CN104376262B - 一种基于Dalvik指令和权限组合的安卓恶意软件检测方法 - Google Patents

一种基于Dalvik指令和权限组合的安卓恶意软件检测方法 Download PDF

Info

Publication number
CN104376262B
CN104376262B CN201410746314.6A CN201410746314A CN104376262B CN 104376262 B CN104376262 B CN 104376262B CN 201410746314 A CN201410746314 A CN 201410746314A CN 104376262 B CN104376262 B CN 104376262B
Authority
CN
China
Prior art keywords
software
freq
dalvik
instruction
authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410746314.6A
Other languages
English (en)
Other versions
CN104376262A (zh
Inventor
张凯
姜青山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Institute of Advanced Technology of CAS
Original Assignee
Shenzhen Institute of Advanced Technology of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Institute of Advanced Technology of CAS filed Critical Shenzhen Institute of Advanced Technology of CAS
Priority to CN201410746314.6A priority Critical patent/CN104376262B/zh
Publication of CN104376262A publication Critical patent/CN104376262A/zh
Application granted granted Critical
Publication of CN104376262B publication Critical patent/CN104376262B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Abstract

本发明公开了一种基于Dalvik指令和权限组合的安卓恶意软件检测方法,所述方法包括:S1、使用解压缩工具打开安卓应用软件包,得到classes.dex文件和AndroidManifest.xml文件;S2、反编译classes.dex文件构建Dalvik指令的频率特征,然后采用检测模型对安卓应用软件包进行正常软件和恶意软件的检测;S3、反编译AndroidManifest.xml文件提取权限特征,并构建权限特征向量,由分类算法建立分类器,进行正常软件和恶意软件的检测。本发明能够有效对抗混淆加密等技术,基于Dalvik指令的检测方法是一种轻量级的检测方法,结合权限组合的检测机制,在保证检测的准确率的同时,减小了计算量。

