CN106503558B - 一种基于社团结构分析的Android恶意代码检测方法 - Google Patents
一种基于社团结构分析的Android恶意代码检测方法 Download PDFInfo
- Publication number
- CN106503558B CN106503558B CN201611018781.2A CN201611018781A CN106503558B CN 106503558 B CN106503558 B CN 106503558B CN 201611018781 A CN201611018781 A CN 201611018781A CN 106503558 B CN106503558 B CN 106503558B
- Authority
- CN
- China
- Prior art keywords
- community
- node
- malicious
- graph
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000004458 analytical method Methods 0.000 title claims abstract description 16
- 238000001514 detection method Methods 0.000 claims abstract description 33
- 230000006870 function Effects 0.000 claims abstract description 32
- 230000003068 static effect Effects 0.000 claims abstract description 19
- 238000004364 calculation method Methods 0.000 claims description 8
- 230000007423 decrease Effects 0.000 claims description 4
- 239000011159 matrix material Substances 0.000 claims description 3
- 238000007781 pre-processing Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 8
- 238000010801 machine learning Methods 0.000 abstract description 6
- 238000010276 construction Methods 0.000 abstract description 3
- 238000010009 beating Methods 0.000 abstract 1
- 230000004992 fission Effects 0.000 abstract 1
- 230000020509 sex determination Effects 0.000 abstract 1
- 241000700605 Viruses Species 0.000 description 13
- 238000012857 repacking Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 239000013598 vector Substances 0.000 description 2
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/04—Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"
- G06Q10/047—Optimisation of routes or paths, e.g. travelling salesman problem
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3676—Test management for coverage analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/16—Matrix or vector computation, e.g. matrix-matrix or matrix-vector multiplication, matrix factorization
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/30—Semantic analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Human Resources & Organizations (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Strategic Management (AREA)
- General Health & Medical Sciences (AREA)
- Economics (AREA)
- Tourism & Hospitality (AREA)
- Game Theory and Decision Science (AREA)
- Entrepreneurship & Innovation (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Development Economics (AREA)
