安装和触发特点进行分析,通过分析Android平台中的恶意行为,制定了Android恶意代码检测方案。
结合Android平台的特点,分析了现有的恶意软件检测行为,并指出了现有Android恶意软件检测方法的不足和未来发展趋势。
【期刊名称】《无线互联科技》【年(卷),期】2016(000)007【总页数】3页(P47-48,60)【关键词】Android;恶意软件;检测【作者】甘露;曹帮琴【作者单位】信阳职业技术学院,河南信阳 464000;信阳职业技术学院,河南信阳 464000【正文语种】中文当前恶意检测方法主要包含静态分析和动态检测技术,静态分析主要是利用程序自身的静态结构、代码来判断其是否具有恶意性,其中涉及反编译、静态系统调用、逆向分析和模式匹配等相关技术。
而动态检测主要是通过手机监视程序来对恶意行为进行检测监视。
一种Android平台恶意软件静态检测方法
a g e( AP K)wh i c h h a s b e e n d e t e c t e d b e or f e.i t s MD5 v a l u e i s e x t r a c t e d a s t h e s i g n a t u r e f o r f a s t
( I n f o r ma t i o n S e c u i r t y R e s e a r c h C e n t e r , S o u t h e a s t U n i v e r s i t y ,N a n j i n g 2 1 0 0 9 6 , C h i n a ) ( K e y L a b o r a t o r y o f I n f o ma r t i o n Ne t wo r k S e c u i r t y o f Mi n i s t r y o f P u b l i c S e c u i r t y ,S h a n g h a i 2 0 1 2 0 4, C h i n a ) ( h a n j i n g S a mp l e T e c h n o l o g y C o . ,L t d , ha n j i n g 2 1 0 49, 0 C h i n a ) ( C o m p u t e rD e p a r t me n t , ha n j I i n gI n s t i t u t e o fA r t i l l e r y C o ws ,N a n j i n g 2 1 1 1 3 2, C h i n a )
秦 中元 徐 毓 青 梁 彪。 张群 芳 黄 杰
( 东南 大学信息安全研究 中心 , 南京 2 1 0 0 9 6 ) ( 信 息网络安全公安部重点实验室 , 上海 2 0 1 2 0 4 ) ( 南京三宝科技股份有限公司 , 南京 2 1 0 0 4 9 ) ( 南 京 炮 兵 学 院 计 算 机 教 研 室 , 南京 2 1 1 1 3 2 )
一种Android应用程序恶意代码检测方法
一种Android应用程序恶意代码检测方法摘要:本文结合静态分析和动态分析提出一种恶意代码检测系统设计与实现。
静态分析模块中利用静态逆向分析技术,通过对敏感API函数的查找与统计、敏感信息数据流的跟踪实现恶意行为的检测。
动态分析模块中通过对系统日志的分析,对运行中的软件进行跟踪,记录运行过程中产生的各种敏感性行为,最终结合静态分析与动态分析产生的行为报告判断目标软件是否包含有恶意代码。
关键词:Android;恶意代码;静态分析;动态分析近年来,智能手机操作系统层出不穷,移动互联网面临着越来越多的安全问题。
智能终端恶意软件不仅会使用户的个人财产和数据安全受到威胁,也会对国家的信息安全造成了巨大隐患。
因此,分析智能终端操作系统安全性,以及提高对恶意软件的检测能力是十分必要的[1]。
为了对网络上泛滥的各种Android软件进行安全评估,本文将探讨Android平台下的恶意代码检测技术,提出结合静态分析与动态分析的恶意代码检测方案。
1 系统设计恶意代码检测系统主要由静态分析和动态分析两个模块组成。
静态分析模块主要包括黑白名单检测模块、反编译模块、数据流跟踪模块、关键字匹配与替换模块等。