Description

一种基于Dalvik指令和权限组合的安卓恶意软件检测方法
技术领域
本发明涉及恶意软件检测及网络安全技术领域,尤其涉及一种基于Dalvik指令和权限组合的安卓恶意软件检测方法。
背景技术
移动恶意软件,是指在用户不知情或未授权的情况下,在用户手上安装、运行,已达到不正当的目的,或具有违反国家相关法律法规行为的手机软件。根据中国互联网协会和中国反病毒联盟联合编写的《移动互联网恶意代码描述规范》,安卓恶意软件主要分为八种恶意类型:恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓行为。不断增长的移动恶意软件不仅给用户带来了严重的经济损失,而且威胁到用户的个人信息安全。
目前主流的恶意软件检测方案主要分为静态检测和动态检测。动态分析主要是分析程序运行时的特征,包括系统调用序列和数据流等。这些方法需要修改安卓系统的内核,而且带来了大量的实时计算。静态检测方法通过分析应用程序的源代码,并不运行应用程序。安卓平台恶意软件常见的静态特征有:APK申请的权限、API、APK签名信息等。Zhou等人分析了恶意软件与正常软件权限之间的不同:恶意软件更倾向于申请短信相关的权限和自启动权限。童振飞抽取了classes.dex文件中类与API调用信息作为特征,运用机器学习算法,构建分类模型,检测安卓恶意软件。房鑫鑫发展了童振飞的工作,通过对比应用程序中的AndroidManifest.xml文件的签名信息,判断应用程序是否被恶意篡改。Peiravian等人分析了恶意软件与正常软件申请权限以及API的不同,综合了权限和API特征,构建不同的分类器。Aafer等人结合了高危的API及其参数特征,来构建分类模型。目前的静态检测方法主要依赖于分析安卓应用软件申请的权限和API特征,而权限特征已经被大量的应用软件所滥用,API特征难以对抗混淆加密技术。
Kang等人利用了Dalvik指令频率特征对安卓恶意软件的家族进行分类,Kang等人提取并反编译APK软件包中的classes.dex文件,得到安卓汇编语言smali文件,然后统计smali文件中每个Dalvik指令出现的绝对频率,构建特征向量来表示该安卓应用软件。特征向量的第一维表示恶意软件的家族,其余维表示Dalivk指令的绝对频率特征。最后运用随机森林算法构建分类器,对恶意软件的家族之间进行分类。
现有流行的安卓恶意软件检测技术高度依赖于权限特征和API特征,而权限被大量的应用软件所滥用,API及其参数是比较有效的检测手段,但这种方法计算量较大,而且API的参数也是千变万化。
因此,针对上述技术问题,有必要提供一种基于Dalvik指令和权限组合的安卓恶意软件检测方法。
发明内容
有鉴于此,本发明的目的在于提供一种基于Dalvik指令和权限组合的安卓恶意软件检测方法,以解决当前鉴别安卓恶意软件的主要问题,包括:(1)特征单一,依赖于权限和API特征;(2)计算量大。
为了达到上述目的,本发明实施例提供的技术方案如下:
一种基于Dalvik指令和权限组合的安卓恶意软件检测方法,所述方法包括:
S1、使用解压缩工具打开安卓应用软件包,得到classes.dex文件和AndroidManifest.xml文件;
S2、反编译classes.dex文件构建Dalvik指令的频率特征,然后采用检测模型对安卓应用软件包进行正常软件和恶意软件的检测;
S3、反编译AndroidManifest.xml文件提取权限特征,并构建权限特征向量,由分类算法建立分类器,进行正常软件和恶意软件的检测。
作为本发明的进一步改进,所述步骤S2中检测模型的构建方法为:
Dalvik指令的频率特征为:
absoluteFreqi={Ci,freq(i,1),freq(i,2),…,freq(i,j)|1≤j≤n},
其中当且仅当Ci=1时该软件为恶意软件,当且仅当Ci=0时该软件为正常软件,n为Dalvik指令的个数,freq(i,j)表示第i个应用软件中出现第j个指令的绝对频率;
将正常软件与恶意软件的样本集合集制成一个特征矩阵FM,得到检测模型。
作为本发明的进一步改进,所述步骤S2还包括:
将Dalvik指令的绝对频率转化为相对频率relativeFreqi
其中表示第i个软件包所有Dalvik指令出现的次数总和。
作为本发明的进一步改进,所述步骤S2还包括:
根据特征矩阵FM和阀值tp,提取有效区分正常软件与恶意软件的特征子集FS。
