CN105468977A - 一种基于朴素贝叶斯的Android恶意软件分类方法和装置 - Google Patents
一种基于朴素贝叶斯的Android恶意软件分类方法和装置 Download PDFInfo
- Publication number
- CN105468977A CN105468977A CN201510930602.1A CN201510930602A CN105468977A CN 105468977 A CN105468977 A CN 105468977A CN 201510930602 A CN201510930602 A CN 201510930602A CN 105468977 A CN105468977 A CN 105468977A
- Authority
- CN
- China
- Prior art keywords
- characteristic attribute
- module
- attribute
- characteristic
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种基于朴素贝叶斯的Android恶意软件分类方法和装置,该方法主要通过动静态结合的方法提取恶意软件的权限属性特征和敏感API属性特征,并采用朴素贝叶斯算法进行分类,该装置包括特征属性集合模块、权限特征属性模块、敏感API特征属性模块、朴素贝叶斯分类模型模块、输出模块、更新模块、该算法有坚实的数学基础,稳定的分类效率,所需参数也比较少,算法简单,能对恶意应用快速、准确的进行分类,提高了分类效率。
Description
技术领域
本发明涉及软件安全领域,特别是涉及一种基于朴素贝叶斯的Android恶意软件分类方法和装置。
背景技术
Android自2007年问世以来,Google公司将其定位为开源的移动操作系统,采用软件堆层的架构,底层以Linux内核为基础,中间层包含软件库和Dalivk虚拟机,最上层是各种应用程序。随着Android的迅速发展,基于Android平台的移动终端、软件开发者、应用程序也日益增多,以成为智能手机市场的主导地位,但也正由于它自身的开源性,成为了众多恶意软件开发者的目标,新的恶意软件、变种木马每个季度都在爆发式的增长,移动终端遭受的攻击和威胁、私密信息的泄露也越来越多。
目前Android平台应用更多的焦点是关注在恶意行为如何触发捕捉,如何判别行为是否存在恶意,仅停留在区分正常应用与恶意应用层次,然而对于恶意应用进一步的细分类,更多的是参考Androguard,MobileSandbox等知名团队定期的公布Android恶意软件分类列表。
现有的对恶意应用的进行分类,寻找共通性方面缺乏,更多依赖于知名团队的定期发布的结果列表,但随着Android恶意应用指数型增长的速度,这种方式缺乏实时性,灵活性。
随着Android平台的快速发展,恶意应用出现的速度越来越快,据统计,新出现的恶意代码大部分是在原恶意代码基础上进一步修改而来。新生成的恶意应用通常是设计者为了绕过反病毒软件的查杀,而在原有基础上修改而成。因此,采用变形技术生成的新的恶意应用不仅与原恶意应用存在共性,而且新生成的恶意应用之间也存在共性。如果能根据已知恶意应用代码类别对新生成的恶意应用代码进行快速、准确的分类,并提取出“共性”特征,能极大的缩短对新恶意软件的分析时间,提高分析效率。
现有的对恶意应用细化的分类,由于寻找同类应用的“共性”方面缺乏,更多的是依赖于MobileSandbox这类的团队定期发布的分类列表。然而面对层出不穷的恶意程序的新变种及未知恶意程序,仅仅靠定期发布的分类列表是远远不足的,目前常用的分类算法有:支持向量机、K-最近邻、神经网络等算法等。支持向量机(SupportVectorMachine,SVM),可以很好的解决高维问题、非线性问题,但对缺失数据的敏感度高;K-最邻近(kneareastneighbor,KNN)算法简单、有效,但计算量大,当样本不平衡时出错率高;人工神经网络算法分类准确度高,但需要大量的参数支持。
发明内容
本发明提出一种基于朴素贝叶斯的Android恶意软件分类方法和装置,通过选取恶意应用程序间的“共性”来作为分类依据,能对恶意应用快速、准确的进行分类,提高了分类效率。
具体方案如下:
一种基于朴素贝叶斯的Android恶意软件分类方法,包括以下步骤:
S1:建立特征属性集合,该特征属性集合至少包括权限特征属性和敏感API特征属性,并对相应的特征属性进行分类,获得训练样本集合,该训练样本集合至少包括特征属性集合和分类集合;
S2:提取权限特征属性,匹配特征属性集合中的权限特征属性;
S3:收集日志信息,匹配特征属性集合中的敏感API(ApplicationProgrammingInterface,应用程序编程接口)特征属性;
S4:形成朴素贝叶斯分类模型;
S5:输出分类结果;
S6:更新训练样本集合和朴素贝叶斯分类模型。