如果在黑白名单检测模块检测出目标软件为恶意软件或者非恶意软件,则退出检测系统,否则进行动态分析。
动态分析利用Android系统输出日志的原理,实现对目标软件运行中所产生的敏感行为进行监控的目的。
1.1 静态检测系统设计1.1.1关键技术分析1)源代码的API恶意行为检测分析技术源代码分析首先利用Apktool工具对应用程序进行反编译,Apktool工具集成有Google官方的baksmali工具,可以将应用程序解压缩后得到的Dex字节码文件完整的转化为Smali代码文件的。
Smali代码文件完整的保留了源程序,逻辑结构比较清晰,能够进行比较准确的查找[2,3]。
2)数据流跟踪分析技术针对源代码的API恶意行为检测技术关于逻辑流程方面的缺点,本文中使用了数据流跟踪分析技术。
Android应用程序的动态分析方法研究
Android应用程序的动态分析方法研究随着手机应用程序的普及,Android成为了全球最流行的移动操作系统。
然而,由于Android应用程序的开放性和复杂性,恶意软件和安全威胁也随之增加。
因此,研究和开发动态分析方法来检测和识别潜在的安全问题是非常重要的。
动态分析是指在运行时监测和分析应用程序的行为。
它可以帮助我们了解应用程序的实际执行情况,发现潜在的漏洞和安全问题。
下面将详细介绍几种常见的Android应用程序动态分析方法。
1. 动态代码分析:动态代码分析通过监测应用程序在运行时的代码执行路径来识别潜在的漏洞和安全问题。
这种方法可以帮助我们发现未经处理的异常、内存泄漏和安全漏洞等风险。
通过对应用程序的代码执行过程进行监测和记录,我们可以识别潜在的安全问题,并采取相应的措施来修复它们。
2. 动态行为分析:动态行为分析主要关注应用程序在运行时的行为,并通过分析其行为来识别潜在的威胁和恶意行为。
它可以帮助我们检测恶意软件、未经授权的数据访问和隐私泄露等问题。
通过对应用程序的系统调用、网络流量和文件操作等行为进行监测和分析,我们可以发现恶意行为,并及时采取相应的措施来防御和保护用户的隐私和数据安全。
3. 动态内存分析:动态内存分析主要关注应用程序在运行时的内存使用情况,并通过分析内存数据来检测内存泄漏和资源浪费等问题。
这种方法可以帮助我们优化应用程序的性能和资源利用,提高用户体验。
通过监测和记录应用程序的内存分配和释放过程,我们可以识别潜在的内存问题,并通过适当的优化和调整来解决它们。
4. 动态网络分析:动态网络分析主要关注应用程序在运行时的网络访问情况,并通过监测和分析网络流量来识别潜在的安全问题和风险。
这种方法可以帮助我们检测恶意软件、未经授权的数据访问和网络攻击等威胁。
通过对应用程序的网络连接、数据传输和网络请求等行为进行监测和分析,我们可以发现潜在的安全问题,并及时采取相应的措施来防御和保护用户的网络安全。
网络安全中恶意软件的行为研究与检测
网络安全中恶意软件的行为研究与检测网络安全中,恶意软件是一种常见的威胁,它可以导致严重的数据泄露、系统崩溃甚至金钱的损失。
对恶意软件的行为进行研究与检测显得尤为重要。
本文将探讨恶意软件的常见行为以及各种方法来进行检测与防范。
恶意软件的行为研究恶意软件通常有着以下的一些典型行为,其中包括但不限于:1. 数据窃取:恶意软件可以窃取用户的个人信息、账户密码、信用卡信息等敏感数据,并将其发送到攻击者的服务器上,以实施盗窃或者其他非法活动。
2. 后门开启:恶意软件可能会在受感染的系统中开启后门,让攻击者随时可以远程控制该系统,进行各种破坏或者非法操作。
3. 系统破坏:恶意软件可能会删除系统重要文件、篡改注册表、破坏硬盘分区等方式来达到破坏系统的目的,严重的可能导致系统无法启动。
4. 蠕虫传播:一些恶意软件拥有自我复制的能力,通过网络进行传播,轻易的感染大量的系统。
5. 挖矿程序:近年来比较流行的一种恶意软件行为就是挖矿程序,通过占用计算机资源来进行虚拟货币的挖矿,严重影响了计算机的性能。
6. 伪装欺骗:一些恶意软件通过伪装成系统更新或者常用软件的形式,诱使用户安装并执行,从而达到感染系统的目的。
这些恶意软件的行为不仅仅给用户带来了巨大的损失,也给网络安全带来了巨大的挑战。
对这些恶意软件的行为进行深入的研究尤为重要,只有了解了它们的行为特征,才能更好地进行检测和防范。
对于恶意软件的行为检测,有着多种不同的方法,下面将对其中的一些方法进行简要介绍。
1. 特征码检测:特征码检测是一种基于病毒特征码的检测方法,它通过检查文件是否包含已知的恶意软件特征码来进行判断。
这种方法的优势是检测速度快,但是对于新型的恶意软件无法及时进行检测。
2. 行为分析:行为分析是一种通过模拟恶意软件的行为特征来进行检测的方法,它能够发现一些未知的恶意软件行为特征,对于新型的恶意软件有着较好的检测效果。
3. 沙箱分析:沙箱分析是一种在虚拟环境中运行可疑文件来观察其行为的方法,它可以检测到一些恶意软件行为,同时也有着较高的安全性,可以避免对真实系统的影响。
手机APP安全如何识别和避免恶意软件
手机APP安全如何识别和避免恶意软件随着智能手机的普及和应用程序(APP)的迅猛发展,手机APP的安全问题也变得越来越重要。
恶意软件的出现给用户的隐私和数据安全带来了极大的威胁。
本文将从识别恶意软件和避免恶意软件两个方面探讨手机APP安全的方法。
一、识别恶意软件1. 查看APP权限:在下载前,应该仔细查看APP申请的权限是否与其功能相符。
如果一个随意的小游戏要获取联系人和短信的权限,那么很可能是有问题的。
用户可以在下载之前认真阅读APP的权限要求,避免给恶意软件提供过多的权限,减少安全风险。
2. 研究APP开发者:在下载APP之前,可以先了解一下APP的开发者。
如果开发者是一个知名的公司或个人,那么APP的安全性就会有更多的保障。
相反,如果开发者是一个不太知名的个人或公司,那么下载之前就需要更加谨慎,避免因为恶意软件导致的数据泄露或其他安全问题。
3. 查看APP评价:在下载之前,可以查看其他用户对该APP的评价和评分。
如果该APP的评价和评分都比较高,那么很可能是一个可信赖的软件。
相反,如果该APP的评价和评分都很差,那么就要警惕可能存在的安全问题。
二、避免恶意软件1. 仅从官方应用市场下载APP:虽然在第三方应用市场上可以找到更多的APP,但是也存在更大的安全风险。
官方应用市场经过严格的审核,可以减少恶意软件的风险。
因此,用户应尽量从官方应用市场下载APP,以确保下载到的软件是安全可信的。
2. 及时更新APP:APP的开发者会不断发布更新版本,主要是为了修复一些已知的安全漏洞。
因此,用户应该及时更新自己的APP,以确保使用的是最新版本,避免因为已知的漏洞而引起的安全问题。
3. 安装杀毒软件:用户可以选择安装一款可靠的手机安全软件,帮助识别和阻止恶意软件的安装。
这些杀毒软件可以提供实时监测和保护功能,帮助用户及时发现并应对安全威胁。
4. 慎重点击链接:在使用APP时,尽量避免点击来历不明或可疑的链接。
基于多特征的Android恶意软件检测方法
基于多特征的Android恶意软件检测方法程运安;汪奕祥【摘要】Traditional malware detecting methods on Android system based on permissions have a high detecting rate, but also have a high false positive rate. The characters of the methods based on API Calls are hard to extract, so the method is difficult to apply to mobile platform. This article proposes an Android detecting method based on the Naive Bayes algorithm with the characters combination of permissions and resources. The characters are easy to extract and the experiment shows that the method has a low false positive rate. It collects 4, 396 malwares and 4, 500 benign applications and ran-domly selects five groups of malwares