作为本发明的进一步改进,所述步骤S2具体包括:
若Dalvik指令的频率特征中Ci=0,将该绝对频率freq(i,j)加入freq(i)b中;
若Dalvik指令的频率特征中Ci=1,将该绝对频率freq(i,j)加入freq(i)m中;
定义diff=benignMeanFreq/malwareMeanFreq,其中:
若diff(j)>阀值tp,则将该指令加入到特征子集FS中。
作为本发明的进一步改进,所述步骤S3中的分类算法包括支持向量机算法、K最临近算法、随机森林算法、神经网络算法。
本发明具有以下有益效果:
区别于现有技术中基于权限和API的静态检测方式,基于Dalvik指令的检测方法能够有效对抗混淆加密等技术;
基于Dalvik指令的检测方法是一种轻量级的检测方法,结合权限组合的检测机制,在保证检测的准确率的同时,减小了计算量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于Dalvik指令和权限组合的安卓恶意软件检测方法的流程示意图。
图2为本发明一具体实施方式中Dalvik指令相对频率的量化过程示意图。
图3为本发明一具体实施方式中基于权限特征的检测流程示意图。
图4为本发明一具体实施方式中的敏感权限分类图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的主要内容包括提取Dalvik指令的相对频率特征,并结合传统的权限特征,构建多种不同的分类器进行检测。详细内容如下:
(一)提出了一种基于安卓Dalvik指令相对频率的恶意软件检测特征,构建分类器来检测恶意软件;
(二)提出了一种有效的特征选择方法,选择了有效区分恶意软件和正常软件的Dalvik指令子集,提高了检测效率;
(三)引入权限组合的检测机制,突出软件可能具备的恶意行为。
参图1所示,本发明的一种基于Dalvik指令和权限组合的安卓恶意软件检测方法,包括:
S1、使用解压缩工具打开安卓应用软件包,得到classes.dex文件和AndroidManifest.xml文件;
S2、反编译classes.dex文件构建Dalvik指令的频率特征,然后采用检测模型对安卓应用软件包进行正常软件和恶意软件的检测;
S3、反编译AndroidManifest.xml文件提取权限特征,并构建权限特征向量,由分类算法建立分类器,进行正常软件和恶意软件的检测。
每个安卓应用软件包都是以压缩包的形式存在的,可以使用解压缩工具打开软件包,每个软件包中都存在classes.dex文件和AndroidManifest.xml文件,classes.dex文件可以在安卓Dalvik虚拟机上直接运行,AndroidManifest.xml文件则是用来配置软件运行时所需要的权限、运行环境以及相关组件等信息。我们使用classes.dex文件构建Dalvik指令频率特征,使用AndroidManifest.xml文件构建权限特征。下面介绍详细细节:
(一)基于Dalvik指令频率的检测方法:
1、Dalvik指令特征提取与表示
恶意代码在功能十分相似,即使通过混淆加密技术,也不能改变其恶意行为,而恶意行为表现在指令的频率上。本专利利用Dalvik指令频率特征,通过训练正常软件与恶意软件的指令频率,建立检测模型,达到检测未知软件的功能。
参图2所示为本发明一具体实施方式中Dalvik指令相对频率的量化过程示意图,按照指令集列表,归纳出230个安卓Dalvik指令。解压缩.apk文件,并反编译classes.dex文件,用freq(i,j)表示第i个应用软件中出现第j个指令的绝对频率,absoluteFreqi表示第i个应用软件的所有指令的频率特征,absoluteFreqi={Ci,freq(i,1),freq(i,2),…,freq(i,j)|1≤j≤n},其中Ci=1当且仅当该软件为恶意软件,Ci=0当且仅当该软件为正常软件,n=230。
但是,不同大小的应用程序会导致相同指令的绝对频率差距过大。为了避免软件大小的差异所带来的影响,本实施方式中提出了使用指令的相对频率relativeFreqi来量化应用软件,其中表示第i个软件包所有指令出现的次数总和。
根据以上的方法,可以将正常软件与恶意软件的样本集合集制成一个特征矩阵,用于训练模型和预测。
2、基于Dalvik指令特征的选择方法