其中,所述的步骤S2中提取权限特征属性,匹配特征属性集合中的权限特征属性的具体步骤是:
S21:反编译待分类软件,获取待分类软件的权限特征属性;
S22:将获取到的样本权限列表与属性特征相匹配,如果存在,则标记为第一标志符,否则标记为第二标志符。
其中,所述的步骤S3中收集日志信息,匹配特征属性集合中的敏感API特征属性的具体步骤是:
S31:将待分类软件安装到Android沙箱中运行,并采集输出的敏感行为日志;
S32:Android沙箱在应用程序Framework框架层、Dalvik虚拟机和本地Native层采用APIHooking技术,标记敏感API;
S33:触发敏感API,自动记录日志;
S34:采集输出的日志信息,匹配属性特征集合中的敏感API特征属性,如果存在,则标记为第一标志符,否则标记为第二标志符。
其中,所述的步骤S4中形成分类朴素贝叶斯分类模型的具体步骤是:
S41:设X={a1,a2,...,am},为一待分类软件,每个a为X的特征属性,分类集合C={C1,C2,....,Cn},计算P(C1|X),P(C2|X),...,P(Cn|X);
S42:如果P(Ck|X)=MAX{P(C1|X),P(C2|X),...,P(Cn|X)},则X∈Ck。
其中,所述的步骤S41计算P(C1|X),P(C2|X),...,P(Cn|X)的具体步骤是:
S411:统计训练样本集合中各特征属性下的条件概率:
P(a1|C1),P(a2|C1),...,P(am|C1);P(a1|C2),P(a2|C2),...,P(am|C2);...;P(a1|Cn),P(a2|Cn),...,P(am|Cn);
S412:根据贝叶斯定理而各属性值相互条件独立,即属性间不存在依赖关系,有
一种基于朴素贝叶斯的Android恶意软件分类的装置,包括以下模块:
特征属性集合模块,用于建立特征属性集合,该特征属性集合至少包括权限特征属性和敏感API特征属性,并对相应的特征属性进行分类,获得训练样本集合,该训练样本集合至少包括特征属性集合和分类集合;
权限特征属性模块,用于提取权限特征属性,匹配特征属性集合中的权限特征属性;
敏感API特征属性模块,用于收集日志信息,匹配特征属性集合中的敏感API特征属性;
朴素贝叶斯分类模型模块,用于形成朴素贝叶斯分类模型;
输出模块,用于输出分类结果;
更新模块,用于更新训练样本集合和朴素贝叶斯分类模型。
其中,所述的权限特征属性模块包括:
权限特征属性获取模块,用于反编译待分类软件,获取待分类软件的权限特征属性;
权限特征属性匹配模块,用于将获取到的样本权限列表与属性特征相匹配,如果存在,则标记为第一标志符,否则标记为第二标志符。
其中,所述的敏感API特征属性模块包括:
敏感行为日志采集模块,用于将待分类软件安装到Android沙箱中运行,并采集输出的敏感行为日志;
敏感API标记模块,用于Android沙箱在应用程序Framework框架层、Dalvik虚拟机和本地Native层采用APIHooking技术,标记敏感API;
自动记录模块,用于触发敏感API,自动记录日志;
敏感API特征属性匹配模块,用于采集输出的日志信息,匹配属性特征集合中的敏感API特征属性,如果存在,则标记为第一标志符,否则标记为第二标志符。
其中,所述的朴素贝叶斯分类模型模块中包括:
分类计算模块,设X={a1,a2,...,am},为一待分类软件,每个a为X的特征属性,分类集合C={C1,C2,....,Cn},计算P(C1|X),P(C2|X),...,P(Cn|X),
分类判别模块,如果P(Ck|X)=MAX{P(C1|X),P(C2|X),...,P(Cn|X)},则X∈Ck。
其中,其特征在于,所述的分类计算模块包括:
条件概率计算模块,用于统计训练样本集合中各特征属性下的条件概率:
P(a1|C1),P(a2|C1),...,P(am|C1);P(a1|C2),P(a2|C2),...,P(am|C2);...;P(a1|Cn),P(a2|Cn),...,P(am|Cn);
分子计算模块,根据贝叶斯定理而各属性值相互条件独立,即属性间不存在依赖关系,有
附图说明
图1为一实施例的特征属性列表;
图2为一实施例的主流程图;
具体实施方式
为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。现结合附图和具体实施方式对本发明进一步说明。
本实施例中,首先对已公布的应用软件进行特征属性的提取,建立一个特征属性列表及及其训练集合。目前现有的分析APK应用的方法有两种,静态分析和动态分析。
静态分析主要通过文件结构解析、反汇编、反编译等技术对恶意代码进行分析,不实际运行恶意代码,而是通过捕获恶意代码的程序流程和功能,但由于加壳、多态和变形技术的应用,使得静态分析技术要求高难度大;动态分析是通过在一个可控的环境中运行恶意应用,利用APIHooking等技术对恶意代码运行过程中的行为进行监测,分析恶意应用代码与操作系统之间的行为特征,能捕获到可靠、准确的特征,但该方法只能针对特定API接口有效,且运行时间长,加上反虚拟机技术的应用,准确性会大大降低。
在恶意应用分类中,选择恰当的属性特征对分类的准确性具有决定性的影响。在属性特征提取的过程中,抽象层次越高,越能反映出恶意应用的本质,对分类也越有效果,但是特征的提取过程也越复杂,反之则相反。本实施例考虑到静态分析技术的不足,通过动静结合思想,分析现有已公布的恶意应用软件,采集了30个使用频率最高的应用权限和10个使用频率最高的API接口作为属性特征列表,该属性列表如图1所示。
本领域技术人员应该知道,本实施例实施采用的特征属性列表,其中图1选取的属性特征,仅为本发明较佳的实施案例,仅用于帮助理解本发明的方法和思想。
图2示出了实施例的主流程图:该流程包括以下步骤:
S1:反编译APK;
S2:提取权限列表;
S3:判断权限是否在属性列表中;
S4:在模拟器中模拟运行APK;
S5:收集日志信息;
S6:匹配属性列表中的敏感API接口;
S7:形成样本特征向量;
S8:形成分类模型;
S9:输出分类结果。
本实施例步骤S1至步骤S6均属于样本属性特征值得采集部分,分为静态采集和动态采集,其中步骤S1至步骤S3为静态采集部分,主要使用现有的APKTOOL工具,对待测样本进行反编译,获得其中的配置文件AndroidManifest.xml,并根据其中的声明的<uses-permission>字段列表,获取每个待测样本对应的权限列表信息。将获取到的样本权限列表与属性特征相匹配,如果存在,则标记为第一标志符,否则标记为第二标志符。步骤S3至步骤S6为动态采集部分通过将APK应用安装到自定义的Android沙箱(Android模拟器AVD)中运行,并采集输出的敏感行为日志。自定义的Android沙箱在应用程序Framework框架层、Dalvik虚拟机和本地Native层采用APIHooking技术,标记敏感API,一旦恶意应用触发敏感API,会自动记录日志。通过采集输出的日志信息,匹配属性列表中的API接口,如果存在,则标记为第一标志符,否则标记为第二标志符。
本实施例的朴素贝叶斯分类模型,以已采集的现有的特征集合进行分类,形成训练集合,设X={a1,a2,...,am}为一待分类软件,每个a为X的特征属性,分类集合C={C1,C2,....,Cn},计算P(C1|X),P(C2|X),...,P(Cn|X);
如果P(Ck|X)=MAX{P(C1|X),P(C2|X),...,P(Cn|X)},则X∈Ck。
其中,各特征属性下的条件概率可由训练样本的数据计算得出:
P(a1|C1),P(a2|C1),...,P(am|C1);P(a1|C2),P(a2|C2),...,P(am|C2);...;P(a1|Cn),P(a2|Cn),...,P(am|Cn);
根据贝叶斯定理而各属性值相互条件独立,即属性间不存在依赖关系,有这样便可计算出属于每一类别的概率,最后以其中概率最大的类别作为该待测样本的类别并输出分类的结果。分类完成后对分类模型进行更新,以完善分类模型使分类更为准确。
基于上述的基于朴素贝叶斯的Android恶意软件分类的方法,本发明还提出一种基于朴素贝叶斯的Android恶意软件分类的装置,包括以下模块:
特征属性集合模块,用于建立特征属性集合,该特征属性集合至少包括权限特征属性和敏感API特征属性,并对相应的特征属性进行分类,获得训练样本集合,该训练样本集合至少包括特征属性集合和分类集合;
权限特征属性模块,用于提取权限特征属性,匹配特征属性集合中的权限特征属性;
敏感API特征属性模块,用于收集日志信息,匹配特征属性集合中的敏感API特征属性;
朴素贝叶斯分类模型模块,用于形成朴素贝叶斯分类模型;
输出模块,用于输出分类结果;
更新模块,用于更新训练样本集合和朴素贝叶斯分类模型。
其中,所述的权限特征属性模块包括:
权限特征属性获取模块,用于反编译待分类软件,获取待分类软件的权限特征属性;
权限特征属性匹配模块,用于将获取到的样本权限列表与属性特征相匹配,如果存在,则标记为第一标志符,否则标记为第二标志符。
其中,所述的敏感API特征属性模块包括:
敏感行为日志采集模块,用于将待分类软件安装到Android沙箱中运行,并采集输出的敏感行为日志;
敏感API标记模块,用于Android沙箱在应用程序Framework框架层、Dalvik虚拟机和本地Native层采用APIHooking技术,标记敏感API;
自动记录模块,用于触发敏感API,自动记录日志;
敏感API特征属性匹配模块,用于采集输出的日志信息,匹配属性特征集合中的敏感API特征属性,如果存在,则标记为第一标志符,否则标记为第二标志符。
其中,所述的朴素贝叶斯分类模型模块中包括:
分类计算模块,设X={a1,a2,...,am},为一待分类软件,每个a为X的特征属性,分类集合C={C1,C2,....,Cn},计算P(C1|X),P(C2|X),...,P(Cn|X);