- General Business, Economics & Management (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Stored Programmes (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出了一种基于社团结构分析的Android恶意代码检测方法,在对目标程序的逆向分析过程中,首先,自动获取权限、函数、类、系统API等重要静态特征信息;然后,利用函数及函数间的调用关系构建函数调用图,并对函数调用图进行预处理;对赋权后的函数调用图进行循环分裂与分析,得到社团结构的正确划分;最后,对从社团结构中提取出的特征进行机器学习,得到最终的恶意性判定结果。本发明方法在面对由“重打包”技术产生的大量Android应用程序样本时,能够快速地进行程序内部结构分析和恶意代码检测。
Description
技术领域
本发明涉及Android移动端应用的恶意代码检测领域,特别涉及快速检测由“重打包”技术产生的大量Android应用程序样本的恶意代码。
背景技术
近年来,随着“重打包”和“代码混淆”技术被广泛的应用于恶意的移动端应用程序,大量针对恶意代码的研究工作围绕着分析应用程序的内部结构展开。很多基于程序内部结构特征的检测方法能够通过分析目标程序的反编译代码,提取或构建出不同的图调用结构,之后再通过比较目标样本和恶意样本图结构的差异程度来判定程序的恶意性。研究成果表明,这类检测方法在对抗“重打包”和部分“代码混淆”技术方面有较好的效果。
与传统的基于签名的恶意代码检测方式相比,该类方法主要解决了以下两个主要问题。第一,基于签名的检测方法时效性差,很难发现未知病毒。基于签名的检测方法大多需要借助人工分析,提取出包含病毒信息的字节序列或者特定字符串作为特征,存入特征数据库,再通过与待检测程序代码进行特征匹配来判定程序的恶意性。而基于结构化特征的方法大多能够实现对样本的自动分析与检测,其方法普遍具有一定的启发性,能够更好的识别未知病毒。第二,基于签名的检测方法在对抗由“重打包”产生的大量变种样本时效率较低。同时“代码混淆”技术能够加大对目标程序的分析难度。而基于结构化特征的检测方法借助新变种样本大多在内部结构上与已有病毒相似的特点,能够通过比较两者的相似性,快速识别病毒。对程序内部结构的分析也能够抵御部分的代码混淆技术。
但在实际使用中发现,很多基于结构化特征的检测方法在执行时间和图结构的构建与分析上存在不足,主要原因如下:第一,应用程序的内部调用结构通常比较复杂。为了比较图的相似性,往往需要存储大量含有恶意行为的图结构作为特征库。在此基础上,直接匹配图或子图并计算其相似性通常带来巨大的计算量。第二,在构建图结构方面,很多方法倾向于将部分语义信息赋予图结构中,形成了如控制流图、数据依赖图和权限事件图等多种类别的图结构。然而,这些方法普遍需要对一个给定的规范进行精准匹配,反而不利于对抗大量的变种病毒。同时,利用已知样本的特征进行新的图的构建也不利于检测未知病毒。
在对移动应用的内部函数调用图结构分析中发现,移动应用程序中的函数调用图结构不同于随机网络,已呈现出部分复杂网络的特性,如无标度性。因此,整个调用图可利用社团生成方法被划分为多个社团结构。在这些社团结构中,节点之间联系紧密,而与其他社团中的节点联系稀疏。然而基于纯结构特征上的划分出的社团并不一定能最好的反映出应用程序的行为特征,因此需要在社团划分过程中结合移动应用程序的其他特征来共同判定划分结果。
发明内容
本发明所要解决的技术问题是提供一种基于社团结构分析的Android恶意代码检测方法,解决很多传统基于结构特征恶意代码检测方法中由图相似度比较带来的耗时过高,和构建具有特定意义的图结构后不利于对抗大量由重打包技术产生的变种病毒的问题;也对社团生成方法的改进,提高本方法在图分割时的执行效率。
为解决上述技术问题,本发明采用的技术方案是:
一种基于社团结构分析的Android恶意代码检测方法,包括以下步骤:
步骤1:对待检测的移动应用程序进行反编译,得到反编译代码,从中提取出移动应用程序的静态信息;
步骤2:通过分析移动应用程序的静态信息,得到静态特征出现在良性样本或恶意样本的频率,并根据它们在不同样本中出现的频率差分别为其分配恶意值;
步骤3:构建函数调用图;
步骤4:对函数调用图进行预处理,包括删除孤立节点、为函数调用图的节点分配权值;
步骤5:定义边介数为关键节点到其余节点间的最短路径,关键节点定义为:
其中,n代表整个图中的节点数,Di是节点i的度,K是与节点i直接相连的节点数,W(qm)是节点集k中节点m的权重;
定义图为G=(V,E),其中V是节点集,E是边集,则边介数的计算公式为:
其中,是节点i与节点j之间包含边e的最短路径,ge是边e的权重;
步骤6:定义模块度参数Q为:
Q=∑j(ejj-aj 2)
其中社团j的矩阵元素被定义为ejj,它表示社团j中边的数量;aj 2表示连接社团j中任意点的边的数量;当Q的值达到巅峰并开始下降时,终止计算;
步骤7:记录每次删除边介数最高的边后所形成的社团划分版本,通过对这些划分版本中各个社团的恶意值、属性、节点规模情况进行评价,选择最优的一个划分版本;
步骤8:从确定的社团划分版本中,提取出三方面信息作为分类特征,即具有恶意特征的社团数、各社团中的最高恶意值、各社团恶意值总和;
步骤9:通过对分类特征进行机器分类学习,得到恶意性判定结果。
进一步的,所述静态信息包括移动应用程序使用到的权限、与权限相关联的函数、系统函数、JAVA包、类以及所有函数及其调用关系。
进一步的,所述步骤9中,机器分类学习的训练阶段采用线下单独训练的方式执行。
进一步的,在所述步骤1中,使用的反编译工具为androguard或者apktool。
与现有技术相比,本发明的有益效果是:
1、本发明方法在对由重打包技术产生大量变种病毒样本的检测时,具有较高的检测率。
2、本发明方法采用机器学习的方式来取代图相似度的比较,大大降低了计算的复杂度,提高了程序执行效率。
