基于权限和API的安卓恶意软件检测技术研究

发布时间：2021-08-03 00:35

　　面对近年来层出不穷的安卓恶意软件给广大用户带来的安全威胁,快速精准的安卓恶意软件检测技术研究刻不容缓。虽然现有基于机器学习的检测方法能检测出部分未知安卓恶意软件,但是仍然面临着特征繁杂、检测效率低和技术实现复杂等难题。本文对基于机器学习的检测方法进行了深入的研究。针对高维特征影响机器学习模型训练效率的问题,本文提出一种特征选择新方法。该方法根据特征在样本数据集的分布特点,计算特征在恶意软件中出现的频率和在恶意软件和正常软件中出现的频率差异,并取上述两值的调和平均数,即敏感系数,度量特征识别恶意软件的能力,选择敏感系数较高的特征。实验中对权限和API两类特征进行选择,结果表明,经过特征选择后,梯度提升决策树（Gradient Boosting Decision Tree,GBDT）分类模型在保证检测准确率的同时训练时间可缩短80%以上。针对基于混合多特征的检测方法效率有待提高的问题,本文提出一种基于两级分类的检测方法。第一级分类利用提取较快的权限特征快速识别恶意软件,并判断恶意类别识别的可靠性,对识别不可靠以及识别为正常的软件进行第二级分类,以减少误检测和漏检测;第二级分类利用检测精度较... 

【文章来源】：杭州电子科技大学浙江省

【文章页数】：78 页

【学位级别】：硕士

【部分图文】：

历年新增安卓恶意软件数量

杭州电子科技大学硕士学位论文图1.1历年新增安卓恶意软件数量图1.2历年安装安卓恶意软件的用户人次随着机器学习技术的发展，越来越多的研究人员将机器学习技术应用于安卓恶意软件检测领域。他们通过静态分析或动态分析提取安卓软件的特征，并利用机器学习分类模型对安卓软件样本进行学习分类，以此检测安卓恶意软件。动态分析需要在虚拟环境中模拟运行安卓软件以获取实际运行时内容，资源消耗较多，并没有被广泛地使用。静态分析不需要运行安卓软件，而依赖于其本身提供的内容，相对而言资源消耗较少，应用较广泛。在通过静态分析提取的特征中，权限和API可在一定程度上体现安卓软件的2

杭州电子科技大学硕士学位论文图2.1安卓系统框架2.1.2安卓APK文件结构用于安卓平台安装的软件是一个APK文件，APK文件其实就是一个后缀名为.apk的压缩文件，其中包含了安卓软件的所有配置文件、资源文件和源代码文件。利用ApkTool反编译工具反编译APK文件可得到META-INF目录、Res目录、Assets目录、Lib目录、AndroidManifest.xml文件和Smali目录。META-INF目录存放的是安卓软件的签名信息，用于验证APK文件的完整性。在打包一个APK时，AndroidSDK会对所有要打包的文件做一个校验计算，并把计算结果放在META-INF目录下。在安装时，如果校验结果与META-INF下的内容不一致，系统就不会安装这个APK，从而确保安卓APK文件不被恶意修改或者病毒感染。Res目录存放的是资源文件，包括动画文件、图像资源文件、布局文件和特征值文件。与Assets目录的不同的是，Res目录下的文件会在.R文件中生成对应的资源ID。Assets目录存放的是需要打包到APK中的静态文件，该目录支持任意深度的子目录，用户可以根据自己的需求任意部署文件夹结构。Lib目录存放的是安卓软件所依赖的native库文件。8


本文编号：3318579