CN107832610A - 基于组合特征模式的Android恶意软件检测方法 - Google Patents

基于组合特征模式的Android恶意软件检测方法 Download PDF

Info

Publication number
CN107832610A
CN107832610A CN201710871851.7A CN201710871851A CN107832610A CN 107832610 A CN107832610 A CN 107832610A CN 201710871851 A CN201710871851 A CN 201710871851A CN 107832610 A CN107832610 A CN 107832610A
Authority
CN
China
Prior art keywords
feature
authority
sensitive api
sample
training sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710871851.7A
Other languages
English (en)
Inventor
孙玉霞
谢云龙
翁健
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jinan University
University of Jinan
Original Assignee
Jinan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jinan University filed Critical Jinan University
Priority to CN201710871851.7A priority Critical patent/CN107832610A/zh
Publication of CN107832610A publication Critical patent/CN107832610A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2411Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Biophysics (AREA)
  • Mathematical Physics (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • Biomedical Technology (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于组合特征模式的Android恶意软件检测方法,首先获取一定数量的Android恶意软件和Android良性软件训练样本构造训练样本集;分析出各训练样本的权限特征和敏感API特征,组合生成各训练样本的特征向量;将各训练样本的特征向量作为输入对ELM模块进行训练,得到ELM模型;获取待检测的Android软件作为测试样本,分析出测试样本的权限特征和敏感API特征,组合生成测试样本的特征向量;将测试样本的特征向量输入ELM模型中,最终由ELM模型判断出测试样本是否为Android恶意软件。本发明方法具有Android恶意软件检测准确率高以及学习时间短的优点。

