面向Android平台的恶意软件检测系统的设计与实现
发布时间:2020-10-27 00:26
近年来,Android操作系统因其开源、免费和易用等特性得到了快速的普及和发展,市场份额超过了八成,为人们的生活带来了许多的便利。但是由于Android系统开源的特点,加上第三方软件市场缺乏监管,恶意软件随意传播,Android系统的生态环境一直没有得到改善,为用户的隐私信息安全带来了严重的威胁。因此研究Android平台的恶意软件检测技术,对于保护Android平台用户隐私和财产安全显得尤为必要。论文深入研究了Android平台恶意软件检测技术,主要研究工作如下:(1)提出一种基于行为的Android恶意软件检测方法。通过在用户终端部署软件API调用行为监测框架,采用hook技术,通过监测目标软件的敏感API调用行为,生成软件实时的API访问序列并上传到服务端,服务端通过分析软件的API访问序列构建软件动态行为特征,通过软件动态行为模型进行分类,实时的对软件行为的合法性进行判断,并在必要时对软件的API访问行为进行阻断;同时通知用户,根据用户的反馈对恶意样本进行处理,防止恶意软件造成进一步危害。(2)提出一种轻量级的Android平台恶意软件检测方法,根据不同恶意软件检测要求,设计了两阶段的Android恶意软件检测机制。第一阶段,利用静态特征检测模型快速的对软件进行恶意性检测:针对不同特点的恶意软件,分别提取软件数字签名、软件哈希值、软件申请的权限信息、软件调用的接口函数等特征,采用机器学习方法构建分类模型;第二阶段,针对软件包进行了代码混淆、加壳等难以通过静态分析进行恶意性判断的软件,本文通过在Android模拟器中模拟软件的动态行为获得软件的动态特征,建立动态特征检测模型。为了实现轻量级的特点,本文采用特征选择方法对特征空间进行降维,以构建快速高效的恶意检测系统。在上述研究工作的基础上,完成了面向Android平台的软件恶意检测系统的服务器端和客户端的模块设计,并初步实现了该恶意软件检测系统。设计并完成了测试实验。对比实验结果表明,本系统具有较高的检测精度以及较低的误报率。本系统能够有效解决Android平台恶意软件检测问题,降低恶意软件对用户造成的不利影响。
【学位单位】:南京航空航天大学
【学位级别】:硕士
【学位年份】:2018
【中图分类】:TP311.52;TP316
【部分图文】:
性样本但分类为恶意样本的数量;FP 是指将本身为恶意样本但是分类为 表示将本身为恶意样本并分类为恶意样本的数量;TP 指将本身为良性样的数量。.2.3 的特征选择的有效性,本文实验了其对前面提到的已知恶意软件的分SVM 构建分类器。用 4.2.3 节得到的特征选择之后的低维特征和特征选择据实验结果如表 4. 2 所示:表 4. 2 恶意软件检测结果 TPR% FPR% 训练时间/s择 90.5 2.0 16.5 92.9 1.8 3.2得,在本文使用的数据集上使用特征选择方法对软件特征进行降维之后,和假阳性率基本不变的情况下,使得系统的训练时间明显缩减。并且特征的分类精度的同时提高了软件的检测效率,对样本库中剩下的 30%的软件时间分布如图 4. 3 所示:1285117300特征选择前 特征选择后
Android 平台的恶意软件检测系统的设计与实现过软件特征选择降低特征空间维度可以有效的减少训练方法,训练数据集都是有标记的,因此训练模比较好的检测效果。下面我们验证本章静态检测方中选取 2000 个恶意软件组成恶意样本集,该数据验我们选取其中的 19 个恶意家族软件和 1000 个良两组作为输入,训练恶意软件分类器,然后对第 2第二次实验我们将第 20 个恶意家族的恶意软件选对剩下一半软件进行检测得到结果如图 4. 4 所示:89.790.592.1