3、在进行图分割时,改进了经典的GN社团生成方法,进一步提高了程序运行效率。
4、在社团生成过程中,结合了静态特征来判定最优划分效果,而非仅由图的拓扑结构特征来确定社团结果,使得本方法划分出的社团能够更好的反应移动应用的真实行为。
5、机器学习的训练阶段采用线下单独训练的方式执行,不会降低对目标程序进行实际检测时的运行效率。
附图说明
图1为本恶意代码检测方法的整体架构图。
图2为本发明的检测环境拓扑图。
图3为Android应用程序逆向工程流程图。
图4为本发明社团生成流程图。
图5为机器学习与恶意代码识别流程图。
图6为本发明方法与传统GN方法的社团生成效率比较。
图7为本发明方法在不同规模的训练集下的检测效率。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细的说明。本发明方法结合函数调用图的结构特征和应用程序的静态特征来共同判定最理想的社团划分结果,再从最终划分出的社团中提取出用于机器学习的特征,将它们放入特征向量进行分类学习,从而达到判定该应用程序恶意性的目的。本发明方法通过改进GN方法来提高图的划分效率,使用机器学习技术来进行恶意性判断也绕开了图相似度比较带来的复杂计算。实验结果表明该方法能够高效率的识别恶意代码。
按照图2所示的检测环境拓扑图搭建检测环境。其中,测试服务器端操作系统为ubuntu12.04,反编译工具部署Androguard1.6等,Java运行环境部署Eclipse4及其以上版本。移动终端搭载Android 2.x和以上版本的系统,以满足能够运行不同时期和类型的移动应用程序的要求。样本数据库空间推荐在500G以上,并具有继续可扩展性,以具备容纳足够多样本的能力,测试服务器上需要配置防火墙。
本发明具体实现过程详述如下:
步骤1:首先对待检测的移动应用程序进行反编译,得到反编译代码,如“.smali”代码文件等,并从中提取出该应用使用到的权限、与权限相关联的函数、系统函数、JAVA包、类以及所有函数及其调用关系等静态信息。例如,如附图3,使用反编译工具(如androguard、apktool等)将APK文件进行反编译,能够获取到res中的布局文件、drawable中的图片资源,AndroidManifest.xml中的组件声明和权限声明,values中的常量值等数据。同时,将apk改为zip或rar后缀,用解压工具解压获取到classes.dex文件,然后使用dex2jar工具将其反编译,获取到classes.jar文件,然后使用JD-GUI能够获取到该应用的java源代码。
步骤2:通过分析大量移动应用程序的静态信息,得到不同权限、系统函数、包等静态特征出现在良性样本或恶意样本的频率,并根据它们在不同样本中出现的频率差分别为其分配了恶意值。
步骤3:根据步骤1中提取的所有函数及其调用关系构建出函数调用图。
步骤4:对函数调用图进行预处理,主要包括2个方面:首先删除孤立节点,孤立节点较难反应出代码的某种行为特征,而且经重打包技术产生的功能模块也很难发生在孤立节点上,故将其删除;其次,为函数调用图的节点分配权值,节点的权值就是与之相关的敏感信息的恶意值之和。
步骤5:为了提高图的划分效率,改进GN社团生成方法。本方法将边介数的计算过程重新定义为关键节点到其余节点间的最短路径,而非任意节点对之间的最短路径。对关键节点的定义为:
其中,n代表整个图中的节点数,Di是节点i的度,K是与节点i直接相连的节点数,W(qm)是节点集k中节点m的权重。需要注意的是,在计算边介数时需要考虑边的权重,以保证权重较高的边不会轻易被删除掉,因此,边介数也被重新定义了。
假设图被定义为G=(V,E),其中V是节点集,E是边集,边介数的计算公式为:
其中,是节点i与节点j之间包含边e的最短路径,ge是边e的权重。
步骤6:重定义图循环分裂的终止条件;在GN方法中,模块度参数Q是从图结构上衡量和评价社团生成效果的指标,Q被定义为:
Q=∑j(ejj-aj 2)
其中社团j的矩阵元素被定义为ejj,它表示社团j中边的数量;aj 2表示连接社团j中任意点的边的数量;在函数调用图的分裂中,Q的值一般在0.3至0.7之间变动,越接近1效果越好;当Q的值达到巅峰并开始下降时,将终止计算。
步骤7:社团结构最终生成结果确定;每次删除边介数最高的边后所形成的社团划分版本都会被记录下来,通过对这些划分版本中各个社团的恶意值、属性、节点规模情况进行评价,能够选择出最优的一个划分版本,该版本中的社团就被确定为最终社团生成结果。
步骤8:社团特征提取;从最终确定的社团划分版本中,提取出三方面信息作为分类特征:1)具有恶意特征的社团数;2)各社团中的最高恶意值;3)各社团恶意值总和。
步骤9:特征向量分类训练,得到判定结果;通过对分类特征进行机器分类学习,得到最终的恶意性判定结果。
下面将结合附图在方法运行效率、检测率等方面对本发明提出的方法与传统的GN方法、三种恶意代码检测软件、以及一种基于控制流图的检测方法进行比较。
如附图6所示,随着函数调用图节点数量的增加,使用传统GN方法进行图分裂的执行时间增长很快,而本方法的执行时间并没有快速增长,并始终保持在一个合理的区间。如附图7所示,随着训练集的压缩,本方法的检测效率呈较缓慢的下降,并始终保持在80%以上,表明本方法的检测率并没有过度依赖训练集。
表1本方法与三种病毒检测软件以及一种基于控制流图的检测方法的检测效率对比
从表1可以看出,在对实验数据集中部分主要病毒家族的恶意代码检测中,本方法的检测率范围在93.8%至100%之间,平均检测率为99.1%,该结果要优于表1中的其他病毒检测软件和方法。
Claims (3)
1.一种基于社团结构分析的Android恶意代码检测方法,其特征在于,包括以下步骤:
步骤1:对待检测的移动应用程序进行反编译,得到反编译代码,从中提取出移动应用程序的静态信息,所述静态信息包括该应用使用到的权限、与权限相关联的函数、系统函数、JAVA包、类以及所有函数及其调用关系;
步骤2:通过分析移动应用程序的静态信息,得到静态特征出现在良性样本或恶意样本的频率,并根据它们在不同样本中出现的频率差分别为其分配恶意值;
步骤3:根据步骤1中提取的所有函数及其调用关系构建函数调用图;
步骤4:对函数调用图进行预处理,包括删除孤立节点、为函数调用图的节点分配权值;
步骤5:定义边介数为关键节点到其余节点间的最短路径,关键节点定义为:
其中,n代表整个图中的节点数,Di是节点i的度,K是与节点i直接相连的节点数,W(qm)是节点集k中节点m的权重;
定义图为G=(V,E),其中V是节点集,E是边集,则边介数的计算公式为:
其中,是节点i与节点j之间包含边e的最短路径,ge是边e的权重;
步骤6:定义模块度参数Q为:
Q=∑j(ejj-aj 2)
其中社团j的矩阵元素被定义为ejj,它表示社团j中边的数量;aj 2表示连接社团j中任意点的边的数量;当Q的值达到巅峰并开始下降时,终止计算;
步骤7:记录每次删除边介数最高的边后所形成的社团划分版本,通过对这些划分版本中各个社团的恶意值、属性、节点规模情况进行评价,选择最优的一个划分版本;
步骤8:从确定的社团划分版本中,提取出三方面信息作为分类特征,即具有恶意特征的社团数、各社团中的最高恶意值、各社团恶意值总和;
步骤9:通过对分类特征进行机器分类学习,得到恶意性判定结果。
2.如权利要求1所述的一种基于社团结构分析的Android恶意代码检测方法,其特征在于,所述步骤9中,机器分类学习的训练阶段采用线下单独训练的方式执行。
3.如权利要求1所述的一种基于社团结构分析的Android恶意代码检测方法,其特征在于,在所述步骤1中,使用的反编译工具为androguard或者apktool。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611018781.2A CN106503558B (zh) | 2016-11-18 | 2016-11-18 | 一种基于社团结构分析的Android恶意代码检测方法 |
| US15/630,450 US10303874B2 (en) | 2016-11-18 | 2017-06-22 | Malicious code detection method based on community structure analysis |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611018781.2A CN106503558B (zh) | 2016-11-18 | 2016-11-18 | 一种基于社团结构分析的Android恶意代码检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106503558A CN106503558A (zh) | 2017-03-15 |
| CN106503558B true CN106503558B (zh) | 2019-02-19 |
Family
ID=58324754
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611018781.2A Active CN106503558B (zh) | 2016-11-18 | 2016-11-18 | 一种基于社团结构分析的Android恶意代码检测方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US10303874B2 (zh) |
| CN (1) | CN106503558B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109391583B (zh) * | 2017-08-03 | 2021-06-25 | 武汉安天信息技术有限责任公司 | 一种基于恶意应用的攻击者溯源方法和系统 |
| CN110555305A (zh) * | 2018-05-31 | 2019-12-10 | 武汉安天信息技术有限责任公司 | 基于深度学习的恶意应用溯源方法及相关装置 |
| CN110175045A (zh) * | 2019-05-20 | 2019-08-27 | 北京邮电大学 | 安卓应用程序重打包数据处理方法及装置 |
| CN112580042B (zh) * | 2019-09-30 | 2024-02-02 | 奇安信安全技术(珠海)有限公司 | 恶意程序的对抗方法及装置、存储介质、计算机设备 |
| US11436331B2 (en) | 2020-01-16 | 2022-09-06 | AVAST Software s.r.o. | Similarity hash for android executables |
| CN111400708B (zh) * | 2020-03-11 | 2023-05-05 | 重庆大学 | 用于恶意代码检测的方法及装置 |
| CN111428238B (zh) * | 2020-03-17 | 2023-11-07 | 成都国信安信息产业基地有限公司 | 一种基于安卓组件拒绝服务测试方法、检测终端及介质 |
| CN112464232B (zh) * | 2020-11-21 | 2024-04-09 | 西北工业大学 | 一种基于混合特征组合分类的Android系统恶意软件检测方法 |
| CN112632539B (zh) * | 2020-12-28 | 2024-04-09 | 西北工业大学 | 一种Android系统恶意软件检测中动静混合特征提取方法 |
| CN112632548B (zh) * | 2020-12-30 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 一种恶意安卓程序检测方法、装置,电子设备及存储介质 |
| CN112749391B (zh) * | 2020-12-31 | 2024-04-09 | 华中科技大学 | 一种恶意软件对抗样本的检测方法、装置和电子设备 |
| CN113626810B (zh) * | 2021-07-11 | 2024-06-18 | 南京理工大学 | 基于敏感子图的安卓恶意软件检测方法及系统 |
| CN113918944A (zh) * | 2021-09-30 | 2022-01-11 | 南京邮电大学 | 一种基于界面布局的Android仿冒应用检测方法 |
| CN114611115A (zh) * | 2022-03-18 | 2022-06-10 | 北京工业大学 | 一种基于混合图神经网络的软件源码漏洞检测方法 |
| CN115118491B (zh) * | 2022-06-24 | 2024-02-09 | 北京天融信网络安全技术有限公司 | 僵尸网络检测的方法、装置、电子设备及可读存储介质 |
| CN116185379B (zh) * | 2022-11-17 | 2023-09-22 | 北京东方通科技股份有限公司 | 一种对代码托管平台进行优化的方法 |
| CN117034273A (zh) * | 2023-08-28 | 2023-11-10 | 山东省计算中心(国家超级计算济南中心) | 基于图卷积网络的安卓恶意软件检测方法及系统 |
| CN118036005B (zh) * | 2024-04-11 | 2024-07-02 | 山东省计算中心(国家超级计算济南中心) | 基于精简调用图的恶意应用检测方法、系统、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1710866A (zh) * | 2005-06-30 | 2005-12-21 | 西安交通大学 | Linux环境下基于调用栈图的入侵检测方法 |
| CN104966240A (zh) * | 2015-07-01 | 2015-10-07 | 清华大学 | 基于边介数的社交网络谣言控制方法及系统 |
| CN105046152A (zh) * | 2015-07-24 | 2015-11-11 | 四川大学 | 基于函数调用图指纹的恶意软件检测方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8321941B2 (en) * | 2006-04-06 | 2012-11-27 | Juniper Networks, Inc. | Malware modeling detection system and method for mobile platforms |
| US20120105201A1 (en) * | 2010-10-29 | 2012-05-03 | Cisco Technology, Inc. | Validating Sensor Data at a Property Sensor-Coordinating Entity |
| EP2610776B1 (en) * | 2011-09-16 | 2019-08-21 | Veracode, Inc. | Automated behavioural and static analysis using an instrumented sandbox and machine learning classification for mobile security |
| US9021589B2 (en) * | 2012-06-05 | 2015-04-28 | Los Alamos National Security, Llc | Integrating multiple data sources for malware classification |
| US9424426B2 (en) * | 2013-04-24 | 2016-08-23 | Coveros, Inc. | Detection of malicious code insertion in trusted environments |
| US9900324B1 (en) * | 2014-01-29 | 2018-02-20 | SecondWrite LLC | System to discover and analyze evasive malware |
| US8930916B1 (en) * | 2014-01-31 | 2015-01-06 | Cylance Inc. | Generation of API call graphs from static disassembly |
| US20170214701A1 (en) * | 2016-01-24 | 2017-07-27 | Syed Kamran Hasan | Computer security based on artificial intelligence |
-
2016
- 2016-11-18 CN CN201611018781.2A patent/CN106503558B/zh active Active
-
2017
- 2017-06-22 US US15/630,450 patent/US10303874B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1710866A (zh) * | 2005-06-30 | 2005-12-21 | 西安交通大学 | Linux环境下基于调用栈图的入侵检测方法 |
| CN104966240A (zh) * | 2015-07-01 | 2015-10-07 | 清华大学 | 基于边介数的社交网络谣言控制方法及系统 |
| CN105046152A (zh) * | 2015-07-24 | 2015-11-11 | 四川大学 | 基于函数调用图指纹的恶意软件检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于敏感权限及其函数调用图的Android恶意代码检测;祝小兰 等;《四川大学学报(自然科学版)》;20160531;第53卷(第3期);第526-533页 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106503558A (zh) | 2017-03-15 |
| US10303874B2 (en) | 2019-05-28 |
| US20180144132A1 (en) | 2018-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106503558B (zh) | 一种基于社团结构分析的Android恶意代码检测方法 | |
| Alasmary et al. | Analyzing and detecting emerging Internet of Things malware: A graph-based approach | |
| Arshad et al. | SAMADroid: a novel 3-level hybrid malware detection model for android operating system | |
| Park et al. | Deriving common malware behavior through graph clustering | |
| Battista et al. | Identification of Android Malware Families with Model Checking. | |
| Gao et al. | Android malware detection via graphlet sampling | |
| CN109145603A (zh) | 一种基于信息流的Android隐私泄露行为检测方法和技术 | |
| CN111639337B (zh) | 一种面向海量Windows软件的未知恶意代码检测方法及系统 | |
| Li et al. | CNN-based malware variants detection method for internet of things | |
| Eskandari et al. | Metamorphic malware detection using control flow graph mining | |
| Wang et al. | LSCDroid: Malware detection based on local sensitive API invocation sequences | |
| Narayanan et al. | Contextual weisfeiler-lehman graph kernel for malware detection | |
| Kumar et al. | Machine learning based malware detection in cloud environment using clustering approach | |
| CN113468524B (zh) | 基于rasp的机器学习模型安全检测方法 | |
| US20210336973A1 (en) | Method and system for detecting malicious or suspicious activity by baselining host behavior | |
| Vadrevu et al. | Maxs: Scaling malware execution with sequential multi-hypothesis testing | |
| Faruki et al. | Droidolytics: robust feature signature for repackaged android apps on official and third party android markets | |
| Lajevardi et al. | Markhor: malware detection using fuzzy similarity of system call dependency sequences | |
| Feichtner et al. | Obfuscation-resilient code recognition in Android apps | |
| Pranav et al. | Detection of botnets in IoT networks using graph theory and machine learning | |
| Hu et al. | Robust app clone detection based on similarity of ui structure | |
| Congyi et al. | Method for detecting Android malware based on ensemble learning | |
| CN114817925B (zh) | 基于多模态图特征的安卓恶意软件检测方法及系统 | |
| CN113626817B (zh) | 恶意代码家族分类方法 | |
| CN112487421B (zh) | 基于异质网络的安卓恶意应用检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |