结合动静态特征的Android恶意代码深度学习检测

发布时间：2020-06-03 05:49

【摘要】：随着互联网与智能移动终端的普及,恶意软件也开始向移动终端转移。由于Android系统的开放特性和较高的市场占有率,恶意软件在Android平台传播越来越广泛。为了保障移动端信息安全,需要一种可靠、有效的Android恶意代码检测方法。现有相关检测技术大多在静态分析与动态分析中选择一种,其中前者难以解析加密混淆或动态加载的恶意程序,后者较难覆盖所有恶意行为产生的情况。本论文针对现有检测技术的不足,提出了一种将动态特征与静态特征相结合的Android恶意代码检测方法,分别通过污点追踪与静态解析提取目标应用程序的动态特征与静态特征,并利用深度学习模型进行恶意代码检测。将动态特征与静态特征相结合,能更好地刻画Android应用程序的行为,提高恶意代码检测的正确率;使用深度学习模型对特征综合分类学习,可以将动静态特征抽象到更高的层次,从而实现对较隐蔽的恶意代码的检测。本论文对提出的Android恶意代码检测方法进行了系统实现,并在公开的Android软件样本集上进行了测试。本论文设计实验分析了不同特征维度、不同模型参数、不同网络模型对检测结果的影响,并根据实验结果调节参数、优化模型。实验结果表明,本方法对Android恶意代码的检测正确率在85%到95%之间,具有较强的实用性,可以有效保护Android系统的安全。
【图文】：

可执行文件

图 2-1 可执行文件 DEX 结构g.2-1 Executable file structure of DEX装包 APK 文件中包含了 Androi此，对安装包中二进制文件的分机内部执行的核心字节代码可以DEX 文件得到包含 Smali 代码的件的需求。工具 Baksmali 对指定应用程序安一个类都可以得到一个 Smali 是内部类，在反编译的代码中都列 Smali 指令和 Dalvik 字节码的每一条指令由关键词开头，在能包含多个参数。“.class”、“.super”、“.source”，当前类的信息。从第 4 行开始

动态加载,执行过程,应用程序,过程

移动安全的防护。用程序被反编译后恶意利用的情况的发生，Android 应一系列安全措施来保护自己发布的安装包 APK 文件。本、人力成本的限制，，Android 应用程序加壳技术成为而在另一方面，由于对恶意软件的检测识别依赖于对技术，因此恶意软件制作者也会采用加壳技术，用来，阻止安全人员通过反编译技术获取其恶意代码部分Android 应用程序加壳技术，以及与其对立的脱壳技术恶意软件制作者与移动安全人员都会应用到的安全技技术用程序加壳的通常做法是把源程序进行加密，把加密后时壳程序打包后即发布的 APK 版本。在实际运行过程程序的加密数据进行解密，再用 DexClassLoader 动态加由于源程序经过加密，可以有效阻止对程序的反编译的运行过程，如图 2-2 所示。
【学位授予单位】：上海交通大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP18;TP309;TP311.56

【参考文献】