本实施方式提出了一种基于Dalvik指令的特征选择算法,用来提取有效区分正常软件与恶意软件的特征子集。包括:
若Dalvik指令的频率特征中Ci=0,将该绝对频率freq(i,j)加入freq(i)b中;
若Dalvik指令的频率特征中Ci=1,将该绝对频率freq(i,j)加入freq(i)m中;
定义diff=benignMeanFreq/malwareMeanFreq,其中:
若diff(j)>阀值tp,则将该指令加入到特征子集FS中。
具体的特征选择步骤如下述算法所示。
根据以上特征选择的算法,归纳了59个Dalvik指令作为特征子集。不同于API特征,Dalivk指令在字面意义上并不表现出其恶意行为,因为Dalvik虚拟机是基于寄存器的,所以Dalivk指令也是寄存器相关的。例如:恶意软件通过发送短信,订购服务,来消耗用户资费,软件必然出现与短信相关的API,如:sendTextMessage()、getMessageFromIntent(),而其表现在Dalvik指令上则是invoke-virtual/range、invoke-static/range。
(三)基于权限特征的检测方法
反编译AndroidManifest.xml文件提取权限特征,并通过权限特征向量来表示该软件,如(label,1,0,0,…,1),其中第一维label表示软件所属的类别,当label=1表示恶意软件,label=0表示正常软件;其他维表示是否申请了该权限,若软件申请了该权限,置为1;未申请该权限,则置为0。
最终得到了一个权限特征矩阵,由分类算法建立分类器,检测可疑软件,经典的分类算法包括:支持向量机、K最临近,随机森林、神经网络等。详细流程图如图3所示。
为了反映软件的行为能力,本实施方式中将敏感权限分为隐私权限、付费权限以及其他高危权限三大类,如图4所示。当权限分类器预测该软件是恶意软件时,根据权限组合提示用户软件可能发生的恶意行为:
1)若软件拥有付费类权限,提示用户可能会产生付费行为;
2)若软件同时拥有隐私类权限和付费类权限,提示用户软件可能发生某种付费行为,并且可能会通过某种途径(付费类权限)泄漏用户的某种隐私数据(隐私类权限)。
在本发明的一具体实施例中,经验证,如下表1和表2所示,使用Dalvik指令的相对频率特征和权限特征,都可以有效的鉴别恶意软件。综合而言,使用Dalvik相对频率特征的随机森林分类器性能最好。
表1:基于Dalvik指令相对频率特征的各分类器性能
Dalvik指令相对频率特征 K最临近 随机森林
查准率 94.04% 97.42%
查全率 89.26% 94.80%
表2基于权限特征的各分类器性能
权限特征 支持向量机 K最临近 随机森林
查准率 92.39% 94.75% 100%
查全率 86.47% 84.58% 78%
进一步地,基于权限和Dalvik指令频率特征构建的分类器,也可以使用其他分类算法,如:朴素贝叶斯、支持向量机、神经网络、决策树等;
基于权限的检测方法,可以交换权限分类器检测和权限组合的顺序。可以先通过权限组合的方式,提示用户软件可能发生的行为。若该软件仅包含隐私类权限,说明软件可能发生手机用户隐私的行为,但没有通过网络或短信等泄漏用户隐私的途径,这种情况将判定为正常软件,否则说明软件具备可疑的恶意行为,再构建权限特征向量,交由分类模型进行预测,最终告知用户的检测结果。
由以上技术方案可以看出:
本发明以Dalvik指令的相对频率特征作为恶意软件检测的特征,这种特征量化方法有效地避免了应用程序大小所带来的影响,基于这种特征可以构建不同的分类器,常用的分类算法有K最临近、随机森林、支持向量机、神经网络等;
基于Dalvik指令的特征选择方法,该方法从整体上分析了恶意软件与正常软件的相对频率之间的差异,并选择差异最大的n个指令作为特征子集,实现了特征的降维;
基于权限组合的检测方法,该方法结合了数据挖掘技术和组合规则,当分类器鉴别出恶意软件时,利用权限组合显示了可能发生的恶意行为。
综上所述,本发明与现有技术相比具有以下有益效果:
区别于现有技术中基于权限和API的静态检测方式,基于Dalvik指令的检测方法能够有效对抗混淆加密等技术;
基于Dalvik指令的检测方法是一种轻量级的检测方法,结合权限组合的检测机制,在保证检测的准确率的同时,减小了计算量。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。

