基于集成学习投票算法的Android恶意应用检测 被引量：8

1

作者 赵宇鑫 努尔布力 艾壮 《计算机工程与应用》 CSCD 北大核心 2020年第22期74-82,共9页

针对Android平台恶意应用的检测技术,提出一种基于集成学习投票算法的Android恶意程序检测方法MASV(Soft-Voting Algorithm),以有效地对未知应用程序进行分类。从已知开源的数据集中获取了实验的基础数据,使用的应用程序集包含213256个... 针对Android平台恶意应用的检测技术,提出一种基于集成学习投票算法的Android恶意程序检测方法MASV(Soft-Voting Algorithm),以有效地对未知应用程序进行分类。从已知开源的数据集中获取了实验的基础数据,使用的应用程序集包含213256个良性应用程序以及18363个恶意应用程序。使用SVM-RFE特征选择算法对特征进行降维。使用多个分类器的集合,即SVM(Support Vector Machine)、K-NN(K-Nearest Neighbor)、NB(Naïve Bayes)、CART(Classification and Regression Tree)和RF(Random Forest),以检测恶意应用程序和良性应用程序。使用梯度上升算法确定集成学习软投票的基分类器权重参数。实验结果表明,该方法在恶意应用程序检测中达到了99.27%的准确率。 展开更多

关键词 android恶意应用 集成学习 投票算法

下载PDF 职称材料

一种静态Android重打包恶意应用检测方法 被引量：5

2

作者 孙伟 孙雅杰 夏孟友 《信息安全研究》 2017年第8期692-700,共9页

Android系统以其优异的特性快速抢占了手机市场.但由于Android的开源性,导致Android的安全问题频发.第三方市场上大量恶意APP给人们的隐私安全以及财产安全带来了很大的危害,其中重打包恶意应用所占比重最大达到了86%.在重打包应用检测... Android系统以其优异的特性快速抢占了手机市场.但由于Android的开源性,导致Android的安全问题频发.第三方市场上大量恶意APP给人们的隐私安全以及财产安全带来了很大的危害,其中重打包恶意应用所占比重最大达到了86%.在重打包应用检测方面,研究人员作了大量的实验研究并设计了检测引擎.但是以往的检测引擎存在复杂度高、准确率低等缺点,并对重打包应用的恶意性无法判断.所以结合当前多种恶意应用检测方法的优点,设计了一种基于质心处理和层次分析的抗混淆恶意应用检测方法,该方法对反编译之后的中间代码进行静态分析,使用质心算法对应用之间的相似性进行检测,通过相似应用之间的比较定位可疑代码段,结合层次分析法和加权FP-growth算法对可疑代码段进行恶意性判定.通过实验验证,该方法在Android重打包恶意应用的检测方面具有较好的效果. 展开更多

关键词 android恶意应用 静态检测 质心算法 层次分析算法 加权FP-growth算法

下载PDF 职称材料

Android恶意应用的静态检测方法综述 被引量：3

3

作者 潘建文 崔展齐 +2 位作者 林高毅 陈翔 郑丽伟 《计算机研究与发展》 EI CSCD 北大核心 2023年第8期1875-1894,共20页

Android系统的开放性和第三方应用市场的多样性,使其在取得高市场占有率的同时也带来了巨大的风险,导致Android恶意应用层出不穷并广泛传播,严重威胁了用户的隐私和经济安全.如何有效检测Android恶意应用受到了研究人员的广泛关注.根据... Android系统的开放性和第三方应用市场的多样性,使其在取得高市场占有率的同时也带来了巨大的风险,导致Android恶意应用层出不穷并广泛传播,严重威胁了用户的隐私和经济安全.如何有效检测Android恶意应用受到了研究人员的广泛关注.根据是否运行应用程序,将现有的恶意应用检测方法分为静态检测和动态检测.其中,静态检测的效率和代码覆盖率均优于动态检测,Drebin等静态检测工具取得了广泛应用.为此,系统调研了Android恶意应用静态检测领域的研究进展,并进行了分析和总结.首先,介绍了Android应用静态特征;然后,根据静态特征的不同,分别对基于权限、应用程序编程接口(application programming interface,API)和操作码等不同静态特征的Android恶意应用检测方法进行了分析,并总结了常用的Android应用数据集和评价Android恶意应用检测性能的常用指标;最后,对Android恶意应用静态检测技术的发展进行了总结和展望,以期为该领域的研究人员提供参考. 展开更多

关键词 android恶意应用 静态检测 权限 应用编程接口 操作码

下载PDF 职称材料

基于敏感特征深度域关联的Android恶意应用检测方法

4

作者 姜建国 李松 +4 位作者 喻民 李罡 刘超 李梅梅 黄伟庆 《信息安全学报》 CSCD 2024年第3期191-203,共13页

利用机器学习或深度学习算法进行Android恶意应用的检测是当前主流方法,取得了一定的效果。然而,多数方法仅关注应用的权限和敏感行为等信息,缺乏对敏感行为协同的深度分析,导致恶意应用检测准确率低。对敏感行为协同深度分析的挑战主... 利用机器学习或深度学习算法进行Android恶意应用的检测是当前主流方法,取得了一定的效果。然而,多数方法仅关注应用的权限和敏感行为等信息,缺乏对敏感行为协同的深度分析,导致恶意应用检测准确率低。对敏感行为协同深度分析的挑战主要有两个:表征敏感特征域关联和基于敏感特征域关联的深层分析与检测。本文提出了一种新的Android恶意应用检测模型GCNDroid,基于敏感特征域关联关系图描述的应用程序主要敏感行为以及敏感行为之间的域关联关系来有效地检测Android恶意应用。首先,为了筛选出对分类更加敏感的特征,同时减少图节点的数量,加速分析,本文构建了敏感特征字典。接着,定义类或者包为域,在同一个域中的敏感特征具有域关联关系。通过敏感特征所在域的相对范围,构造敏感特征之间不同的域关联权重,生成敏感特征域关联关系图,敏感特征域关联关系图可以准确表征特定功能模块中的敏感行为,以及敏感行为之间的完整关系。然后,基于敏感特征域关联关系图,设计基于图卷积神经网络的深度表征,构建Android恶意应用检测模型GCNDroid。在实践中,GCNDroid还可以利用新的敏感特征不断更新,以适应移动应用程序新的敏感行为。最后,本文对GCDNroid进行了系统评估,召回率、调和平均数、AUC等重要指标均超过96%。与传统的机器学习算法(支持向量机和决策树)和深度学习算法(深度神经网络和卷积神经网络)相比,GCNDroid取得了预期的效果。 展开更多

关键词 android恶意应用 域关联 图卷积神经网络 敏感特征

下载PDF 职称材料

基于深度信念网络的Android恶意应用检测方法 被引量：4

5

作者 赵薇 王楠 +1 位作者 苏欣 张波云 《计算机工程与应用》 CSCD 北大核心 2018年第18期125-132,共8页

传统的机器学习算法无法有效地从海量的行为特征中选择出有本质的行为特征来对未知的Android恶意应用进行检测。为了解决这个问题,提出DBNSel,一种基于深度信念网络模型的Android恶意应用检测方法。为了实现该方法,首先通过静态分析方法... 传统的机器学习算法无法有效地从海量的行为特征中选择出有本质的行为特征来对未知的Android恶意应用进行检测。为了解决这个问题,提出DBNSel,一种基于深度信念网络模型的Android恶意应用检测方法。为了实现该方法,首先通过静态分析方法从Android应用中提取5类不同的属性。其次,建立深度信念网络模型从提取到的属性中进行选择和学习。最后,使用学习到的属性来对未知类型的Android恶意应用进行检测。在实验阶段,使用一个由3 986个Android正常应用和3 986个Android恶意应用组成的数据集来验证DBNSel的有效性。实验结果表明,DBNSel的检测结果要优于其他几种已有的检测方法,并可以达到99.4%的检测准确率。此外,DBNSel具有较低的运行开销,可以适应于更大规模的真实环境下的Android恶意应用检测。 展开更多