Description

基于组合特征模式的Android恶意软件检测方法
技术领域
本发明属于移动安全领域,特别涉及一种基于组合特征模式的恶意软件检测技术。
背景技术
移动互联网的火热已经引领了新的互联网的浪潮,Android已成为了移动互联网时代最流行的移动操作系统。Android流行的同时其本身的安全问题也日益凸显,比如安全漏洞被频频利用、恶意应用数量呈爆炸式增长,用户隐私和财产面临着严重的安全威胁。因此研究Android应用的安全性问题具有重要的学术和应用价值。
Android恶意软件给用户的日常使用带来了很大影响,常见问题有:骚扰电话和短信、手机运行慢或死机、无故消耗流量、通知栏和弹窗广告、恶意扣费、手机内文件及数据被破坏、通讯录短信等个人信息泄露、手机中毒或木马和账号信息被窃取等等。这些问题都是由于恶意软件的恶意行为导致,其主要包括:a)通过劫持系统的短信和拨号,在后台自动拨打扣费号码或者发送扣费短信恶意吸费;b)后台默默获取隐私信息,将隐私信息经由网络或短信外泄给诈骗团伙诱骗欺诈;c)通过消耗系统资源、锁定手机等方式影响用户使用,并通过破坏系统的权益来为恶意App牟利;d)窃取隐私信息导致账号被盗及后续并发问题。
针对恶意软件的检测,目前市面上和研究领域都有一些不错的检测技术;市面上主流常见的商业安全检测软件的检测技术都是通过已知的恶意样本的特征库去识别恶意App,但由于恶意样本的变种速度之快使得这种检测方式识别准确率不尽如人意。
发明内容
本发明的目的在于克服现有技术的缺点与不足,提供一种基于组合特征模式的Android恶意软件检测方法,该方法从Android软件的静态特征着手,提取了Android软件的权限和敏感API(Application Program Interface,应用程序接口)组合特征,并且配合上ELM机器学习方法,具有Android恶意软件检测准确率高以及学习时间短的优点。
本发明的目的通过下述技术方案实现:一种基于组合特征模式的Android恶意软件检测技术,步骤如下:
步骤S1、获取一定数量的Android恶意软件训练样本和一定数量的Android良性软件训练样本构造训练样本集;
步骤S2、针对于训练样本集中的各训练样本,分别分析出各训练样本申请的权限特征和调用的敏感API特征,由上述分析出的各训练样本申请的权限特征和调用的敏感API特征组合生成对应各训练样本的特征向量;
步骤S3、将各训练样本的特征向量作为ELM模块的输入对ELM模块进行训练,得到ELM模型;
步骤S4、将需要检测其是否为恶意软件的Android软件作为测试样本,分析出测试样本的权限特征和敏感API特征,由上述分析出的权限特征和敏感API特征组合生成测试样本的特征向量;
步骤S5、将测试样本的特征向量输入步骤S3训练得到的ELM模型中,根据ELM模型的输出判定出测试样本是否为Android恶意软件。
优选的,所述步骤S2中,针对于训练样本,首先通过开源Android静态分析工具Androguard的Androlyze.py对其中的安装包APK文件进行分析,分析出其中的权限特征和敏感API特征,并且生成权限特征列表和敏感API特征列表,然后将对应权限特征列表和敏感API特征列表分别写入到其初步分析文本中;
所述步骤S4中,针对于测试样本,首先通过开源Android静态分析工具Androguard的Androlyze.py对其中的安装包APK文件进行分析,分析出其中的权限特征和敏感API特征,并且生成权限特征列表和敏感API特征列表,然后将权限特征列表和敏感API特征列表分别写入其初步分析文本中。
更进一步的,训练样本的特征向量由多个元素组成,其中一个元素对应表达一个权限特征是否被训练样本申请,或对应表达一个敏感API特征被训练样本调用的次数;
测试样本的特征向量由多个元素组成,其中一个元素对应表达一个权限特征是否被测试样本申请,或对应表达一个敏感API特征被测试样本调用的次数;
所述步骤S2中,各训练样本的特征向量生成过程如下:
首先通过Java程序工具对各训练样本初步分析文本进行批量扫描;
若在某训练样本的初步分析文本中扫描到某个权限特征,则将该训练样本的特征向量中表达该权限特征是否被训练样本申请的对应元素置为一个值,表达该权限特征被该训练样本申请;
若在某训练样本的初步分析文本中扫描到某个敏感API特征,则将该训练样本的特征向量中表达该敏感API特征被训练样本调用的次数的对应元素置为在该训练样本的初步分析文件中该敏感API特征当前被扫描到的次数;
针对于没有在某训练样本的初步分析文本中扫描到的某个权限特征,将该训练样本的特征向量中表达该权限特征是否被训练样本申请的对应元素置为另一个值,表达该权限特征未被该训练样本申请;
针对于没有在某训练样本的初步分析文本中扫描到的某个敏感API特征,将该训练样本的特征向量中表达该敏感API特征被训练样本调用的次数的对应元素置为0,表达该敏感API特征未被该训练样本申请;
所述步骤S4中,获取到的测试样本的特征向量的生成过程如下:
首先通过Java程序工具对其初步分析文本进行扫描;
若在某测试样本的初步分析文本中扫描到某个权限特征,则将该测试样本的特征向量中表达该权限特征是否被测试样本申请的对应元素置为一个值,表达该权限特征被该测试样本申请;
若在某测试样本的初步分析文本中扫描到某个敏感API特征,则将该测试样本的特征向量中表达该敏感API特征被测试样本调用的次数的对应元素置为在该测试样本的初步分析文件中该敏感API特征当前被扫描到的次数;
针对于没有在某测试样本的初步分析文本中扫描到的某个权限特征,将该测试样本的特征向量中表达该权限特征是否被测试样本申请的对应元素置为另一个值,表达该权限特征未被该测试样本申请;
针对于没有在某测试样本的初步分析文本中扫描到的某个敏感API特征,将该测试样本的特征向量中表达该敏感API特征被测试样本调用的次数的对应元素置为0,表达该敏感API特征未被该测试样本申请。
更进一步的,所述步骤S2中各训练样本的特征向量的生成过程中,若在某训练样本的初步分析文本中扫描到某个权限特征,则将该训练样本的特征向量中表达该权限特征是否被训练样本申请的对应元素置为二进制1,表达该权限特征被该训练样本申请;针对于没有在某训练样本的初步分析文本中扫描到的某个权限特征,将该训练样本的特征向量中表达该权限特征是否被训练样本申请的对应元素置为二进制0,表达该权限特征未被该训练样本申请;
所述步骤S4中测试样本的特征向量的生成过程中,在某测试样本的初步分析文本中扫描到某个权限特征,则将该测试样本的特征向量中表达该权限特征是否被测试样本申请的对应元素置为二进制1,表达该权限特征被该测试样本申请;针对于没有在某测试样本的初步分析文本中扫描到的某个权限特征,将该测试样本的特征向量中表达该权限特征是否被测试样本申请的对应元素置为二进制0,表达该权限特征未被该测试样本申请。
更进一步的,所述训练样本的特征向量中包括前后两部分元素,其中前面部分的各个元素对应表达各个权限特征是否被训练样本申请,后面部分的各个元素对应表达各个敏感API特征被训练样本调用的次数;所述测试样本的特征向量中包括前后两部分元素,其中前面部分的各个元素对应表达各个权限特征是否被测试样本申请,后面部分的各个元素对应表达各个敏感API特征被测试样本调用的次数。
更进一步的,所述训练样本的特征向量中,其中44个元素对应表达44个权限特征是否被训练样本申请;所述测试样本的特征向量中,其中44个元素对应表达44个权限特征是否测试样本被申请;
其中44个权限特征分别为:
清除App缓存权限特征CLEAR_APP_CATHE;
获得安装包大小权限特征GET_PACKAGE_SIZE;
安装App包权限特征INSTALL_PACKAGES;