and five groups of benign applications as the test sets. The contrast experiment on the test set with permissions and multiple characters is done. The result presents, compared with the method based on per-missions, the method based on multiple characters, can remarkably reduce the false positive rate. The method based on multiply characters is better.%传统的基于权限的Android恶意软件检测方法检测率较高,但存在较高的误报率,而基于函数调用的检测方法特征提取困难,难以应用到移动平台上.因此,在保留传统权限特征的基础上,提出了以权限和资源文件多特征组合方式的朴素贝叶斯检测方法,该方法所选特征提取简便,且具有较低的误报率,有效弥补传统检测方法的不足.实验从4396个恶意样本和4500个正常样本中随机抽取5组恶意样本和5组正常样本集,分别作了基于权限和基于多特征的对比实验.实验结果表明,与基于权限的分类方法相比,基于多特征的分类方法能显著地降低误报率,因此基于多特征的检测方法效果更优.【期刊名称】《计算机工程与应用》【年(卷),期】2017(053)008【总页数】7页(P95-101)【关键词】Android系统;多特征;朴素贝叶斯;恶意软件【作者】程运安;汪奕祥【作者单位】合肥工业大学计算机与信息学院,合肥 230009;合肥工业大学计算机与信息学院,合肥 230009【正文语种】中文【中图分类】TP309CHENG Yun’an,WANG Yixiang.Computer Engineering andApplications,2017,53(8):95-101.随着移动智能设备的不断发展,智能手机应用已经深入到人们生活的方方面面,提供着诸如购物、医疗、娱乐、金融等服务,这些服务在给人们带来巨大便利的同时,也存在用户隐私信息泄露等安全隐患。
基于Android网络恶意行为检测系统的应用研究
Ap pl i c a t i o n Re s e a r c h o f Ma l i c i o u s Be ha v i o r De t e c t i o n S y s t e m Ba s e d o n And r o i d Ne t wo r k
贺 强1 , 2 , 王双 喜 , 李剑 勇 , 曲 长征
( 1 .山 西 农 业 大 学 信 息 学 院 , 山西 晋 中 0 3 0 8 0 0 ;2 .太 原 市 电子 研 究 设 计 院 ,太 原 0 3 0 0 0 2 )
摘 要 : 目前 ,An d r o i d系统 是 当今 网络 用 户 最 对 的 应 用 系 统 之 一 ,而 随 着 科 学 技 术 的 发 展 ,对 于 An d r o i d系 统 的 恶 意 行 为 软件 也 逐 渐 增 多 ,给 当前 的应 用 用 户 的财 产 以及 私 人 信 息 安 全 带 来 了 很 大 的 威 胁 ,严 重 的 迟 缓 了 当 前 移 动 通 信 网 络技 术 以及 相 关 于应 用 客 户 端 的推 广 ;为 此 ,根 据 An d r o i d系统 的特 有 机 构 设 计 出一 种 基 于 B i n d e r 信 息 流 的 自 动 检 测 恶 意 行 为 系 统 , 以 此 来 解 决 对 于 当 前 网 络 安 全 对 于
He Qi a n g ,W a n g S h u a n g x i ,L i J i a n y o n g , Qu Ch a n g z h e n g
( 1 . C o l l e g e o f I n f o r ma t i o n, S h a n x i Ag r i c u t u r a l Un i v e r s i t y ,J i n z h o n g 0 3 0 8 0 0 , Ch i n a;