Claims (2)

1.一种基于Dalvik指令和权限组合的安卓恶意软件检测方法,其特征在于,所述方法包括:
S1、使用解压缩工具打开安卓应用软件包,得到classes.dex文件和AndroidManifest.xml文件;
S2、反编译classes.dex文件构建Dalvik指令的频率特征,然后采用检测模型对安卓应用软件包进行正常软件和恶意软件的检测;
S3、反编译AndroidManifest.xml文件提取权限特征,并构建权限特征向量,由分类算法建立分类器,进行正常软件和恶意软件的检测,所述步骤S2中检测模型的构建方法为:
Dalvik指令的频率特征为:
absoluteFreqi={Ci,freq(i,1),freq(i,2),…,freq(i,j)|1≤j≤n},
其中当且仅当Ci=1时该软件为恶意软件,当且仅当Ci=0时该软件为正常软件,n为Dalvik指令的个数,freq(i,j)表示第i个应用软件中出现第j个指令的绝对频率;
将正常软件与恶意软件的样本集合集制成一个特征矩阵FM,得到检测模型,所述步骤S2还包括:
将Dalvik指令的绝对频率转化为相对频率relativeFreqi
<mrow> <msub> <mi>relativeFreq</mi> <mi>i</mi> </msub> <mo>=</mo> <mo>{</mo> <msub> <mi>C</mi> <mi>i</mi> </msub> <mo>,</mo> <mfrac> <mrow> <mi>f</mi> <mi>r</mi> <mi>e</mi> <mi>q</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mn>1</mn> <mo>)</mo> </mrow> </mrow> <mrow> <msup> <mi>s</mi> <mo>.</mo> </msup> <mi>u</mi> <mi>m</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> </mrow> </mfrac> <mo>,</mo> <mfrac> <mrow> <mi>f</mi> <mi>r</mi> <mi>e</mi> <mi>q</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mn>2</mn> <mo>)</mo> </mrow> </mrow> <mrow> <mi>s</mi> <mi>u</mi> <mi>m</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> </mrow> </mfrac> <mo>,</mo> <mn>...</mn> <mo>,</mo> <mfrac> <mrow> <mi>f</mi> <mi>r</mi> <mi>e</mi> <mi>q</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>)</mo> </mrow> </mrow> <mrow> <mi>s</mi> <mi>u</mi> <mi>m</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> </mrow> </mfrac> <mo>|</mo> <mn>1</mn> <mo>&amp;le;</mo> <mi>j</mi> <mo>&amp;le;</mo> <mi>n</mi> <mo>}</mo> <mo>,</mo> </mrow>
其中表示第i个软件包所有Dalvik指令出现的次数总和,所述步骤S2还包括:
根据特征矩阵FM和阀值tp,提取有效区分正常软件与恶意软件的特征子集FS,所述步骤S2具体包括:
若Dalvik指令的频率特征中Ci=0,将该绝对频率freq(i,j)加入freq(i)b中;
若Dalvik指令的频率特征中Ci=1,将该绝对频率freq(i,j)加入freq(i)m中;
定义diff=benignMeanFreq/malwareMeanFreq,其中:
<mrow> <mi>b</mi> <mi>e</mi> <mi>n</mi> <mi>i</mi> <mi>g</mi> <mi>n</mi> <mi>M</mi> <mi>e</mi> <mi>a</mi> <mi>n</mi> <mi>F</mi> <mi>r</mi> <mi>e</mi> <mi>q</mi> <mo>=</mo> <mo>{</mo> <mfrac> <mrow> <mi>f</mi> <mi>r</mi> <mi>e</mi> <mi>q</mi> <msub> <mrow> <mo>(</mo> <mn>1</mn> <mo>)</mo> </mrow> <mi>b</mi> </msub> </mrow> <mrow> <msub> <mi>num</mi> <mi>b</mi> </msub> </mrow> </mfrac> <mo>,</mo> <mfrac> <mrow> <mi>f</mi> <mi>r</mi> <mi>e</mi> <mi>q</mi> <msub> <mrow> <mo>(</mo> <mn>2</mn> <mo>)</mo> </mrow> <mi>b</mi> </msub> </mrow> <mrow> <msub> <mi>num</mi> <mi>b</mi> </msub> </mrow> </mfrac> <mo>,</mo> <mn>...</mn> <mo>,</mo> <mfrac> <mrow> <mi>f</mi> <mi>r</mi> <mi>e</mi> <mi>q</mi> <msub> <mrow> <mo>(</mo> <mi>n</mi> <mo>)</mo> </mrow> <mi>b</mi> </msub> </mrow> <mrow> <msub> <mi>num</mi> <mi>b</mi> </msub> </mrow> </mfrac> <mo>}</mo> <mo>,</mo> <mi>m</mi> <mi>a</mi> <mi>l</mi> <mi>w</mi> <mi>a</mi> <mi>r</mi> <mi>e</mi> <mi>M</mi> <mi>e</mi> <mi>a</mi> <mi>n</mi> <mi>F</mi> <mi>r</mi> <mi>e</mi> <mi>q</mi> <mo>=</mo> <mo>{</mo> <mfrac> <mrow> <mi>f</mi> <mi>r</mi> <mi>e</mi> <mi>q</mi> <msub> <mrow> <mo>(</mo> <mn>1</mn> <mo>)</mo> </mrow> <mi>m</mi> </msub> </mrow> <mrow> <msub> <mi>num</mi> <mi>m</mi> </msub> </mrow> </mfrac> <mo>,</mo> <mfrac> <mrow> <mi>f</mi> <mi>r</mi> <mi>e</mi> <mi>q</mi> <msub> <mrow> <mo>(</mo> <mn>2</mn> <mo>)</mo> </mrow> <mi>m</mi> </msub> </mrow> <mrow> <msub> <mi>num</mi> <mi>m</mi> </msub> </mrow> </mfrac> <mo>,</mo> <mn>...</mn> <mo>,</mo> <mfrac> <mrow> <mi>f</mi> <mi>r</mi> <mi>e</mi> <mi>q</mi> <msub> <mrow> <mo>(</mo> <mi>n</mi> <mo>)</mo> </mrow> <mi>m</mi> </msub> </mrow> <mrow> <msub> <mi>num</mi> <mi>m</mi> </msub> </mrow> </mfrac> <mo>}</mo> <mo>;</mo> </mrow>
若diff(j)>阀值tp,则将该指令加入到特征子集FS中;freq(i)b表示正常软件中每一维指令的绝对频率的总和,freq(i)m表示恶意软件中每一维指令的绝对频率的总和,numb表示正常软件的个数,numm表示恶意软件的个数。
2.根据权利要求1所述的方法,其特征在于,所述步骤S3中的分类算法包括支持向量机算法、K最临近算法、随机森林算法、神经网络算法。
CN201410746314.6A 2014-12-08 2014-12-08 一种基于Dalvik指令和权限组合的安卓恶意软件检测方法 Active CN104376262B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410746314.6A CN104376262B (zh) 2014-12-08 2014-12-08 一种基于Dalvik指令和权限组合的安卓恶意软件检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410746314.6A CN104376262B (zh) 2014-12-08 2014-12-08 一种基于Dalvik指令和权限组合的安卓恶意软件检测方法