分类判别模块,如果P(Ck|X)=MAX{P(C1|X),P(C2|X),...,P(Cn|X)},则X∈Ck。
其中,其特征在于,所述的分类计算模块包括:
条件概率计算模块,用于统计训练样本集合中各特征属性下的条件概率:
P(a1|C1),P(a2|C1),...,P(am|C1);P(a1|C2),P(a2|C2),...,P(am|C2);...;P(a1|Cn),P(a2|Cn),...,P(am|Cn);
分子计算模块,根据贝叶斯定理而各属性值相互条件独立,即属性间不存在依赖关系,有
尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可以对本发明做出各种变化,均为本发明的保护范围。
Claims (10)
1.一种基于朴素贝叶斯的Android恶意软件分类方法,包括以下步骤:
S1:建立特征属性集合,该特征属性集合至少包括权限特征属性和敏感API特征属性,并对相应的特征属性进行分类,获得训练样本集合,该训练样本集合至少包括特征属性集合和分类集合;
S2:提取权限特征属性,匹配特征属性集合中的权限特征属性;
S3:收集日志信息,匹配特征属性集合中的敏感API特征属性;
S4:形成朴素贝叶斯分类模型;
S5:输出分类结果;
S6:更新训练样本集合和朴素贝叶斯分类模型。
2.根据权利要求1所述的基于朴素贝叶斯的Android恶意软件分类方法,其特征在于,所述的步骤S2中提取权限特征属性,匹配特征属性集合中的权限特征属性的具体步骤是:
S21:反编译待分类软件,获取待分类软件的权限特征属性;
S22:将获取到的样本权限列表与属性特征相匹配,如果该权限存在,则标记为第一标志符,否则标记为第二标志符。
3.根据权利要求1所述的基于朴素贝叶斯的Android恶意软件分类方法方法,其特征在于:所述的步骤S3中收集日志信息,匹配特征属性集合中的敏感API特征属性的具体步骤是:
S31:将待分类软件安装到Android沙箱中运行,并采集输出的敏感行为日志;
S32:Android沙箱在Framework框架层、Dalvik虚拟机和本地Native层采用APIHooking技术,标记敏感API;
S33:触发敏感API,自动记录日志;
S34:采集输出的日志信息,匹配属性特征集合中的敏感API特征属性,如果存在,则标记为第一标志符,否则标记为第二标志符。
4.根据权利要求1所述的基于朴素贝叶斯的Android恶意软件分类方法,其特征在于,所述的步骤S4中形成分类朴素贝叶斯分类模型的具体步骤是:
S41:设X={a1,a2,...,am},为一待分类软件,每个a为X的特征属性,分类集合C={C1,C2,....,Cn},计算P(C1|X),P(C2|X),...,P(Cn|X);
S42:如果P(Ck|X)=MAX{P(C1|X),P(C2|X),...,P(Cn|X)},则X∈Ck。
5.根据权利要求4所述的基于朴素贝叶斯的Android恶意软件分类方法,其特征在于,所述的步骤S41计算P(C1|X),P(C2|X),...,P(Cn|X)的具体步骤是:
S411:统计训练样本集合中各特征属性下的条件概率:
P(a1|C1),P(a2|C1),...,P(am|C1);P(a1|C2),P(a2|C2),...,P(am|C2);...;P(a1|Cn),P(a2|Cn),...,P(am|Cn);
S412:根据贝叶斯定理而各属性值相互条件独立,即属性间不存在依赖关系,有
6.一种基于朴素贝叶斯的Android恶意软件分类的装置,包括以下模块:
特征属性集合模块,用于建立特征属性集合,该特征属性集合至少包括权限特征属性和敏感API特征属性,并对相应的特征属性进行分类,获得训练样本集合,该训练样本集合至少包括特征属性集合和分类集合;
权限特征属性模块,用于提取权限特征属性,匹配特征属性集合中的权限特征属性;
敏感API特征属性模块,用于收集日志信息,匹配特征属性集合中的敏感API特征属性;
朴素贝叶斯分类模型模块,用于形成朴素贝叶斯分类模型;
输出模块,用于输出分类结果;
更新模块,用于更新训练样本集合和朴素贝叶斯分类模型。
7.根据权利要求6所述的基于朴素贝叶斯的Android恶意软件分类的装置,其特征在于,所述的权限特征属性模块包括:
权限特征属性获取模块,用于反编译待分类软件,获取待分类软件的权限特征属性;
权限特征属性匹配模块,用于将获取到的样本权限列表与属性特征相匹配,如果该权限存在,则标记为第一标志符,否则标记为第二标志符。
8.根据权利要求6所述的基于朴素贝叶斯的Android恶意软件分类的装置,其特征在于,所述的敏感API特征属性模块包括:
敏感行为日志采集模块,用于将待分类软件安装到Android沙箱中运行,并采集输出的敏感行为日志;
敏感API标记模块,用于Android沙箱在应用程序Framework框架层、Dalvik虚拟机和本地Native层采用APIHooking技术,标记敏感API;
自动记录模块,用于触发敏感API,自动记录日志;
敏感API特征属性匹配模块,用于采集输出的日志信息,匹配属性特征集合中的敏感API特征属性,如果存在,则标记第一标志符,否则标记为第二标志符。
9.根据权利要求6所述的基于朴素贝叶斯的Android恶意软件分类的装置,其特征在于,所述的朴素贝叶斯分类模型模块中包括:
分类计算模块,设X={a1,a2,...,am},为一待分类软件,每个a为X的特征属性,分类集合C={C1,C2,....,Cn},计算P(C1|X),P(C2|X),...,P(Cn|X);
分类判别模块,如果P(Ck|X)=MAX{P(C1|X),P(C2|X),...,P(Cn|X)},则X∈Ck。
10.根据权利要求9所述的基于朴素贝叶斯的Android恶意软件分类的装置,其特征在于,所述的分类计算模块包括:
条件概率计算模块,用于统计训练样本集合中各特征属性下的条件概率:P(a1|C1),P(a2|C1),...,P(am|C1);P(a1|C2),P(a2|C2),...,P(am|C2);...;P(a1|Cn),P(a2|Cn),...,P(am|Cn);
分子计算模块,根据贝叶斯定理而各属性值相互条件独立,即属性间不存在依赖关系,有
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510930602.1A CN105468977A (zh) | 2015-12-14 | 2015-12-14 | 一种基于朴素贝叶斯的Android恶意软件分类方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510930602.1A CN105468977A (zh) | 2015-12-14 | 2015-12-14 | 一种基于朴素贝叶斯的Android恶意软件分类方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105468977A true CN105468977A (zh) | 2016-04-06 |
Family
ID=55606663
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510930602.1A Pending CN105468977A (zh) | 2015-12-14 | 2015-12-14 | 一种基于朴素贝叶斯的Android恶意软件分类方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105468977A (zh) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106203110A (zh) * | 2016-06-30 | 2016-12-07 | 中国地质大学(武汉) | 基于逆向解析机制的Android安全增强系统 |
CN106599688A (zh) * | 2016-12-08 | 2017-04-26 | 西安电子科技大学 | 一种基于应用类别的安卓恶意软件检测方法 |
CN106681716A (zh) * | 2016-12-12 | 2017-05-17 | 捷开通讯(深圳)有限公司 | 智能终端及其应用程序的自动分类方法 |
CN107045607A (zh) * | 2016-12-13 | 2017-08-15 | 全球能源互联网研究院 | 应用异常行为识别模型建立方法及装置、识别方法及装置 |
CN107241352A (zh) * | 2017-07-17 | 2017-10-10 | 浙江鹏信信息科技股份有限公司 | 一种网络安全事件分类与预测方法及系统 |
CN107256357A (zh) * | 2017-04-18 | 2017-10-17 | 北京交通大学 | 基于深度学习的安卓恶意应用的检测和分析方法 |
CN107463847A (zh) * | 2017-09-18 | 2017-12-12 | 中国民航大学 | 一种Android系统下的权限共谋攻击检测方法 |
CN107742079A (zh) * | 2017-10-18 | 2018-02-27 | 杭州安恒信息技术有限公司 | 恶意软件识别方法及系统 |
CN109062763A (zh) * | 2018-07-31 | 2018-12-21 | 云南大学 | 一种从svn日志事件流中动态实时挖掘软件过程活动的方法 |
CN109086604A (zh) * | 2018-07-05 | 2018-12-25 | 成都信息工程大学 | 基于稀疏贝叶斯模型的安卓恶意行为软件识别方法及系统 |
CN109218294A (zh) * | 2018-08-21 | 2019-01-15 | 杭州安恒信息技术股份有限公司 | 基于机器学习贝叶斯算法的防扫描方法、装置和服务器 |
CN109726187A (zh) * | 2019-01-02 | 2019-05-07 | 北京信息科技大学 | 一种面向Hadoop的自适应权限控制方法及装置 |
CN109726551A (zh) * | 2017-10-31 | 2019-05-07 | 武汉安天信息技术有限责任公司 | 一种应用安装前不良行为的展示方法和系统 |
CN109784047A (zh) * | 2018-12-07 | 2019-05-21 | 中国人民解放军战略支援部队航天工程大学 | 基于多特征的程序检测方法 |
WO2020134311A1 (zh) * | 2018-12-26 | 2020-07-02 | 中兴通讯股份有限公司 | 一种恶意软件检测方法和装置 |
EP3918500B1 (en) * | 2019-03-05 | 2024-04-24 | Siemens Industry Software Inc. | Machine learning-based anomaly detections for embedded software applications |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102930210A (zh) * | 2012-10-14 | 2013-02-13 | 江苏金陵科技集团公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
CN103106365A (zh) * | 2013-01-25 | 2013-05-15 | 北京工业大学 | 一种移动终端上的恶意应用软件的检测方法 |
CN104123500A (zh) * | 2014-07-22 | 2014-10-29 | 卢永强 | 一种基于深度学习的Android平台恶意应用检测方法及装置 |
CN104376262A (zh) * | 2014-12-08 | 2015-02-25 | 中国科学院深圳先进技术研究院 | 一种基于Dalvik指令和权限组合的安卓恶意软件检测方法 |
CN104598824A (zh) * | 2015-01-28 | 2015-05-06 | 国家计算机网络与信息安全管理中心 | 一种恶意程序检测方法及其装置 |
CN104715190A (zh) * | 2015-02-03 | 2015-06-17 | 中国科学院计算技术研究所 | 一种基于深度学习的程序执行路径的监控方法及系统 |
CN104794398A (zh) * | 2015-04-17 | 2015-07-22 | 天津大学 | 基于机器学习的安卓平台恶意软件检测方法 |
US20150347926A1 (en) * | 2014-06-02 | 2015-12-03 | Salesforce.Com, Inc. | Fast Naive Bayesian Framework with Active-Feature Ordering |
-
2015
- 2015-12-14 CN CN201510930602.1A patent/CN105468977A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102930210A (zh) * | 2012-10-14 | 2013-02-13 | 江苏金陵科技集团公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
CN103106365A (zh) * | 2013-01-25 | 2013-05-15 | 北京工业大学 | 一种移动终端上的恶意应用软件的检测方法 |
US20150347926A1 (en) * | 2014-06-02 | 2015-12-03 | Salesforce.Com, Inc. | Fast Naive Bayesian Framework with Active-Feature Ordering |
CN104123500A (zh) * | 2014-07-22 | 2014-10-29 | 卢永强 | 一种基于深度学习的Android平台恶意应用检测方法及装置 |
CN104376262A (zh) * | 2014-12-08 | 2015-02-25 | 中国科学院深圳先进技术研究院 | 一种基于Dalvik指令和权限组合的安卓恶意软件检测方法 |
CN104598824A (zh) * | 2015-01-28 | 2015-05-06 | 国家计算机网络与信息安全管理中心 | 一种恶意程序检测方法及其装置 |
CN104715190A (zh) * | 2015-02-03 | 2015-06-17 | 中国科学院计算技术研究所 | 一种基于深度学习的程序执行路径的监控方法及系统 |
CN104794398A (zh) * | 2015-04-17 | 2015-07-22 | 天津大学 | 基于机器学习的安卓平台恶意软件检测方法 |
Non-Patent Citations (2)
Title |
---|
方志鹤: "恶意代码分类的研究与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
陈珉: "基于Android平台的安全检测系统", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106203110B (zh) * | 2016-06-30 | 2019-03-19 | 中国地质大学(武汉) | 基于逆向解析机制的Android安全增强系统 |
CN106203110A (zh) * | 2016-06-30 | 2016-12-07 | 中国地质大学(武汉) | 基于逆向解析机制的Android安全增强系统 |
CN106599688A (zh) * | 2016-12-08 | 2017-04-26 | 西安电子科技大学 | 一种基于应用类别的安卓恶意软件检测方法 |
CN106599688B (zh) * | 2016-12-08 | 2019-07-12 | 西安电子科技大学 | 一种基于应用类别的安卓恶意软件检测方法 |
CN106681716A (zh) * | 2016-12-12 | 2017-05-17 | 捷开通讯(深圳)有限公司 | 智能终端及其应用程序的自动分类方法 |
CN106681716B (zh) * | 2016-12-12 | 2020-05-22 | 捷开通讯(深圳)有限公司 | 智能终端及其应用程序的自动分类方法 |
CN107045607A (zh) * | 2016-12-13 | 2017-08-15 | 全球能源互联网研究院 | 应用异常行为识别模型建立方法及装置、识别方法及装置 |
CN107256357A (zh) * | 2017-04-18 | 2017-10-17 | 北京交通大学 | 基于深度学习的安卓恶意应用的检测和分析方法 |
CN107256357B (zh) * | 2017-04-18 | 2020-05-15 | 北京交通大学 | 基于深度学习的安卓恶意应用的检测和分析方法 |
CN107241352A (zh) * | 2017-07-17 | 2017-10-10 | 浙江鹏信信息科技股份有限公司 | 一种网络安全事件分类与预测方法及系统 |
CN107241352B (zh) * | 2017-07-17 | 2020-01-21 | 浙江鹏信信息科技股份有限公司 | 一种网络安全事件分类与预测方法及系统 |
CN107463847A (zh) * | 2017-09-18 | 2017-12-12 | 中国民航大学 | 一种Android系统下的权限共谋攻击检测方法 |
CN107463847B (zh) * | 2017-09-18 | 2021-07-13 | 中国民航大学 | 一种Android系统下的权限共谋攻击检测方法 |
CN107742079A (zh) * | 2017-10-18 | 2018-02-27 | 杭州安恒信息技术有限公司 | 恶意软件识别方法及系统 |
CN107742079B (zh) * | 2017-10-18 | 2020-02-21 | 杭州安恒信息技术股份有限公司 | 恶意软件识别方法及系统 |
CN109726551A (zh) * | 2017-10-31 | 2019-05-07 | 武汉安天信息技术有限责任公司 | 一种应用安装前不良行为的展示方法和系统 |
CN109086604A (zh) * | 2018-07-05 | 2018-12-25 | 成都信息工程大学 | 基于稀疏贝叶斯模型的安卓恶意行为软件识别方法及系统 |
CN109062763B (zh) * | 2018-07-31 | 2022-03-04 | 云南大学 | 一种从svn日志事件流中动态实时挖掘软件过程活动的方法 |
CN109062763A (zh) * | 2018-07-31 | 2018-12-21 | 云南大学 | 一种从svn日志事件流中动态实时挖掘软件过程活动的方法 |
CN109218294A (zh) * | 2018-08-21 | 2019-01-15 | 杭州安恒信息技术股份有限公司 | 基于机器学习贝叶斯算法的防扫描方法、装置和服务器 |
CN109784047A (zh) * | 2018-12-07 | 2019-05-21 | 中国人民解放军战略支援部队航天工程大学 | 基于多特征的程序检测方法 |
WO2020134311A1 (zh) * | 2018-12-26 | 2020-07-02 | 中兴通讯股份有限公司 | 一种恶意软件检测方法和装置 |
CN109726187B (zh) * | 2019-01-02 | 2021-04-09 | 北京信息科技大学 | 一种面向Hadoop的自适应权限控制方法及装置 |
CN109726187A (zh) * | 2019-01-02 | 2019-05-07 | 北京信息科技大学 | 一种面向Hadoop的自适应权限控制方法及装置 |
EP3918500B1 (en) * | 2019-03-05 | 2024-04-24 | Siemens Industry Software Inc. | Machine learning-based anomaly detections for embedded software applications |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105468977A (zh) | 一种基于朴素贝叶斯的Android恶意软件分类方法和装置 | |
Soh et al. | Detecting clones in android applications through analyzing user interfaces | |
US20210021616A1 (en) | Method and system for classifying data objects based on their network footprint | |
Nahmias et al. | Deep feature transfer learning for trusted and automated malware signature generation in private cloud environments | |
Canfora et al. | Acquiring and analyzing app metrics for effective mobile malware detection | |
CN107103235A (zh) | 一种基于卷积神经网络的Android恶意软件检测方法 | |
CN101924761A (zh) | 一种依据白名单进行恶意程序检测的方法 | |
CN104598825A (zh) | 一种基于改进贝叶斯算法的安卓恶意软件检测方法 | |
CN111552969A (zh) | 基于神经网络的嵌入式终端软件代码漏洞检测方法及装置 | |
CN106778266A (zh) | 一种基于机器学习的安卓恶意软件动态检测方法 | |
CN101853277A (zh) | 一种基于分类和关联分析的漏洞数据挖掘方法 | |
CN107944274A (zh) | 一种基于宽度学习的Android平台恶意应用离线检测方法 | |
Yue et al. | RepDroid: an automated tool for Android application repackaging detection | |
Dehkordy et al. | A new machine learning-based method for android malware detection on imbalanced dataset | |
KR20200039912A (ko) | Ai 기반 안드로이드 악성코드 자동화 분석 시스템 및 방법 | |
CN105138916A (zh) | 基于数据挖掘的多轨迹恶意程序特征检测方法 | |
CN103607381A (zh) | 白名单生成及恶意程序检测方法、客户端和服务器 | |
Huang et al. | Android malware development on public malware scanning platforms: A large-scale data-driven study | |
US20230418943A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
CN114422224A (zh) | 面向攻击溯源的威胁情报智能分析方法及系统 | |
KR20190102451A (ko) | 악성 어플리케이션 탐지 방법 및 그 장치 | |
CN103475671A (zh) | 恶意程序检测方法 | |
CN105631336B (zh) | 检测移动装置上的恶意文件的系统及方法 | |
Meng et al. | Androvault: Constructing knowledge graph from millions of android apps for automated analysis | |
CN108959930A (zh) | 恶意pdf检测方法、系统、数据存储设备和检测程序 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160406 |