重启App包权限特征RESTART_PACKAGES;
删除App包权限特征DELETE_PACKAGES;
读手机状态权限特征READ_PHONE_STATE;
读同步设置权限特征READ_SYNC_SETTING;
打电话权限特征CALL_PHONE;
向外打电话权限特征PROCESS_OUTGOING_CALLS;
系统警告弹窗权限特征SYSTEM_ALERT_WINDOW;
订阅源读取权限特征SUBSCRIBED_FEEDS_READ;
订阅源写入权限特征SUBSCRIBED_FEEDS_WRITE;
读取短信权限特征READ_SMS;
收到短信权限特征RECEIVE_SMS;
发送短信权限特征SEND_SMS;
写短信权限特征WRITE_SMS;
接收服务信息权限特征RECEIVE_WAP_PUSH;
接收彩信信息权限特征RECEIVE_MMS;
收到启动完成提示RECEIVE_BOOT_COMPLETED;
唤醒锁权限特征WAKE_LOCK;
获得任务权限特征GET_TASK;
震动权限特征VIBRATE;
使用机密权限特征USE_CREADENTIALS;
读取联系人权限特征READ_CONTACTS;
获取网络状态权限特征ACCESS_NETWORK_STATE;
获取WIFI状态权限特征ACCESS_WIFI_STATE;
改变WIFI状态权限特征CHANGE_WIFI_STATE;
网络权限特征INTERNET;
读取APN设置权限特征WRITE_APN_SETTINGS;
获取粗略定位权限特征ACCESS_COARSE_LOCATION;
获取精确定位权限特征ACCESS_FINE_LOCATION;
获取定位的额外信息权限特征ACCESS_LOCATION_EXTRA_COMMANDS;
加载卸载文件系统权限特征MOUNT_UNMOUNT_FILESYSTEMS;
写入外部存储权限特征WRITE_EXTERNAL_STORAGE;
写入同步设置权限特征WRITE_SYNC_SETTING;
修改手机状态权限特征MODIFY_PHONE_STATE;
写入设置权限特征WRITE_SETTINGS;
读取历史收藏夹权限特征READ_HISTORY_BOOKMARKS;
写入历史收藏夹权限特征WRITE_HISTORY_BOOKMARKS;
设备电源权限特征DEVICE_POWER;
权限认证权限特征AUTHENTICATE;
管理账户权限特征MANAGE_ACCOUNTS;
以及获得账户权限特征GET_ACCOUNTS。
更进一步的,所述训练样本的特征向量中,其中39个元素对应表达39个敏感API特征被训练样本调用的次数;所述测试样本的特征向量中,其中39个元素对应表达39个敏感API特征被测试样本调用的次数;
其中39个敏感API特征分别为:
获取手机号码敏感API特征getLine1Number;
获取蜂窝定位敏感API特征getCellLocation;
获取订阅ID敏感API特征getSubscriberId;
获得设备ID敏感API特征getDeviceId;
获得SIM卡号码敏感API特征getSimSerialNumber;
获得定位经度敏感API特征getLatitude;
获取定位维度敏感API特征getLongitude;
获得最后的定位位置敏感API特征getLastKnownLocation;
获得输出流敏感API特征getOutputStream;
获得输入流敏感API特征getInputStream;
默认HTTP客户端敏感API特征DefaultHttpClient;
敏感API特征HttpGet;
获取请求属性敏感API特征addRequestProperty;
获取内容敏感API特征getContent;
执行外部命令敏感API特征execute;
连接敏感API特征connect;
套接字敏感API特征Socket;
打开连接敏感API特征openConnection;
得到显示的短信息来源敏感API特征getDisplayOriginatingAddress;
发送显示的短信息体敏感API特征getDisplayMessageBody;
得到短信体短信息体敏感API特征getMessageBody;
获得短信息源地址敏感API特征getOriginatingAddress;
发送多份文本信敏感API特征sendMultipartTextMessage;
发送数据信息敏感API特征sendDataMessage;
发送文本信息敏感API特征sendTextMessage;
获取包管理器敏感API特征getPackageManager;
获取安装的App敏感API特征getInstalledApplications;
获取App信息敏感API特征getApplicationInfo;
获取安装的包敏感API特征getInstalledPackages;
安装App包敏感API特征InstallPackage;
结束通话敏感API特征endCall;
在通话状态改变时敏感API特征onCallStateChanged;
执行敏感API特征Exec;
中断广播敏感API特征abortBroadcast;
重启包敏感API特征restartPackage;
杀后台进程敏感API特征killBackgroundProcesses;
媒体录音敏感API特征MediaRecorder;
联系人敏感API特征ContactsContract;
获取内容解释器敏感API特征getContentResolver。
优选的,所述步骤S2中,将训练样本集中所有训练样本的特征向量整合在特征向量集文件,所述步骤S3中将特征向量集文件导入ELM模块对ELM模块进行训练,得到ELM模型。
优选的,ELM模块设置为二分类学习机类型;ELM模块中隐层节点数为500;ELM模块的激活函数类型为Sigmoidal激活函数。
本发明相对于现有技术具有如下的优点及效果:
(1)本发明Android恶意软件检测方法中,首先获取一定数量的Android恶意软件训练样本和Android良性软件训练样本构造训练样本集;分别分析出各训练样本的权限特征和敏感API特征,组合生成各训练样本的特征向量;将各训练样本的特征向量作为ELM模块的输入对ELM模块进行训练,得到ELM模型;获取待检测的Android软件作为测试样本,分析出测试样本的权限特征和敏感API特征,组合生成测试样本的特征向量;将测试样本的特征向量输入ELM模型中,最终由ELM模型判断出测试样本是否为Android恶意软件。由上述可见,本发明检测方法从Android软件的静态特征着手,提取了Android软件的权限和敏感API(Application Program Interface,应用程序接口)组合特征,并且配合上ELM机器学习方法,由于权限特征和敏感API特征与软件的安全相关行为关系密切,权限是Android系统安全的核心机制,而敏感API则能很好的描述App的特殊行为特征,本发明利用权限和敏感API组合特征作为恶意软件的判断依据,具有Android恶意软件检测准确率高的优点;另外本发明采用的ELM机器学习方法,具有学习时间更短的优点。相比现有技术中恶意软件的检测方式,本发明检测方法不需要大量的已知恶意样本库。
(2)本发明Android恶意软件检测方法中,只采用了能表征Android恶意软件特征的权限和敏感API两类特征,大大减少了特征向量的维度,并且本发明检测方法中依靠ELM的快速学习机制,能够维持了较低的学习和检测耗时。另外本发明检测方法中,由于ELM相较于传统BP神经网络等无需迭代反馈调整参数,因此调参策略相当简单。
附图说明
图1是本发明检测方法流程图。
图2是本发明检测方法与基于其它四种机器学习的现有检测方法检测准确率对比图。
图3是本发明检测方法与基于其它四种机器学习的现有检测方法检测效率对比图。
具体实施方式
下面结合实施例及附图对本发明作进一步详细的描述,但本发明的实施方式不限于此。
实施例
本实施例公开了一种基于组合特征模式的Android恶意软件检测技术,步骤如下:
步骤S1、获取一定数量的Android恶意软件训练样本和一定数量的Android良性软件训练样本构造训练样本集;
步骤S2、针对于训练样本集中的各训练样本,分别分析出各训练样本的权限特征和敏感API特征,由上述分析出的权限特征和敏感API特征组合生成各训练样本的特征向量;在本实施例中每个训练样本对应一个特征向量;训练样本的特征向量由多个元素组成,其中一个元素对应表达一个权限特征是否被训练样本申请,或对应表达一个敏感API特征被训练样本调用的次数;
本实施例在本步骤中,针对于训练样本,首先通过开源Android静态分析工具Androguard的Androlyze.py对其中的安装包APK文件进行分析,分析出其中的权限特征和敏感API特征,并且生成权限特征列表和敏感API特征列表,然后将对应权限特征列表和敏感API特征列表分别写入到其初步分析文本中;
在本步骤中,各训练样本的特征向量生成过程如下:
首先通过Java程序工具对各训练样本初步分析文本进行批量扫描;
若在某训练样本的初步分析文本中扫描到某个权限特征,则将该训练样本的特征向量中表达该权限特征是否被训练样本申请的对应元素置为一个值,在本实施例中该值可以为二进制1,表达该权限特征被该训练样本申请;
若在某训练样本的初步分析文本中扫描到某个敏感API特征,则将该训练样本的特征向量中表达该敏感API特征被训练样本调用的次数的对应元素置为在该训练样本的初步分析文件中该敏感API特征当前被扫描到的次数;即在该训练样本的初步分析文件中,每扫描到某个敏感API特征一次,则将敏感API特征向量中表达该敏感API特征被调用次数的元素加1;因此在该训练样本的初步分析文件扫描完成后,该训练样本的敏感API特征向量中某元素即记录的是某敏感API特征被该训练样本总共调用的次数。
针对于没有在某训练样本的初步分析文本中扫描到的某个权限特征,将该训练样本的特征向量中表达该权限特征是否被训练样本申请的对应元素置为另一个值,在本实施例中该值可以为二进制0,表达该权限特征未被该训练样本申请;
针对于没有在某训练样本的初步分析文本中扫描到的某个敏感API特征,将该训练样本的特征向量中表达该敏感API特征被训练样本调用的次数的对应元素置为0,表达该敏感API特征未被该训练样本申请;
步骤S3、将各训练样本的特征向量作为ELM模块的输入对ELM模块进行训练,得到ELM模型;在本实施例中,ELM模块设置为二分类学习机类型;ELM模块中隐层节点数为500;ELM模块的激活函数类型为Sigmoidal激活函数。在本实施例中,将步骤S2获取到的训练样本集中所有训练样本的特征向量整合在特征向量集文件,然后将特征向量集文件导入ELM模块对ELM模块进行训练,得到ELM模型。
步骤S4、将需要检测其是否为恶意软件的Android软件作为测试样本,分析出测试样本的权限特征和敏感API特征,由上述分析出的权限特征和敏感API特征组合生成测试样本的特征向量;其中每个测试样本对应一个特征向量;
本实施例在本步骤中,针对于测试样本,首先通过开源Android静态分析工具Androguard的Androlyze.py对其中的安装包APK文件进行分析,分析出其中的权限特征和敏感API特征,并且生成权限特征列表和敏感API特征列表,然后将权限特征列表和敏感API特征列表分别写入其初步分析文本中。
在本步骤中,获取到的测试样本的特征向量的生成过程如下:
首先通过Java程序工具对其初步分析文本进行扫描;
若在某测试样本的初步分析文本中扫描到某个权限特征,则将该测试样本的特征向量中表达该权限特征是否被测试样本申请的对应元素置为一个值,在本实施例中,该值可以为二进制1,表达该权限特征被该测试样本申请;
若在某测试样本的初步分析文本中扫描到某个敏感API特征,则将该测试样本的特征向量中表达该敏感API特征被测试样本调用的次数的对应元素置为在该测试样本的初步分析文件中该敏感API特征当前被扫描到的次数;即在该测试样本的初步分析文件中,每扫描到某个敏感API特征一次,则将敏感API特征向量中表达该敏感API特征被调用次数的元素加1;因此在该测试样本的初步分析文件扫描完成后,该测试样本的敏感API特征向量中某元素即记录的是某敏感API特征被该测试样本总共调用的次数;
针对于没有在某测试样本的初步分析文本中扫描到的某个权限特征,将该测试样本的特征向量中表达该权限特征是否被测试样本申请的对应元素置为另一个值,在本实施例中,该值可以为二进制0,表达该权限特征未被该测试样本申请;
针对于没有在某测试样本的初步分析文本中扫描到的某个敏感API特征,将该测试样本的特征向量中表达该敏感API特征被测试样本调用的次数的对应元素置为0,表达该敏感API特征未被该测试样本申请。步骤S5、将测试样本的特征向量输入步骤S3训练得到的ELM模型中,根据ELM模型的输出判定出测试样本是否为Android恶意软件。
在本实施例中,训练样本的特征向量中包括前后两部分元素,其中前面部分的各个元素对应表达各个权限特征是否被训练样本申请,后面部分的各个元素对应表达各个敏感API特征被训练样本调用的次数;测试样本的特征向量中包括前后两部分元素,其中前面部分的各个元素对应表达各个权限特征是否被测试样本申请,后面部分的各个元素对应表达各个敏感API特征被测试样本调用的次数。
在本实施例中,每个训练样本的特征向量中包括83个元素,其中前面的44个元素对应表达44个权限特征是否训练样本被申请;后面39个元素对应表达39个敏感API特征被训练样本调用的次数。每个测试样本的特征向量中包括83个元素,其中前面的44个元素对应表达44个权限特征是否测试样本被申请;后面39个元素对应表达39个敏感API特征被测试样本调用的次数。
其中44个权限特征分别为:
清除App缓存权限特征CLEAR_APP_CATHE;
获得安装包大小权限特征GET_PACKAGE_SIZE;
安装App包权限特征INSTALL_PACKAGES;
重启App包权限特征RESTART_PACKAGES;
删除App包权限特征DELETE_PACKAGES;
读手机状态权限特征READ_PHONE_STATE;
读同步设置权限特征READ_SYNC_SETTING;
打电话权限特征CALL_PHONE;
向外打电话权限特征PROCESS_OUTGOING_CALLS;
系统警告弹窗权限特征SYSTEM_ALERT_WINDOW;
订阅源读取权限特征SUBSCRIBED_FEEDS_READ;
订阅源写入权限特征SUBSCRIBED_FEEDS_WRITE;
读取短信权限特征READ_SMS;
收到短信权限特征RECEIVE_SMS;
发送短信权限特征SEND_SMS;
写短信权限特征WRITE_SMS;
接收服务信息权限特征RECEIVE_WAP_PUSH;
接收彩信信息权限特征RECEIVE_MMS;
收到启动完成提示RECEIVE_BOOT_COMPLETED;
唤醒锁权限特征WAKE_LOCK;
获得任务权限特征GET_TASK;
震动权限特征VIBRATE;
使用机密权限特征USE_CREADENTIALS;
读取联系人权限特征READ_CONTACTS;
获取网络状态权限特征ACCESS_NETWORK_STATE;
获取WIFI状态权限特征ACCESS_WIFI_STATE;
改变WIFI状态权限特征CHANGE_WIFI_STATE;
网络权限特征INTERNET;
读取APN设置权限特征WRITE_APN_SETTINGS;
获取粗略定位权限特征ACCESS_COARSE_LOCATION;
获取精确定位权限特征ACCESS_FINE_LOCATION;
获取定位的额外信息权限特征ACCESS_LOCATION_EXTRA_COMMANDS;
加载卸载文件系统权限特征MOUNT_UNMOUNT_FILESYSTEMS;
写入外部存储权限特征WRITE_EXTERNAL_STORAGE;
写入同步设置权限特征WRITE_SYNC_SETTING;
修改手机状态权限特征MODIFY_PHONE_STATE;
写入设置权限特征WRITE_SETTINGS;
读取历史收藏夹权限特征READ_HISTORY_BOOKMARKS;
写入历史收藏夹权限特征WRITE_HISTORY_BOOKMARKS;
设备电源权限特征DEVICE_POWER;
权限认证权限特征AUTHENTICATE;
管理账户权限特征MANAGE_ACCOUNTS;
以及获得账户权限特征GET_ACCOUNTS。
其中39个敏感API特征分别为:
获取手机号码敏感API特征getLine1Number;
获取蜂窝定位敏感API特征getCellLocation;
获取订阅ID敏感API特征getSubscriberId;
获得设备ID敏感API特征getDeviceId;
获得SIM卡号码敏感API特征getSimSerialNumber;
获得定位经度敏感API特征getLatitude;
获取定位维度敏感API特征getLongitude;
获得最后的定位位置敏感API特征getLastKnownLocation;
获得输出流敏感API特征getOutputStream;
获得输入流敏感API特征getInputStream;
默认HTTP客户端敏感API特征DefaultHttpClient;
敏感API特征HttpGet;
获取请求属性敏感API特征addRequestProperty;
获取内容敏感API特征getContent;
执行外部命令敏感API特征execute;
连接敏感API特征connect;
套接字敏感API特征Socket;
打开连接敏感API特征openConnection;
得到显示的短信息来源敏感API特征getDisplayOriginatingAddress;
发送显示的短信息体敏感API特征getDisplayMessageBody;
得到短信体短信息体敏感API特征getMessageBody;
获得短信息源地址敏感API特征getOriginatingAddress;
发送多份文本信敏感API特征sendMultipartTextMessage;
发送数据信息敏感API特征sendDataMessage;
发送文本信息敏感API特征sendTextMessage;
获取包管理器敏感API特征getPackageManager;
获取安装的App敏感API特征getInstalledApplications;
获取App信息敏感API特征getApplicationInfo;
获取安装的包敏感API特征getInstalledPackages;
安装App包敏感API特征InstallPackage;
结束通话敏感API特征endCall;
在通话状态改变时敏感API特征onCallStateChanged;
执行敏感API特征Exec;
中断广播敏感API特征abortBroadcast;
重启包敏感API特征restartPackage;
杀后台进程敏感API特征killBackgroundProcesses;
媒体录音敏感API特征MediaRecorder;
联系人敏感API特征ContactsContract;
和获取内容解释器敏感API特征getContentResolver。
例如某训练样本申请了44种权限特征中的第1至3种权限特征:CLEAR_APP_CATHE、GET_PACKAGE_SIZE、INSTALL_PACKAGES,并且该训练样本调用了39种敏感API特征中的getLine1Number、getCellLocation,其中调用getLine1Number的次数5次,调用getCellLocation的次数10次,则经过通过Java程序工具对该训练样本初步分析文本进行批量扫描得到的特征向量如下:
{1,1,1,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,5,10,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0}
上述44个权限特征的所属权限类别如表1所示:
表1
上述39个敏感API的所属API分类如表2所示:
表2
在本实施例的步骤S1中,收集604个Android恶意软件和630个Android良性软件作为训练样本构造训练样本集。具体详情如下:
(1)Android良性软件的收集:在本实施例中,假定应用市场上下载量靠前的部分App是良性的App,因为这些App通过了应用市场的审核并非绝对不安全的App;这些App的下载量排名靠前表明其经过了大量用户的下载与测试、具有高的人气和好的口碑。因此选择国内最大的Android应用软件市场,即腾讯应用宝应用市场。考虑到不同类别App的差异性,本实施例选取了应用宝应用市场上21个类别(除去腾讯软件类别)的APP,并从每个类别选取下载排名靠前的30个应用,即一共630个被假定为良性的训练样本。
(2)Android恶意软件收集:鉴于之前的一些关于Android恶意性检测的研究项目已经收集了大量的恶意样本,本实施例将利用这些已有的样本,即收集了来自于Contagiomini网站所收录的2011年到2016年11月的恶意软件样本共604个,其中未包括因下载链接失效等原因而无法获取的样本。
其中采用上述训练样本集对作为本实施例检测方法步骤S1中的训练样本集,通过训练样本集的特征向量训练得到ELM模型。
将本实施例检测方法与商用检测软件进行对比,这些商业检测软件包括国内的360杀毒、腾讯电脑管家、金山毒霸三大知名安全软件和被全球权威安全软件评测机构AV-TEST评选为2016年最佳防护奖的Norton Security、Kaspersky Lab、F-Secure三个国外安全软件。基于相同的测试样本集、相同的实验环境进行检测准确率的对比,实验结果如表3所示;
表3
从表3中可以看出本实施例检测方法具有最高的检测准确率。
将本实施例检测方法与基于其它四种机器学习的现有检测方法进行对比,在本实施例中,利用了开源工具Weka,调用了里面的四种主流机器学习技术:朴素贝叶斯、支持向量机、BP神经网络和C4.5决策树,设置了默认学习参数并将用于训练和测试的数据集文本转换为Weka专用数据集arff文件进行检测。其中检测准确率和检测效率对比结果分别如图2和3中所示。
从图2中可以看出基于朴素贝叶斯、支持向量机、C4.5决策树、BP神经网络和本实施例检测方法的准确率依次分别为91.90%、93.81%、96.67%、96.67%和97.14%,可见,本实施例检测方法比现有研究其他几种机器学习检测方法具有更高的检测准确率;
从图3中可以看出基于朴素贝叶斯、支持向量机、C4.5决策树、BP神经网络和本实施例检测方法的检测耗时依次分别为0.1s、0.2s、0.1s、46.7s和2.5s,可见本发明检测方法的检测效率远低于BP神经网络稍高于主观贝叶斯、支持向量机和C4.5决策树。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。

Claims (9)

1.一种基于组合特征模式的Android恶意软件检测技术,其特征在于,步骤如下:
步骤S1、获取一定数量的Android恶意软件训练样本和一定数量的Android良性软件训练样本构造训练样本集;
步骤S2、针对于训练样本集中的各训练样本,分别分析出各训练样本申请的权限特征和调用的敏感API特征,由上述分析出的各训练样本申请的权限特征和调用的敏感API特征组合生成对应各训练样本的特征向量;
步骤S3、将各训练样本的特征向量作为ELM模块的输入对ELM模块进行训练,得到ELM模型;
步骤S4、将需要检测其是否为恶意软件的Android软件作为测试样本,分析出测试样本的权限特征和敏感API特征,由上述分析出的权限特征和敏感API特征组合生成测试样本的特征向量;
步骤S5、将测试样本的特征向量输入步骤S3训练得到的ELM模型中,根据ELM模型的输出判定出测试样本是否为Android恶意软件。
2.根据权利要求1所述的基于组合特征模式的Android恶意软件检测技术,其特征在于,所述步骤S2中,针对于训练样本,首先通过开源Android静态分析工具Androguard的Androlyze.py对其中的安装包APK文件进行分析,分析出其中的权限特征和敏感API特征,并且生成权限特征列表和敏感API特征列表,然后将对应权限特征列表和敏感API特征列表分别写入到其初步分析文本中;
所述步骤S4中,针对于测试样本,首先通过开源Android静态分析工具Androguard的Androlyze.py对其中的安装包APK文件进行分析,分析出其中的权限特征和敏感API特征,并且生成权限特征列表和敏感API特征列表,然后将权限特征列表和敏感API特征列表分别写入其初步分析文本中。
3.根据权利要求2所述的基于组合特征模式的Android恶意软件检测技术,其特征在于,训练样本的特征向量由多个元素组成,其中一个元素对应表达一个权限特征是否被训练样本申请,或对应表达一个敏感API特征被训练样本调用的次数;
测试样本的特征向量由多个元素组成,其中一个元素对应表达一个权限特征是否被测试样本申请,或对应表达一个敏感API特征被测试样本调用的次数;
所述步骤S2中,各训练样本的特征向量生成过程如下:
首先通过Java程序工具对各训练样本初步分析文本进行批量扫描;
若在某训练样本的初步分析文本中扫描到某个权限特征,则将该训练样本的特征向量中表达该权限特征是否被训练样本申请的对应元素置为一个值,表达该权限特征被该训练样本申请;
若在某训练样本的初步分析文本中扫描到某个敏感API特征,则将该训练样本的特征向量中表达该敏感API特征被训练样本调用的次数的对应元素置为在该训练样本的初步分析文件中该敏感API特征当前被扫描到的次数;
针对于没有在某训练样本的初步分析文本中扫描到的某个权限特征,将该训练样本的特征向量中表达该权限特征是否被训练样本申请的对应元素置为另一个值,表达该权限特征未被该训练样本申请;
针对于没有在某训练样本的初步分析文本中扫描到的某个敏感API特征,将该训练样本的特征向量中表达该敏感API特征被训练样本调用的次数的对应元素置为0,表达该敏感API特征未被该训练样本申请;
所述步骤S4中,获取到的测试样本的特征向量的生成过程如下:
首先通过Java程序工具对其初步分析文本进行扫描;
若在某测试样本的初步分析文本中扫描到某个权限特征,则将该测试样本的特征向量中表达该权限特征是否被测试样本申请的对应元素置为一个值,表达该权限特征被该测试样本申请;
若在某测试样本的初步分析文本中扫描到某个敏感API特征,则将该测试样本的特征向量中表达该敏感API特征被测试样本调用的次数的对应元素置为在该测试样本的初步分析文件中该敏感API特征当前被扫描到的次数;
针对于没有在某测试样本的初步分析文本中扫描到的某个权限特征,将该测试样本的特征向量中表达该权限特征是否被测试样本申请的对应元素置为另一个值,表达该权限特征未被该测试样本申请;
针对于没有在某测试样本的初步分析文本中扫描到的某个敏感API特征,将该测试样本的特征向量中表达该敏感API特征被测试样本调用的次数的对应元素置为0,表达该敏感API特征未被该测试样本申请。
4.根据权利要求3所述的基于组合特征模式的Android恶意软件检测技术,其特征在于,所述步骤S2中各训练样本的特征向量的生成过程中,若在某训练样本的初步分析文本中扫描到某个权限特征,则将该训练样本的特征向量中表达该权限特征是否被训练样本申请的对应元素置为二进制1,表达该权限特征被该训练样本申请;针对于没有在某训练样本的初步分析文本中扫描到的某个权限特征,将该训练样本的特征向量中表达该权限特征是否被训练样本申请的对应元素置为二进制0,表达该权限特征未被该训练样本申请;
所述步骤S4中测试样本的特征向量的生成过程中,在某测试样本的初步分析文本中扫描到某个权限特征,则将该测试样本的特征向量中表达该权限特征是否被测试样本申请的对应元素置为二进制1,表达该权限特征被该测试样本申请;针对于没有在某测试样本的初步分析文本中扫描到的某个权限特征,将该测试样本的特征向量中表达该权限特征是否被测试样本申请的对应元素置为二进制0,表达该权限特征未被该测试样本申请。
5.根据权利要求3所述的基于组合特征模式的Android恶意软件检测技术,其特征在于,所述训练样本的特征向量中包括前后两部分元素,其中前面部分的各个元素对应表达各个权限特征是否被训练样本申请,后面部分的各个元素对应表达各个敏感API特征被训练样本调用的次数;所述测试样本的特征向量中包括前后两部分元素,其中前面部分的各个元素对应表达各个权限特征是否被测试样本申请,后面部分的各个元素对应表达各个敏感API特征被测试样本调用的次数。
6.根据权利要求3所述的基于组合特征模式的Android恶意软件检测技术,其特征在于,所述训练样本的特征向量中,其中44个元素对应表达44个权限特征是否被训练样本申请;所述测试样本的特征向量中,其中44个元素对应表达44个权限特征是否测试样本被申请;
其中44个权限特征分别为:
清除App缓存权限特征CLEAR_APP_CATHE;
获得安装包大小权限特征GET_PACKAGE_SIZE;
安装App包权限特征INSTALL_PACKAGES;
重启App包权限特征RESTART_PACKAGES;
删除App包权限特征DELETE_PACKAGES;
读手机状态权限特征READ_PHONE_STATE;
读同步设置权限特征READ_SYNC_SETTING;
打电话权限特征CALL_PHONE;
向外打电话权限特征PROCESS_OUTGOING_CALLS;