Android手机恶意软件取证技术研究
删除源软件自毁、控制指令必须简单;、可以提取特定数据:、提取的数据建立数据库,便于分析:.、服务器端建立日志记录。
1、获取用户个人信息,短信息、通讯录、通话记录及存储的文档:2、提取通话数据或开启多方通话功能;3、提取移动上网数据或其他网络应用》、接受控制端指令;2、程序自动卸载。
图1手机木马的工作流程Android手机恶意软件取证技术研究杨卫军12余彦峰23张佩军231.中国人民公安大学2.公安部第一研究所3.北京网络行业协会电子数据司法鉴定中心摘要:通过分析Android系统恶意软件实例,采用静态取证技术进行APK包反编译和源代码分析,提取恶意代码的关键数据。
通过动态取证技术实时跟踪恶意软件的运行进程和API调用,提取与恶意行为相关的关键数据,为进一步获取线索和证据提供技术方法。
关键词:Android系统恶意软件数据提取手机取证一'引言最新统计数据表明,Android系统已占据全球智能手机操作系统市场的59%,中国市场占有率为76.7%。
同时,2012年上半年仅网秦“云安全”监测平台查杀到的手机恶意软件就达17676款,相比2011年下半年增长42%,其中78%的恶意软件来自Android平台。
随着移动互联网与人们工作生活的关系越来越密切,手机恶意软件也在各种各样的违法犯罪活动中充当了重要角色。
目前我国手机恶意软件的黑色产业链已经形成,恶意软件制作方和相关的非法SP公司形成了紧密的“合作关系”,诱骗用户下载各种恶意软件,在用户感染恶意软件产生资费后,按照分成比例来牟取暴利。
面对各种各样善于伪装的恶意软件,如何提取相关的数据证据并准确定性其恶意行为,成为电子数据取证与司法鉴定人员必须解决的一个紧迫问题。
本文通过实例探讨了 Android 手机恶意软件关键数据的一般提取方法,首先通过介绍Android手机木马的一般工作流程,来认识恶意软件的工作机制;然后,通过对 APK包的反编译,提取恶意软件的关键配置数据及部分源代码;其次,在Android手机模拟平台上装载运行恶意软件实例,动态跟踪分析其进程关系和API调用,提取并固定其中的相关数据,从而准确掌握Android手机恶意软件实施恶意行为的关键证据。
恶意软件检测和防护实验报告
恶意软件检测和防护实验报告恶意软件(Malware)作为一种威胁网络安全的工具,对于个人用户和企业机构都造成了巨大的危害。
在这篇实验报告中,我们将探讨恶意软件检测和防护的方法,以及实验中的相关研究和发现。
恶意软件是一种恶意设计的软件代码,可在未经授权或知情的情况下访问用户计算机、服务器、网站或网络系统的信息,从而对其进行操控或危害。
与传统病毒相比,恶意软件更加隐蔽且具备多种攻击手段,如盗取个人信息、加密用户文件并勒索等。
因此,对恶意软件的检测和防护显得尤为重要。
在本次实验中,我们使用了多种恶意软件检测和防护的技术。
首先,我们使用了传统的签名检测方法。
这种方法通过在计算机上安装杀毒软件,利用病毒库中的特征码对系统进行扫描,从而判断是否存在已知的恶意软件。
然而,由于新型恶意软件的迅速演变,传统的签名检测方法可能无法及时识别新型威胁。
为了弥补传统签名检测的不足,我们还尝试了行为检测的方法。
行为检测通过分析恶意软件的行为模式,识别出异常的行为,从而及时防范潜在的威胁。
例如,恶意软件可能会在后台下载和安装其他恶意软件,或者对系统文件进行修改等。
通过设置特定的行为规则和监控系统行为,我们能够及时发现并阻止此类恶意软件。
此外,我们还使用了机器学习算法来进行恶意软件检测。
通过构建并训练机器学习模型,我们可以将恶意软件与正常软件进行区分。
训练集中包含了已知的恶意软件样本和正常软件样本,通过模型的学习和推理,系统可以预测新样本是否为恶意软件,并进行相应的防护措施。
机器学习算法的优势在于可以不断学习并适应新的威胁,提高了检测的准确性和实时性。
在实验中,我们发现恶意软件的种类繁多且变化迅速。
传统的签名检测方法在检测新型恶意软件时表现出较大的滞后性,有时需要进行手动更新才能识别。
行为检测方法能够发现一些尚未被杀毒软件识别的威胁,但也存在误报的问题。
机器学习算法在恶意软件检测方面表现出较好的效果,但由于需要大量的训练数据和模型训练时间,对于实时性要求较高的场景仍然存在挑战。