关键词 android恶意应用 深度信念网络 安全 静态分析

下载PDF 职称材料

通过AndroidManifest和API调用追踪的恶意检测 被引量：2

6

作者 郑尧 王轶骏 薛质 《计算机技术与发展》 2017年第3期126-130,共5页

研究了一种静态基于特征向量的机制,提供了一种静态分析的方法,用来检测Android恶意应用。为了识别不同Android恶意软件的意图,各种聚类算法被应用在此机制中,用来增强对Android任意应用程序的行为建模能力。同时研发了一套系统—XDroid... 研究了一种静态基于特征向量的机制,提供了一种静态分析的方法,用来检测Android恶意应用。为了识别不同Android恶意软件的意图,各种聚类算法被应用在此机制中,用来增强对Android任意应用程序的行为建模能力。同时研发了一套系统—XDroidMat。XDroidMat从每个Android应用程序的AndroidManifest.xml中抽取出静态信息,把组件作为切入点,往后追踪组件间通信及其API的调用。然后使用"k-means"算法加强建立恶意程序模型的能力。聚类的个数是通过奇异值分解算法决定的。最后采用"k NN"算法判别应用程序是恶意应用还是正常合法的应用。实验结果表明,XDroidMat的准确率达到了98.12%,在检测Android恶意应用中性能优异。 展开更多

关键词 android恶意应用 静态分析 基于特征 组件间通信

下载PDF 职称材料

Android恶意应用智能化分析方法研究综述

7

作者 张驰 汤俊伟 +2 位作者 何儒汉 徐微 黄晋 《软件导刊》 2023年第10期244-252,共9页

Android系统是目前市场占有率最高的开源移动端操作系统,但系统的开源性使其成为了恶意软件的主要攻击目标。恶意软件严重威胁国家安全和个人隐私,且规避行为愈发隐蔽,通常难以被检测分析。为此,首先总结An-droid恶意应用检测使用静态... Android系统是目前市场占有率最高的开源移动端操作系统,但系统的开源性使其成为了恶意软件的主要攻击目标。恶意软件严重威胁国家安全和个人隐私,且规避行为愈发隐蔽,通常难以被检测分析。为此,首先总结An-droid恶意应用检测使用静态、动态分析方法提取的恶意应用特征类型;然后从传统机器学习、深度学习方面,梳理分析Android恶意应用检测方法,并从对抗攻击、防护层面归纳与Android恶意应用检测攻防相关的工作;接下来,在共同数据集上对Android恶意应用智能化分析方法进行比较;最后,从特征、数据集、分析模型等方面讨论与总结未来Android恶意应用智能化分析方法的研究方向和挑战,以期为其发展提供参考与借鉴。 展开更多

关键词 android恶意应用 恶意应用检测 机器学习 深度学习 对抗攻击

下载PDF 职称材料

行为特征值序列匹配检测Android恶意应用 被引量：1

8

作者 张震 曹天杰 《计算机工程与应用》 CSCD 北大核心 2018年第24期97-102,共6页

针对Android恶意代码的混淆、隐藏、加密情况以及现有方法的检测能力不足问题,提出了一种基于恶意应用行为特征值序列的动态检测方法。首先利用远程注入技术将动态检测的模块注入到Android系统的Zygote进程中,执行内联挂钩来监测应用中... 针对Android恶意代码的混淆、隐藏、加密情况以及现有方法的检测能力不足问题,提出了一种基于恶意应用行为特征值序列的动态检测方法。首先利用远程注入技术将动态检测的模块注入到Android系统的Zygote进程中,执行内联挂钩来监测应用中的重要函数。然后,通过函数监听得到Android应用的重要行为;进而,按照行为的特征将其量化为特征值,再按照时间顺序将行为特征值排为序列,得到行为特征值序列。通过利用支持向量机来训练5 560个恶意样本,得到恶意应用家族的行为特征值序列;最后利用此序列与被检测应用的序列进行相似度比较,判断应用是否为恶意应用。在恶意应用动态检测方面的正确率可达到95.1%,以及只增加被检测的应用21.9 KB内存。实验结果表明,所提方法能够正常检测经过代码混淆、代码加密、代码隐藏的恶意应用,提高了恶意应用检测的正确率,所占内存空间减少,有效提升检测效果。 展开更多

关键词 android恶意应用 远程内联挂钩 动态检测 支持向量机 特征值序列

下载PDF 职称材料

Android恶意应用HTTP行为特征生成与提取方法

9

作者 罗亚玲 黎文伟 苏欣 《电信科学》 北大核心 2016年第8期136-145,共10页

Android恶意应用数量的不断增加不仅严重危害Android市场安全,同时也为Android恶意应用检测工作带来挑战。设计了一种基于HTTP流量的Android恶意应用行为生成与特征自动提取方法。该方法首先使用自动方式执行恶意应用,采集所生成的网络... Android恶意应用数量的不断增加不仅严重危害Android市场安全,同时也为Android恶意应用检测工作带来挑战。设计了一种基于HTTP流量的Android恶意应用行为生成与特征自动提取方法。该方法首先使用自动方式执行恶意应用,采集所生成的网络流量。然后从所生成的网络流量中提取基于HTTP的行为特征。最后将得到的网络行为特征用于恶意应用检测。实验结果表明,所设计的方法可以有效地提取Android恶意应用行为特征,并可以准确地识别Android恶意应用。 展开更多

关键词 android恶意应用 HTTP流量 网络行为特征 安全

下载PDF 职称材料

改进粒子群算法应用于Android恶意应用检测研究

10

作者 谭鹤毅 《信息记录材料》 2022年第7期148-150,共3页

为了有效提高Android恶意应用检测水平,应积极提取Android应用程序的控制信息、申请权限信息,但是以上信息和数据总量较大,其特点系数能够达到三四万维左右,以此为Android恶意应用检测消除总量冗余特征提供技术支持。针对此种现状采用B... 为了有效提高Android恶意应用检测水平,应积极提取Android应用程序的控制信息、申请权限信息,但是以上信息和数据总量较大,其特点系数能够达到三四万维左右,以此为Android恶意应用检测消除总量冗余特征提供技术支持。针对此种现状采用BPSO算法改进,针对Android系统和应用平台进行搜索监测,BPSO算法改进中运用迭代搜索,利用设定的评价函数,对Android应用进行评断,确定存在恶意应用存储位置等,确保系统的安全。首先详细分析改进粒子群算法基础理论,结合改进粒子群算法实施流程,总结出二进制粒子群计算改进策略以及Android恶意应用检测优化策略。 展开更多

关键词 改进粒子群算法 android恶意应用 信息获取技术 自动化脚本

下载PDF 职称材料

基于数据流深度学习算法的Android恶意应用检测方法 被引量：10

11

作者 朱大立 金昊 +2 位作者 吴荻 荆鹏飞 杨莹 《信息安全学报》 CSCD 2019年第2期53-68,共16页

目前针对未知的Android恶意应用可以采用机器学习算法进行检测,但传统的机器学习算法具有少于三层的计算单元,无法充分挖掘Android应用程序特征深层次的表达。文中首次提出了一种基于深度学习的算法DDBN(Data-flow Deep Belief Network)... 目前针对未知的Android恶意应用可以采用机器学习算法进行检测,但传统的机器学习算法具有少于三层的计算单元,无法充分挖掘Android应用程序特征深层次的表达。文中首次提出了一种基于深度学习的算法DDBN(Data-flow Deep Belief Network)对Android应用程序数据流特征进行分析,从而检测Android未知恶意应用。首先,使用分析工具Flow Droid和SUSI提取能够反映Android应用恶意行为的静态数据流特征;然后,针对该特征设计了数据流深度学习算法DDBN,该算法通过构建深层的模型结构,并进行逐层特征变换,将数据流在原空间的特征表示变换到新的特征空间,从而使分类更加准确;最后,基于DDBN实现了Android恶意应用检测工具Flowdect,并对现实中的大量安全应用和恶意应用进行检测。实验结果表明,Flowdect能够充分学习Android应用程序的数据流特征,用于检测未知的Android恶意应用。通过与其他基于传统机器学习算法的检测方案对比, DDBN算法具有更优的检测效果。 展开更多