系统警告弹窗权限特征SYSTEM_ALERT_WINDOW;
订阅源读取权限特征SUBSCRIBED_FEEDS_READ;
订阅源写入权限特征SUBSCRIBED_FEEDS_WRITE;
读取短信权限特征READ_SMS;
收到短信权限特征RECEIVE_SMS;
发送短信权限特征SEND_SMS;
写短信权限特征WRITE_SMS;
接收服务信息权限特征RECEIVE_WAP_PUSH;
接收彩信信息权限特征RECEIVE_MMS;
收到启动完成提示RECEIVE_BOOT_COMPLETED;
唤醒锁权限特征WAKE_LOCK;
获得任务权限特征GET_TASK;
震动权限特征VIBRATE;
使用机密权限特征USE_CREADENTIALS;
读取联系人权限特征READ_CONTACTS;
获取网络状态权限特征ACCESS_NETWORK_STATE;
获取WIFI状态权限特征ACCESS_WIFI_STATE;
改变WIFI状态权限特征CHANGE_WIFI_STATE;
网络权限特征INTERNET;
读取APN设置权限特征WRITE_APN_SETTINGS;
获取粗略定位权限特征ACCESS_COARSE_LOCATION;
获取精确定位权限特征ACCESS_FINE_LOCATION;
获取定位的额外信息权限特征ACCESS_LOCATION_EXTRA_COMMANDS;
加载卸载文件系统权限特征MOUNT_UNMOUNT_FILESYSTEMS;
写入外部存储权限特征WRITE_EXTERNAL_STORAGE;
写入同步设置权限特征WRITE_SYNC_SETTING;
修改手机状态权限特征MODIFY_PHONE_STATE;
写入设置权限特征WRITE_SETTINGS;
读取历史收藏夹权限特征READ_HISTORY_BOOKMARKS;
写入历史收藏夹权限特征WRITE_HISTORY_BOOKMARKS;
设备电源权限特征DEVICE_POWER;
权限认证权限特征AUTHENTICATE;
管理账户权限特征MANAGE_ACCOUNTS;
以及获得账户权限特征GET_ACCOUNTS。
7.根据权利要求3或6所述的基于组合特征模式的Android恶意软件检测技术,其特征在于,所述训练样本的特征向量中,其中39个元素对应表达39个敏感API特征被训练样本调用的次数;所述测试样本的特征向量中,其中39个元素对应表达39个敏感API特征被测试样本调用的次数;
其中39个敏感API特征分别为:
获取手机号码敏感API特征getLine1Number;
获取蜂窝定位敏感API特征getCellLocation;
获取订阅ID敏感API特征getSubscriberId;
获得设备ID敏感API特征getDeviceId;
获得SIM卡号码敏感API特征getSimSerialNumber;
获得定位经度敏感API特征getLatitude;
获取定位维度敏感API特征getLongitude;
获得最后的定位位置敏感API特征getLastKnownLocation;
获得输出流敏感API特征getOutputStream;
获得输入流敏感API特征getInputStream;
默认HTTP客户端敏感API特征DefaultHttpClient;
敏感API特征HttpGet;
获取请求属性敏感API特征addRequestProperty;
获取内容敏感API特征getContent;
执行外部命令敏感API特征execute;
连接敏感API特征connect;
套接字敏感API特征Socket;
打开连接敏感API特征openConnection;
得到显示的短信息来源敏感API特征getDisplayOriginatingAddress;
发送显示的短信息体敏感API特征getDisplayMessageBody;
得到短信体短信息体敏感API特征getMessageBody;
获得短信息源地址敏感API特征getOriginatingAddress;
发送多份文本信敏感API特征sendMultipartTextMessage;
发送数据信息敏感API特征sendDataMessage;
发送文本信息敏感API特征sendTextMessage;
获取包管理器敏感API特征getPackageManager;
获取安装的App敏感API特征getInstalledApplications;
获取App信息敏感API特征getApplicationInfo;
获取安装的包敏感API特征getInstalledPackages;
安装App包敏感API特征InstallPackage;
结束通话敏感API特征endCall;
在通话状态改变时敏感API特征onCallStateChanged;
执行敏感API特征Exec;
中断广播敏感API特征abortBroadcast;
重启包敏感API特征restartPackage;
杀后台进程敏感API特征killBackgroundProcesses;
媒体录音敏感API特征MediaRecorder;
联系人敏感API特征ContactsContract;
获取内容解释器敏感API特征getContentResolver。
8.根据权利要求1所述的基于组合特征模式的Android恶意软件检测技术,其特征在于,所述步骤S2中,将训练样本集中所有训练样本的特征向量整合在特征向量集文件,所述步骤S3中将特征向量集文件导入ELM模块对ELM模块进行训练,得到ELM模型。
9.根据权利要求1所述的基于组合特征模式的Android恶意软件检测技术,其特征在于,ELM模块设置为二分类学习机类型;ELM模块中隐层节点数为500;ELM模块的激活函数类型为Sigmoidal激活函数。
CN201710871851.7A 2017-09-25 2017-09-25 基于组合特征模式的Android恶意软件检测方法 Pending CN107832610A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710871851.7A CN107832610A (zh) 2017-09-25 2017-09-25 基于组合特征模式的Android恶意软件检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710871851.7A CN107832610A (zh) 2017-09-25 2017-09-25 基于组合特征模式的Android恶意软件检测方法

Publications (1)

Publication Number Publication Date
CN107832610A true CN107832610A (zh) 2018-03-23

Family

ID=61644017

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710871851.7A Pending CN107832610A (zh) 2017-09-25 2017-09-25 基于组合特征模式的Android恶意软件检测方法

Country Status (1)

Country Link
CN (1) CN107832610A (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108491722A (zh) * 2018-03-30 2018-09-04 广州汇智通信技术有限公司 一种恶意软件检测方法及系统
CN108647517A (zh) * 2018-05-17 2018-10-12 华中科技大学 一种Android混合应用代码注入的漏洞检测系统及方法
CN108681670A (zh) * 2018-03-30 2018-10-19 中国科学院信息工程研究所 基于细粒度特征的Android恶意应用检测的方法及装置
CN108681671A (zh) * 2018-05-21 2018-10-19 中国科学技术大学 一种Android移动攻击溯源方法
CN110069927A (zh) * 2019-04-22 2019-07-30 中国民航大学 恶意apk检测方法、系统、数据存储设备和检测程序
CN110472410A (zh) * 2018-05-11 2019-11-19 阿里巴巴集团控股有限公司 识别数据的方法、设备和数据处理方法
CN111465021A (zh) * 2020-04-01 2020-07-28 北京中亦安图科技股份有限公司 基于图的骚扰电话识别模型构建方法
CN112257067A (zh) * 2020-11-02 2021-01-22 上海小麦互动企业发展有限公司 一种基于arm云游戏木马病毒服务器检测装置
CN112528329A (zh) * 2020-12-11 2021-03-19 深圳信息职业技术学院 恶意获取用户位置隐私的检测方法及计算机可读存储介质
CN113378171A (zh) * 2021-07-12 2021-09-10 东北大学秦皇岛分校 一种基于卷积神经网络的Android勒索软件检测方法
EP3918500B1 (en) * 2019-03-05 2024-04-24 Siemens Industry Software Inc. Machine learning-based anomaly detections for embedded software applications

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104616030A (zh) * 2015-01-21 2015-05-13 北京工业大学 一种基于极限学习机算法的识别方法
CN105426760A (zh) * 2015-11-05 2016-03-23 工业和信息化部电信研究院 一种安卓恶意应用的检测方法及装置
US20160364849A1 (en) * 2014-11-03 2016-12-15 Shenzhen China Star Optoelectronics Technology Co. , Ltd. Defect detection method for display panel based on histogram of oriented gradient
CN106845240A (zh) * 2017-03-10 2017-06-13 西京学院 一种基于随机森林的Android恶意软件静态检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160364849A1 (en) * 2014-11-03 2016-12-15 Shenzhen China Star Optoelectronics Technology Co. , Ltd. Defect detection method for display panel based on histogram of oriented gradient
CN104616030A (zh) * 2015-01-21 2015-05-13 北京工业大学 一种基于极限学习机算法的识别方法
CN105426760A (zh) * 2015-11-05 2016-03-23 工业和信息化部电信研究院 一种安卓恶意应用的检测方法及装置
CN106845240A (zh) * 2017-03-10 2017-06-13 西京学院 一种基于随机森林的Android恶意软件静态检测方法

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108681670A (zh) * 2018-03-30 2018-10-19 中国科学院信息工程研究所 基于细粒度特征的Android恶意应用检测的方法及装置
CN108491722A (zh) * 2018-03-30 2018-09-04 广州汇智通信技术有限公司 一种恶意软件检测方法及系统
CN110472410B (zh) * 2018-05-11 2023-02-28 阿里巴巴集团控股有限公司 识别数据的方法、设备和数据处理方法
CN110472410A (zh) * 2018-05-11 2019-11-19 阿里巴巴集团控股有限公司 识别数据的方法、设备和数据处理方法
CN108647517A (zh) * 2018-05-17 2018-10-12 华中科技大学 一种Android混合应用代码注入的漏洞检测系统及方法
CN108647517B (zh) * 2018-05-17 2021-02-09 华中科技大学 一种Android混合应用代码注入的漏洞检测系统及方法
CN108681671A (zh) * 2018-05-21 2018-10-19 中国科学技术大学 一种Android移动攻击溯源方法
EP3918500B1 (en) * 2019-03-05 2024-04-24 Siemens Industry Software Inc. Machine learning-based anomaly detections for embedded software applications
CN110069927A (zh) * 2019-04-22 2019-07-30 中国民航大学 恶意apk检测方法、系统、数据存储设备和检测程序
CN111465021A (zh) * 2020-04-01 2020-07-28 北京中亦安图科技股份有限公司 基于图的骚扰电话识别模型构建方法
CN111465021B (zh) * 2020-04-01 2023-06-09 北京中亦安图科技股份有限公司 基于图的骚扰电话识别模型构建方法
CN112257067B (zh) * 2020-11-02 2023-01-06 上海小麦互动企业发展有限公司 一种基于arm云游戏木马病毒服务器检测装置
CN112257067A (zh) * 2020-11-02 2021-01-22 上海小麦互动企业发展有限公司 一种基于arm云游戏木马病毒服务器检测装置
CN112528329A (zh) * 2020-12-11 2021-03-19 深圳信息职业技术学院 恶意获取用户位置隐私的检测方法及计算机可读存储介质
CN113378171A (zh) * 2021-07-12 2021-09-10 东北大学秦皇岛分校 一种基于卷积神经网络的Android勒索软件检测方法

Similar Documents

Publication Publication Date Title
CN107832610A (zh) 基于组合特征模式的Android恶意软件检测方法
Tao et al. MalPat: Mining patterns of malicious and benign Android apps via permission-related APIs
Pan et al. Dark hazard: Large-scale discovery of unknown hidden sensitive operations in Android apps
Saif et al. Deep Belief Networks-based framework for malware detection in Android systems
US10986103B2 (en) Signal tokens indicative of malware
US9798981B2 (en) Determining malware based on signal tokens
CN101458754B (zh) 一种监控应用程序行为的方法及装置
CN107729732A (zh) 一种基于信息安全的计算机启动方法及系统
Chang et al. An android behavior-based malware detection method using machine learning
CN108446572A (zh) 一种基于服务粒度的隐私权限管理方法
Arslan AndroAnalyzer: android malicious software detection based on deep learning
CN108647517B (zh) 一种Android混合应用代码注入的漏洞检测系统及方法
US20210382993A1 (en) System and Method for Detecting a Malicious File
Liccardi et al. Improving mobile app selection through transparency and better permission analysis
Srivastava et al. Android malware detection amid COVID-19
Su et al. Detection of android malware by static analysis on permissions and sensitive functions
CN116305120A (zh) 一种双重验证的安卓恶意软件混合检测系统及方法
Niu et al. An improved permission management scheme of android application based on machine learning
CN115688107A (zh) 一种涉诈app检测系统和方法
Yuan et al. Android application security detection method based on metropolis algorithm
CN113918944A (zh) 一种基于界面布局的Android仿冒应用检测方法
Fan et al. An api calls monitoring-based method for effectively detecting malicious repackaged applications
Liu et al. Correlating ui contexts with sensitive api calls: Dynamic semantic extraction and analysis
CN113626817A (zh) 恶意代码家族分类方法
Ma Android application install-time permission validation and run-time malicious pattern detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20180323