Android平台恶意软件检测系统的设计与实现的开题报告
Android平台恶意软件检测系统的设计与实现的开题报告一、选题背景随着智能手机等移动设备市场的不断扩大,人们对于移动设备的依赖程度也不断增加。
伴随移动设备的日渐普及,针对该设备的攻击和恶意软件也层出不穷,对用户的个人信息和隐私构成了严重威胁。
因此,对于恶意软件的防范和检测成为了迫切需要解决的问题。
目前,已经有许多研究者在恶意软件检测方面进行了探索和实验。
但随着恶意软件的不断进化和变化,单一算法或方法的检测效果越来越难以满足检测效果的要求。
因此,设计一种综合性的恶意软件检测系统,采用多种方法,提高检测效率和准确率,成为了目前恶意软件检测领域的研究热点。
在本次毕业设计中,我们将研究设计一种基于Android平台的恶意软件检测系统,以提高移动设备的安全性和保护用户的隐私信息。
二、选题意义1. 研究基于Android平台的恶意软件检测系统,对于提升移动设备的安全性和用户隐私保护具有重要意义。
2. 研究不同的恶意软件检测方法和算法,可以更好地了解和掌握恶意软件的特征和变化,并为恶意软件检测领域的研究提供参考。
3. 设计并实现一套恶意软件检测系统,可以促进移动设备的安全技术发展,改善用户移动设备使用体验,对于提高用户满意度具有重要意义。
三、选题内容1. 调查和分析Android平台上的恶意软件形成原因。
2. 研究设计基于Android平台的恶意软件检测系统,采用多种方法和算法,提高检测效率和准确率。
3. 从恶意软件检测系统的整体结构设计入手,分析并选择适合恶意软件检测的算法和数据结构,并实现相应的代码。
4. 具体实现和分析恶意软件检测系统中的恶意软件样本分析、特征提取、计算相似度、机器学习、行为分析等功能。
5. 对设计的恶意软件检测系统进行评估和测试,提高系统的可靠性和鲁棒性。
四、研究方法和步骤1. 调研相关资料,了解恶意软件的检测方法和算法。
2. 研究Android平台上的恶意软件形成原因,基于这些原因和特点设计和实现恶意软件检测系统。
基于权限的朴素贝叶斯Android恶意软件检测研究
基于权限的朴素贝叶斯Android恶意软件检测研究作者:蔡泽廷姜梅来源:《电脑知识与技术》2013年第14期摘要:在今天开源的android手机越来越流行的同时,也有越来越多的木马、广告、隐私偷窥、扣费等恶意软件的出现困扰着用户。
该文首先介绍了Android系统的构成,分析了android系统的安全机制和存在的安全隐患,并就关键的权限机制的相关研究进行了综述。
文章提出利用机器学习中的朴素贝叶斯分类算法,对程序的权限进行建模分类检测,并进行了模拟实验。
关键词:Android;恶意软件;权限;机器学习;检测;贝叶斯中图分类号:TP309 文献标识码:A 文章编号:1009-3044(2013)14-3288-041 概述1.1 Android系统Android一词的本义指“机器人”,也是一款基于Linux内核的开源手机操作系统,该系统由精简的Linux内核作底层管理、各种开源的功能库作中间件、基于Dalvik虚拟机的Java应用程序框架和一组基本的应用软件组成,是首个为移动终端打造的真正开放和完整的系统平台[1]。
Android系统自2007年首次发布以来,以其开源免费的优势,至今,经过多次系统升级,已经成为全球最流行的手机,占有率已超60%。
与此同时,据网秦2012年第一季度的《全球手机安全报告》[2]指出“2012年第一季度查杀到的Android手机恶意软件3523款,直接感染手机412万部”,并且仍有上升趋势。
所以,在Android移动设备迅速普及的今天,开展Android 安全性研究势在必行,检测Android恶意软件研究具有重要意义。
Android系统采用软件堆层(Software Stack,又名软件叠层)的架构,主要分为三部分。
底层以Linux内核工作为基础,提供核心系统服务,比如安全,内存管理,进程管理,网络协议栈和驱动模块;中间层包括各种开源函数库Library和虚拟机Virtual Machine。
基于系统调用的Android恶意软件检测
关键词 :智能手机 ;安 卓 系统 ;恶意检 测 ;系统调 用;分类算 法
中 图 法 分 类 号 :TP 3 0 9 文 献 标 识 号 :A 文 章 编 号 :1 0 0 0 — 7 0 2 4( 2 0 1 3 )1 1 — 3 7 5 7 — 0 5
De t e c t i o n o f An d r o i d ma l wa r e b a s e d o n s y s t e m c a l l s
发给远 端服务 器 ,服 务器端解析文件数据生成 系统调 用向量,使 用 k N N 分类算法识别正常行为和恶意行 为 ,若发现有 恶意 行 为,将会对 用户发 出警告 ,以减少恶意软件产生的损 害,并尽 可能阻止恶意软件 的传播 。结合 实例结果表 明 了该方 法的
可行 性 和 有 效性 。
蔡 志标 ,彭新光十
( 太原理 工 大学 计算机 科 学与技 术 学院 ,山 西 太原 0 3 0 0 2 4 )
摘 要 :由于 An d r o i d平 台下 日益增 多的恶意软件 以及缺 乏有 效的安全措施 来 阻止 恶意软件 对智能手机 的损害 ,研 究 了一
种 基 于 系统 调 用 的 恶 意软 件 检 测 方 法 。 手机 端 采 集 应 用程 序 运 行 时 产 生 的 系统 调 用 名及 其 对 应 频 数 信 息 ,存 储 到 文 件 中并
2 0 1 3年 l 1月
计 算机 工程 与设 计
COM P UTER E NGI NEERI NG AND DE S I GN
Nov e . 201 3
第3 4卷
第l l 期
Vo I _ 3 4 No . 1 l
基 于 系统 调 用 的 An d r o i d恶 意软 件 检 测
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
t r u n c a t e d t o f i x e d l e n g t h . S e c o n d, f o r m ll a he t i n f o r ma t i o n a s p r o p e r t y nd a va l u e s . Ta k i n gቤተ መጻሕፍቲ ባይዱ i n f o m a r t i o n g a i n a s n a i n d i c a t o r , s e l ct e p r o p e r -
t i e s ha t t h a v e h i g h i n f o m a r t i o n g a i n a n d d i f f e r e n t i mp a c t b y a p p l y i n g he t C4. 5 lg a o r i hm , t a n d p r o p o r t i o n a l l y ss a i g n we i g h t i n g f a c t o r o t p r o p e r t i e s b a s d e o n he t s i z e o f t he i nf or ma t i o n g in a . F i n ll a y, a p p l y K—Ne re a s t Ne i g h b o r lg a o r i h m t t o c o mp l e t e he t p r o c e s s o f ma c h i n e l e a r n i n g, ma k i n g he t s y s t e m i d e n i t f y ma li c i o u s s o f t wa r e ha t t s i mi l r a o t he t s a mp l e, nd a eg r rd a u n k n o wn t y p e s o f s o f t wa r e s a s u s p e c t d e ma lwa r e . Th e es r u l t o f e x er p ime n t s h o ws ha t t he t me t h o d h s a a h i g h t r u e p o s i i t v e r a t e nd a l o w f a l s e p o s i t i v e r a t e . Mo r e o v e r , he t r e s u l t c a n b e f u r t he r i mp r o v d e wi t h he t i n c r e a s e o f he t l e a r n i n g s m p a l e l i b r a r y. Ke y wo r d s : An ro d i d s cu e r i t y; ma lwa r e; dy n a mi c d e t e c t i o n; ma c h i n e l e a ni r n g
中图 分类 号 : T F 3 0 9 文 献标 识码 : A 文章 编号 : 1 6 7 3 — 6 2 9 X( 2 0 1 4 ) 0 2 — 0 1 4 9 — 0 4
d o i : 1 0 . 3 9 6 9 / j . i s s n . 1 6 7 3 — 6 2 9 X. 2 0 1 4 . 0 2 . 0 3 6
Re s e a r c h o f Ma l wa r e De t e c t i o n Ap p r o a c h f o r An d r o i d
F E N G B o , D AI Ha n g , MU De - j u n
( S c h o o l o f A u t o ma t i o n , No r t h w e s t e r n P o l y t e c h n i c a l Un i v e r s i t y , X i ’ a n 7 1 0 0 7 2, C h i n a )
Ab s t r a c t: I n v i e w o f t h e f l o o d s i t u a t i o n f o r An d r o i d ma lwa r e, p r o p o s e a me t h o d of b e h a v i o r -b a s e d d y n a mi c ma l wa r e d e t e c io t n. F i r s t , g e t
a c o mp r e h e n s i v e c o l l ct e io n o f s o twa f r e mn -f i me i n f o r ma t i o n, i n c l u d i n g s y s t e m i n f o r ma t i o n a nd k e r n e l c a l l s . T h e k e r n e l c ll a s e q u e n c e s re a
冯 博, 戴 航, 慕德俊
( 西北工业大学 自 动化学院, 陕西 西安 7 1 0 0 7 2 )
摘 要: 针对 A n d r o i d恶意 软件泛 滥 的局面 , 提 出了一 种基 于行 为 的 恶 意软 件 动 态检 测 的方 法 。首 先 , 综 合 收集 软 件运 行
时的动 态信 息 , 包 括软 件运行 时 系统 的信息 和软 件 的 内核 调用 信息 , 并将 内核 调 用序 列 截 断成 定长 短 序列 的形 式 。其 次 , 将 各方 面信 息统 一为 属性 、 属性 值 的形式 。以信 息增 益作 为指 标 , 选用 C A. 5 算 法筛 选 出信 息增 益 高 、 作用 不重 叠 的属 性 , 并 依据 信息 增益 的大 小为各 属性 正 比分配 权重 因子 。最 后 , 用 K最 近邻 算 法完 成 机器 学 习 , 识别 出与 样 本类 似 的 恶意 软 件, 并将 未知 类型 的软 件标记 为 疑似 恶意 。实验 结果 表 明 , 该方 法 识 别 率高 、 误 报 率 低 。通 过增 大 学 习样 本 库 , 识别 的效 果 可 以进一 步提 高 。 关键 词 : A n d r o i d安全 ; 恶意 软件 ; 动态 检测 ; 机器 学 习
第2 4卷
2 0 1 4年 2月
第 2期
计 算 机 技 术 与 发 展
C OMPUT ER T ECHNOL OGY AND DEVEL OPMENT
Vo 1 . 2 4 No . 2 F e b . 2 0 1 4
A n d r o i d恶 意 软 件检 测 方 法 研 究