关键词 机器学习 android恶意应用检测 深度学习 数据流特征

下载PDF 职称材料

基于多视图表示学习的安卓恶意应用检测方法

12

作者 赵文翔 孟昭逸 +2 位作者 熊焰 黄文超 刘奇旭 《信息安全学报》 CSCD 2024年第5期162-177,共16页

安卓操作系统自发布以来一直保持着很高的市场份额,并且由于安卓应用的数量庞大、功能繁多、行为语义复杂,攻击者可采取多种手段将其真实攻击意图隐藏在合法功能之中。然而,现有检测方案往往只能识别有限类型的恶意应用及行为。为了解... 安卓操作系统自发布以来一直保持着很高的市场份额,并且由于安卓应用的数量庞大、功能繁多、行为语义复杂,攻击者可采取多种手段将其真实攻击意图隐藏在合法功能之中。然而,现有检测方案往往只能识别有限类型的恶意应用及行为。为了解决这个问题,本文利用异构信息网络对现有的代表性检测方案进行高度抽象,并使用多视图表示学习和多视图融合方法对其进行深度挖掘与协同融合,以充分释放不同方案的检测潜力,构建更为精确且全面的恶意应用检测系统。为了实现上述目的,本文提出并实现了一个基于多视图表示学习的安卓恶意应用检测系统MVFDroid。该系统首先从敏感数据流、可疑控制条件和权限三个视角出发充分观察安卓应用,从而构建出异构信息网络,以描述应用行为的执行逻辑以及行为间的关联关系;然后采用基于视图的游走方式对异构信息网络进行采样,以生成不同视图下的应用行为表示向量;最后利用基于多视图融合的安卓恶意应用检测方法,将表示向量融合后送入深度神经网络(DNN)分类器中,从不同视角综合判断其目标应用的恶意性。实验表明,本文提出的方法可有效检测出安卓恶意应用,其检测的准确率为96.57%且F1值为95.56%,均优于当前的代表性检测方案Drebin、HinDroid和MaMaDroid。同时,实验结果表明,本文所使用的基于视图融合的表示学习方法可有效应用于安卓恶意应用检测任务,其效果优于基准方法DeepWalk、node2vec和metapath2vec。 展开更多

关键词 android恶意应用检测 异构信息网络 多视图融合 图表示学习

下载PDF 职称材料

基于多特征融合的安卓恶意应用程序检测方法 被引量：4

13

作者 王勇 蔡建宇 +2 位作者 孟春 刘振岩 薛静锋 《信息安全学报》 CSCD 2018年第4期54-62,共9页

安卓恶意应用程序的检测目前存在着检测速度慢、检测率低等问题,本文针对这些问题提出了一种基于多特征融合的安卓恶意应用程序检测方法。从Android恶意应用的恶意行为特点出发,运用静态分析和动态分析互相结合的方法,提取出权限和组件... 安卓恶意应用程序的检测目前存在着检测速度慢、检测率低等问题,本文针对这些问题提出了一种基于多特征融合的安卓恶意应用程序检测方法。从Android恶意应用的恶意行为特点出发,运用静态分析和动态分析互相结合的方法,提取出权限和组件、函数API调用序列、系统命令、网络请求等多维度特征,对维度较大的特征种类使用信息增益方法进行特征的筛选,取出最有用特征。本文还利用半敏感哈希算法的降维和保持相似度的特性,提出基于Simhash算法的特征融合方法,将原有的大维度的特征降维到相对较小的维度,并解决了特征的不平衡问题。融合后的特征使用GBDT算法和随机森林算法分类,检测恶意样本。实验对比分析得出本文使用的多种特征融合的方法在可以大大降低分类的训练时间,提高检测效率。 展开更多

关键词 android恶意应用检测 特征融合 Simhash算法 GBDT算法 随机森林算法

下载PDF 职称材料

对抗环境下基于集成学习的细粒度恶意应用分类检测

14

作者 李明语 张轶 《丽水学院学报》 2020年第5期70-76,共7页

当前绝大多数对Android恶意应用的检测只是在粗粒度层面对恶意应用进行检测,不能准确地探知具体的恶意应用所属类别而且准确度不高,同时在对抗性环境下检测效果不佳。文章提出了一种基于集成学习的细粒度恶意应用分类检测方法,通过静态... 当前绝大多数对Android恶意应用的检测只是在粗粒度层面对恶意应用进行检测,不能准确地探知具体的恶意应用所属类别而且准确度不高,同时在对抗性环境下检测效果不佳。文章提出了一种基于集成学习的细粒度恶意应用分类检测方法,通过静态分析入手,然后对应用进行聚类;接着对聚类所得的每一个类训练其专属的集成分类器,以针对不同的软件类别采用不同的方法来更准确地甄别恶意软件。然后针对对抗性环境下的攻击原理,研究有助于提升系统整体鲁棒性的对抗性策略。实验表明,基于集成学习的细粒度恶意应用分类检测方法与对抗性策略跟传统算法相比,在各自的领域均有更好的效果。 展开更多

关键词 android恶意应用检测 android恶意应用分类 集成学习 对抗学习 机器学习

下载PDF 职称材料