-
题名条件上下文敏感的安卓恶意虚拟化应用检测方法
- 1
-
-
作者
孟昭逸
黄文超
张威楠
熊焰
-
机构
安徽大学计算机科学与技术学院
中国科学技术大学计算机科学与技术学院
-
出处
《电子学报》
EI
CAS
CSCD
北大核心
2024年第11期3669-3683,共15页
-
基金
国家自然科学基金(No.62102385)
安徽省自然科学基金(No.2108085QF262)。
-
文摘
安卓虚拟化应用作为宿主程序,支持以插件形式动态加载用户所需功能模块.恶意开发者可利用上述应用特性将其真实攻击意图隐藏在插件程序的执行中,以躲避针对宿主程序的检测.然而,插件程序数量众多且难以获取与分析,并且现有基于既定模式的安卓恶意虚拟化应用检测方案存在可检测应用类型有限的问题.本文提出一种条件上下文敏感的安卓恶意虚拟化应用检测方法并实现了原型工具MVFinder.该方法以安卓虚拟化应用代码中触发插件程序加载或调用行为的上下文环境为切入点,挖掘出隐藏的恶意性,避免耗费大量资源去尝试实时获取不同种类的插件程序或逐一解析插件的加载与运行模式.同时,该方法利用异常检测技术,发现与大多数善意应用的条件上下文存在较大差异的数据样本,进而识别出目标恶意应用,避免基于既定规则进行检测的局限性.实验结果表明,本方法对安卓恶意虚拟化应用检测的准确率和F1分数均优于当前学术界的代表性方案VAHunt、Drebin与Difuzer.此外,相较于VAHunt,MVFinder可识别出HummingBad和PluginPhantom恶意应用家族的变种.
-
关键词
移动安全
安卓虚拟化应用
恶意代码
上下文信息
静态分析
异常检测
-
Keywords
mobile security
Android virtualization applications
malicious code
contextual information
static anal⁃ysis
outlier detection
-
分类号
TP309.5
[自动化与计算机技术—计算机系统结构]
-
-
题名基于异质信息网络的安卓虚拟化程序检测方法
被引量:2
- 2
-
-
作者
张威楠
孟昭逸
熊焰
黄文超
包象琳
-
机构
中国科学技术大学网络空间安全学院
中国科学技术大学计算机科学与技术学院
安徽大学计算机科学与技术学院
安徽工程大学计算机与信息学院
-
出处
《计算机应用研究》
CSCD
北大核心
2023年第6期1764-1770,共7页
-
基金
国家自然科学基金资助项目(62102385)
安徽省自然科学基金资助项目(2108085QF262,2108085QF264)。
-
文摘
考虑到安卓应用虚拟化技术的功能特性,精确检测安卓虚拟化程序是识别其隐藏安全风险的基础和必要前提。为此,提出了基于异质信息网络的安卓虚拟化程序检测方法,并实现了原型系统Aiplugin。根据安卓虚拟化程序的特点,提取四类静态程序特征,并将程序特征映射到异质信息网络上,以元路径的形式将不同程序关联起来。采用异质图注意力网络表征算法和OC-SVM算法,融合不同视图的程序语义信息,实现对安卓虚拟化程序的表征和分类。实验结果表明,相较于当前的代表性工具VAhunt,Aiplugin可有效检测包括平行空间等更多类型的安卓虚拟化程序。
-
关键词
异质信息网络
安卓虚拟化程序
安卓安全
软件工程
-
Keywords
heterogeneous information network
Android virtualization program
Android security
software engineering
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
