面向Android恶意应用静态检测的特征频数差异增强算法
发布时间:2021-08-05 16:45
随着Android应用程序数量的快速增长,面向Android应用程序的安全性检测已成为网络安全领域的热点研究问题之一。针对恶意应用静态检测的特征选择,给出了良性特征、恶意特征、良性典型特征、恶意典型特征、非典型特征等概念,设计提出了特征频数差异增强算法FDE。FDE算法通过计算特征出现在良性与恶意应用中的频数,去除静态特征中的非典型特征。为合理验证算法的目标效果和性能优劣,分别设计了基于平衡数据与非平衡数据的实验,对于非平衡数据,引入了权重损失函数。实验结果表明,FDE算法可有效去除静态特征中的非典型特征,筛选出有效特征,权重损失函数可有效提高非平衡数据中的恶意数据识别率。
【文章来源】:计算机工程与科学. 2020,42(06)北大核心CSCD
【文章页数】:10 页
【部分图文】:
FDE算法与其他特征选择算法对比实验结果
表2 实例数据及FDE计算分析Table 2 Instance data and calculation analysis of FDE algorithm 序号 特征信息 序号 Nm Nb 序号 S值 卡方值 序号 1 Landroid/net/SSLSessionCache 1 541 1 1 0.054 0 568.838 422 60 / 2 Ljava/util/concurrent/ThreadPoolExecutor 2 4 815 2 294 2 0.252 1 893.999 296 70 2 3 Landroid/animation/Obj- ectAnimator → 统计特 征信息 3 4 441 71 → 计算各 特征S值 3 0.427 0 3 953.360 798 00 → 选择符合 条件特征 3 4 Landroid/graphics/Typeface 4 1 871 2 265 4 0.039 4 64.005 596 88 5 5 Landroid/content/res/XmlResourceParser 5 4 745 2 900 5 0.184 5 445.261 608 90 /为比较FDE算法和其他特征选择算法的性能差别,选择卡方校验、信息增益、FrequenSel和FDE算法在SVM、KNN、CNN 3种分类器上进行实验对比,实验结果如图2所示。由于FrequenSel无法自主选择特征数量,经参数调整特征数量最低为930个,将单独把FrequenSel选择的930个特征和卡方校验、信息增益、FDE等选择的778个特征作比较。
实验中,采用FDE+CNN组合的方法验证引入权重损失函数的效果。图3展示了FDE+CNN组合方法下各权重误报率和准确率变化情况,其中,良性类别权重为BW,恶意类别权重为MW。误报率可以反映测试集中恶意样本被错分为良性应用的比例。由图3a和图3b可见,随着迭代次数的增加,误报率呈现先下降后升高的趋势,且随着恶意样本类权重数值的增大,误报率整体呈下降趋势,但准确率呈先上升后下降的趋势。这表明恶意类别权重数值增大可以减少误报率,但权重超过一定数值,会降低整体准确率。
【参考文献】:
期刊论文
[1]基于随机森林算法的Android恶意行为识别与分类方法[J]. 柯懂湘,潘丽敏,罗森林,张寒青. 浙江大学学报(工学版). 2019(10)
[2]一种基于改进的朴素贝叶斯算法的Android钓鱼网站检测方案[J]. 马刚,刘锋,朱二周. 计算机工程与科学. 2018(08)
[3]基于混合特征的恶意安卓程序检测方法[J]. 徐林溪,郭帆. 计算机工程与科学. 2017(10)
本文编号:3324105
【文章来源】:计算机工程与科学. 2020,42(06)北大核心CSCD
【文章页数】:10 页
【部分图文】:
FDE算法与其他特征选择算法对比实验结果
表2 实例数据及FDE计算分析Table 2 Instance data and calculation analysis of FDE algorithm 序号 特征信息 序号 Nm Nb 序号 S值 卡方值 序号 1 Landroid/net/SSLSessionCache 1 541 1 1 0.054 0 568.838 422 60 / 2 Ljava/util/concurrent/ThreadPoolExecutor 2 4 815 2 294 2 0.252 1 893.999 296 70 2 3 Landroid/animation/Obj- ectAnimator → 统计特 征信息 3 4 441 71 → 计算各 特征S值 3 0.427 0 3 953.360 798 00 → 选择符合 条件特征 3 4 Landroid/graphics/Typeface 4 1 871 2 265 4 0.039 4 64.005 596 88 5 5 Landroid/content/res/XmlResourceParser 5 4 745 2 900 5 0.184 5 445.261 608 90 /为比较FDE算法和其他特征选择算法的性能差别,选择卡方校验、信息增益、FrequenSel和FDE算法在SVM、KNN、CNN 3种分类器上进行实验对比,实验结果如图2所示。由于FrequenSel无法自主选择特征数量,经参数调整特征数量最低为930个,将单独把FrequenSel选择的930个特征和卡方校验、信息增益、FDE等选择的778个特征作比较。
实验中,采用FDE+CNN组合的方法验证引入权重损失函数的效果。图3展示了FDE+CNN组合方法下各权重误报率和准确率变化情况,其中,良性类别权重为BW,恶意类别权重为MW。误报率可以反映测试集中恶意样本被错分为良性应用的比例。由图3a和图3b可见,随着迭代次数的增加,误报率呈现先下降后升高的趋势,且随着恶意样本类权重数值的增大,误报率整体呈下降趋势,但准确率呈先上升后下降的趋势。这表明恶意类别权重数值增大可以减少误报率,但权重超过一定数值,会降低整体准确率。
【参考文献】:
期刊论文
[1]基于随机森林算法的Android恶意行为识别与分类方法[J]. 柯懂湘,潘丽敏,罗森林,张寒青. 浙江大学学报(工学版). 2019(10)
[2]一种基于改进的朴素贝叶斯算法的Android钓鱼网站检测方案[J]. 马刚,刘锋,朱二周. 计算机工程与科学. 2018(08)
[3]基于混合特征的恶意安卓程序检测方法[J]. 徐林溪,郭帆. 计算机工程与科学. 2017(10)
本文编号:3324105
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3324105.html