图 4. 6 本文检测结果与 VirusTotal 检测结果对比由图 4. 7 可以得到本文的两阶段处理的恶意软件检测系统在检测大部分软件时都具有很高检测效率,只有在遇到软件被加固的情况下需要进行动态分析才会延长软件的检测时间,在态检测阶段,启动 DroidBox 沙箱和安装软件并模拟运行会消耗较多时间。平均情况下,启动roidBox 会消耗 3 分钟左右,安装并模拟软件运行会消耗 7~8分钟左右。在本文所提出的两阶的恶意软件检测方法,既保留了静态检测精度高速度快的优点,同时又解决了静态方法难以析加固软件的缺点,在一定程度上提高了 Android 恶意软件的检测精度和检测效率,为本文恶意软件检测系统提供了服务端的支持。0%20%40%检测引擎
【参考文献】
本文编号:2857740
【学位单位】:南京航空航天大学
【学位级别】:硕士
【学位年份】:2018
【中图分类】:TP311.52;TP316
【部分图文】:
性样本但分类为恶意样本的数量;FP 是指将本身为恶意样本但是分类为 表示将本身为恶意样本并分类为恶意样本的数量;TP 指将本身为良性样的数量。.2.3 的特征选择的有效性,本文实验了其对前面提到的已知恶意软件的分SVM 构建分类器。用 4.2.3 节得到的特征选择之后的低维特征和特征选择据实验结果如表 4. 2 所示:表 4. 2 恶意软件检测结果 TPR% FPR% 训练时间/s择 90.5 2.0 16.5 92.9 1.8 3.2得,在本文使用的数据集上使用特征选择方法对软件特征进行降维之后,和假阳性率基本不变的情况下,使得系统的训练时间明显缩减。并且特征的分类精度的同时提高了软件的检测效率,对样本库中剩下的 30%的软件时间分布如图 4. 3 所示:1285117300特征选择前 特征选择后
Android 平台的恶意软件检测系统的设计与实现过软件特征选择降低特征空间维度可以有效的减少训练方法,训练数据集都是有标记的,因此训练模比较好的检测效果。下面我们验证本章静态检测方中选取 2000 个恶意软件组成恶意样本集,该数据验我们选取其中的 19 个恶意家族软件和 1000 个良两组作为输入,训练恶意软件分类器,然后对第 2第二次实验我们将第 20 个恶意家族的恶意软件选对剩下一半软件进行检测得到结果如图 4. 4 所示:89.790.592.1
图 4. 6 本文检测结果与 VirusTotal 检测结果对比由图 4. 7 可以得到本文的两阶段处理的恶意软件检测系统在检测大部分软件时都具有很高检测效率,只有在遇到软件被加固的情况下需要进行动态分析才会延长软件的检测时间,在态检测阶段,启动 DroidBox 沙箱和安装软件并模拟运行会消耗较多时间。平均情况下,启动roidBox 会消耗 3 分钟左右,安装并模拟软件运行会消耗 7~8分钟左右。在本文所提出的两阶的恶意软件检测方法,既保留了静态检测精度高速度快的优点,同时又解决了静态方法难以析加固软件的缺点,在一定程度上提高了 Android 恶意软件的检测精度和检测效率,为本文恶意软件检测系统提供了服务端的支持。0%20%40%检测引擎
【参考文献】
相关期刊论文 前3条
1 董航;李祺;董枫;彭勇;徐国爱;;Android运行时恶意行为检测模型研究[J];北京邮电大学学报;2014年03期
2 杨欢;张玉清;胡予濮;刘奇旭;;基于多类特征的Android应用恶意行为检测系统[J];计算机学报;2014年01期
3 杨欢;张玉清;胡予濮;刘奇旭;;基于权限频繁模式挖掘算法的Android恶意应用检测方法[J];通信学报;2013年S1期
本文编号:2857740
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/2857740.html