Publications (2)

Publication Number Publication Date
CN104376262A CN104376262A (zh) 2015-02-25
CN104376262B true CN104376262B (zh) 2018-01-09

Family

ID=52555164

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410746314.6A Active CN104376262B (zh) 2014-12-08 2014-12-08 一种基于Dalvik指令和权限组合的安卓恶意软件检测方法

Country Status (1)

Country Link
CN (1) CN104376262B (zh)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104809395A (zh) * 2015-04-23 2015-07-29 天津大学 一种轻量级安卓恶意软件快速判断方法
CN104866763B (zh) * 2015-05-28 2019-02-26 天津大学 基于权限的Android恶意软件混合检测方法
CN106709336A (zh) 2015-11-18 2017-05-24 腾讯科技(深圳)有限公司 识别恶意软件的方法和装置
CN106845220B (zh) * 2015-12-07 2020-08-25 深圳先进技术研究院 一种Android恶意软件检测系统及方法
CN105468977A (zh) * 2015-12-14 2016-04-06 厦门安胜网络科技有限公司 一种基于朴素贝叶斯的Android恶意软件分类方法和装置
CN106933610B (zh) * 2015-12-30 2021-07-30 北京金山安全软件有限公司 一种应用程序安装包生成方法、装置及电子设备
CN111353589B (zh) * 2016-01-20 2024-03-01 中科寒武纪科技股份有限公司 用于执行人工神经网络正向运算的装置和方法
CN107180190A (zh) * 2016-03-11 2017-09-19 深圳先进技术研究院 一种基于混合特征的Android恶意软件检测方法及系统
CN107958154A (zh) * 2016-10-17 2018-04-24 中国科学院深圳先进技术研究院 一种恶意软件检测装置及方法
CN108062472A (zh) * 2016-11-07 2018-05-22 武汉安天信息技术有限责任公司 一种安卓平台下勒索应用的检测方法及系统
CN106570407B (zh) * 2016-11-14 2019-08-23 西北大学 一种基于knn的用户位置隐私自感知机制的保护方法
CN108182362B (zh) * 2016-12-08 2022-01-07 武汉安天信息技术有限责任公司 一种多dex文件分析方法及系统
CN106874761A (zh) * 2016-12-30 2017-06-20 北京邮电大学 一种安卓系统恶意应用检测方法及系统
CN106919841A (zh) * 2017-03-10 2017-07-04 西京学院 一种高效的基于旋转森林的Android恶意软件检测模型DroidDet
CN106997434A (zh) * 2017-03-28 2017-08-01 西安电子科技大学 基于Android系统的隐私保护模块及保护方法
CN107392021B (zh) * 2017-07-20 2019-06-07 中南大学 一种基于多类特征的Android恶意应用检测方法
CN107506646B (zh) * 2017-09-28 2021-08-10 努比亚技术有限公司 恶意应用的检测方法、装置及计算机可读存储介质
CN108717511A (zh) * 2018-05-14 2018-10-30 中国科学院信息工程研究所 一种Android应用威胁度评估模型建立方法、评估方法及系统
CN108734012B (zh) * 2018-05-21 2020-11-03 上海戎磐网络科技有限公司 恶意软件识别方法、装置及电子设备
CN109271788B (zh) * 2018-08-23 2021-10-12 北京理工大学 一种基于深度学习的Android恶意软件检测方法
CN109359439B (zh) * 2018-10-26 2019-12-13 北京天融信网络安全技术有限公司 软件检测方法、装置、设备及存储介质
CN109508545B (zh) * 2018-11-09 2021-06-04 北京大学 一种基于稀疏表示和模型融合的Android Malware分类方法
CN109784047B (zh) * 2018-12-07 2021-03-30 中国人民解放军战略支援部队航天工程大学 基于多特征的程序检测方法
CN109670310B (zh) * 2019-01-28 2023-04-18 杭州师范大学 一种基于半监督K-Means聚类算法的Android恶意软件检测方法
CN110069927A (zh) * 2019-04-22 2019-07-30 中国民航大学 恶意apk检测方法、系统、数据存储设备和检测程序
CN110363003B (zh) * 2019-07-25 2022-08-02 哈尔滨工业大学 一种基于深度学习的Android病毒静态检测方法
CN110795736B (zh) * 2019-10-31 2021-07-23 四川大学 一种基于svm决策树的恶意安卓软件检测方法
CN112989432A (zh) * 2019-12-16 2021-06-18 华为技术有限公司 文件签名提取方法和装置
CN112668006A (zh) * 2021-01-04 2021-04-16 长春理工大学 基于多特征快速高效的安卓恶意软件检测方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101604363A (zh) * 2009-07-10 2009-12-16 珠海金山软件股份有限公司 基于文件指令频度的计算机恶意程序分类系统及分类方法
CN102938040A (zh) * 2012-09-29 2013-02-20 中兴通讯股份有限公司 Android恶意应用程序检测方法、系统及设备
CN103473506A (zh) * 2013-08-30 2013-12-25 北京奇虎科技有限公司 用于识别恶意apk文件的方法和装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101402057B1 (ko) * 2012-09-19 2014-06-03 주식회사 이스트시큐리티 위험도 계산을 통한 리패키지 애플리케이션의 분석시스템 및 분석방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101604363A (zh) * 2009-07-10 2009-12-16 珠海金山软件股份有限公司 基于文件指令频度的计算机恶意程序分类系统及分类方法
CN102938040A (zh) * 2012-09-29 2013-02-20 中兴通讯股份有限公司 Android恶意应用程序检测方法、系统及设备
CN103473506A (zh) * 2013-08-30 2013-12-25 北京奇虎科技有限公司 用于识别恶意apk文件的方法和装置

Also Published As

Publication number Publication date
CN104376262A (zh) 2015-02-25

Similar Documents

Publication Publication Date Title
CN104376262B (zh) 一种基于Dalvik指令和权限组合的安卓恶意软件检测方法
Khammas Ransomware detection using random forest technique
Chen et al. Automatic ransomware detection and analysis based on dynamic API calls flow graph
Li et al. Android malware detection based on factorization machine
Chowdhury et al. Malware analysis and detection using data mining and machine learning classification
Shin et al. Advanced probabilistic approach for network intrusion forecasting and detection
Shahzad et al. Detection of spyware by mining executable files
Ugarte-Pedrero et al. Countering entropy measure attacks on packed software detection
Ullah et al. Modified decision tree technique for ransomware detection at runtime through API calls
CN106599688A (zh) 一种基于应用类别的安卓恶意软件检测方法
Verma et al. An Android Malware Detection Framework-based on Permissions and Intents.
Pachhala et al. A comprehensive survey on identification of malware types and malware classification using machine learning techniques
Dada et al. Performance evaluation of machine learning algorithms for detection and prevention of malware attacks
Sharma et al. Android ransomware detection using machine learning techniques: A comparative analysis on GPU and CPU
Kang et al. A study on variant malware detection techniques using static and dynamic features
Cuzzocrea et al. A novel structural-entropy-based classification technique for supporting android ransomware detection and analysis
CN109684837B (zh) 一种面向电力企业的移动应用恶意软件检测方法及系统
Dehkordy et al. DroidTKM: Detection of trojan families using the KNN classifier based on manhattan distance metric
Amamra et al. Enhancing malware detection for Android systems using a system call filtering and abstraction process
Ugarte-Pedrero et al. Semi-supervised learning for packed executable detection
Hamid et al. Android Malware classification using K-means Clustering algorithm
KR102530083B1 (ko) 악성행위 탐지를 위한 클라우드 기반 가상화 장치, 시스템 및 운영 방법
EP3767507A1 (en) Data processing method against ransomware, program for executing same, and computer-readable recording medium with program recorded thereon
Sharma et al. Survey for detection and analysis of android malware (s) through artificial intelligence techniques
Xiao et al. Hybrid classification and clustering algorithm on recent android malware detection

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant