CN108171057B - 基于特征匹配的Android平台恶意软件检测方法 - Google Patents

基于特征匹配的Android平台恶意软件检测方法 Download PDF

Info

Publication number
CN108171057B
CN108171057B CN201711402292.1A CN201711402292A CN108171057B CN 108171057 B CN108171057 B CN 108171057B CN 201711402292 A CN201711402292 A CN 201711402292A CN 108171057 B CN108171057 B CN 108171057B
Authority
CN
China
Prior art keywords
android
matching
family
malicious software
calling sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711402292.1A
Other languages
English (en)
Other versions
CN108171057A (zh
Inventor
董庆宽
张文博
陈原
曾敏
樊凯
王俊平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN201711402292.1A priority Critical patent/CN108171057B/zh
Publication of CN108171057A publication Critical patent/CN108171057A/zh
Application granted granted Critical
Publication of CN108171057B publication Critical patent/CN108171057B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

本发明公开了一种基于特征匹配的Android平台恶意软件检测方法,主要解决现有技术对安卓恶意软件检测准确率低的问题。其实现是:1)获取安卓应用程序,构建安卓应用程序数据集,并对该数据集进行预处理;2)构建敏感应用程序编程接口数据集;3)获取安卓应用程序运行时trace文件;4)将trace文件转换成txt文件并解析;5)提取应用程序的频繁应用程序编程接口调用序列,获取各恶意软件家族的匹配特征及其权重,再构建安卓恶意软件特征库;6)提取待测安卓应用程序的调用序列与安卓恶意软件特征库进行匹配,检测该待测安卓应用程序的属性。本发明具有良好的检测准确率,可用于对安卓手机安装软件的检测。

Description

基于特征匹配的Android平台恶意软件检测方法
技术领域
本发明属于信息安全技术领域,主要涉及一种Android平台恶意软件检测方法,用于对安卓手机安装软件的检测,保障安卓软件的信息安全。
背景技术
随着安卓系统在智能手机市场上的占有率不断地提高以及安卓系统的开放性,针对安卓系统的恶意软件也越来越多,严重威胁着安卓手机用户的信息安全,快速准确地检测安卓恶意软件来保护用户的信息安全变得十分迫切。安卓恶意软件检测技术用于发现移动设备上存在的恶意软件,以便于其他网络安全技术阻止恶意软件对移动设备的危害活动。利用特征匹配的安卓恶意软件检测技术在近些年受到了广大学者的关注,这种方法通常是对安卓应用程序的静态特征和运行时产生的动态特征进行提取分析,从中提取出能够区分良性软件和恶意软件的特征,作为恶意软件的检测依据。
目前基于特征匹配的安卓软件检测技术有:
杨欢在其发表的论文“基于权限频繁模式挖掘算法的Android恶意应用检测方法”中提出了一种基于权限频繁模式挖掘算法的Android恶意应用检测方法。该方法使用基于权限行为的静态分析方法,并结合频繁模式挖掘算法进行Android恶意应用检测。首先,使用基于行为的静态特征提取方法对Android应用进行自动分析,得出该应用程序所申请的权限信息,构建权限特征库;然后,对每个恶意应用家族使用权限频繁模式挖掘算法挖掘出权限之间的相互依赖性,即频繁模式构建多个恶意应用家族的权限关系特征库;最后,对待检测应用程序提取权限信息匹配权限关系特征库,来判断该应用程序是否为恶意应用。该方法存在的不足之处是:第一、在提取安卓应用程序的特征时,只提取其权限特征信息。虽然安卓应用程序所申请的权限可以反映出应用程序的行为模式,但是仅通过权限进行研究还是存在问题的,因为不一定申请了敏感权限就一定是恶意软件,仅通过权限信息进行研究会造成一定的误报率;第二、该方法对于那些只申请了一个权限的恶意软件家族无能为力,无法表示该恶意软件家族的权限关系;第三、在良性软件申请的权限和恶意软件家族申请的权限比较相似时,无法仅通过权限特征区分良性软件和恶意软件。
发明内容
本发明的目的在于针对上述技术的不足,提出一种基于特征匹配的安卓恶意软件检测方法,以减小检测的误报率,提高恶意软件检测的准确率。
为实现上述目的,本发明的实现方案包括如下:
(1)获取Android应用程序,该程序包括恶意软件样本集和正常软件样本集,并将正常软件样本集中的正常软件样本按照其功能进行分类,得到Android应用程序数据集;
(2)使用VirusTotal工具及杀毒软件对正常软件样本集进行查杀,确保其中的应用程序都是非恶意的,并将具有不同安全哈希算法SHA1值的应用程序视为是不同的,删除正常软件样本集中重复的应用程序,确保正常软件样本集中每一个应用程序都是唯一的;
(3)获取与需要申请相应敏感权限才能正常使用的敏感应用程序编程接口,并对这些应用程序编程接口进行格式转换,将其转换为Dalvik汇编代码格式表示,得到应用程序编程接口数据集;
(4)在安卓模拟器中运行Android应用程序,使用软件开发工具包SDK中的monkey工具模拟用户操作,使用Android调试工具DDMS中的“Method Profiling”获取应用程序运行时生成的trace文件;
(5)使用软件开发工具包SDK中的dmtracedump工具将获取到的trace文件转换成txt文件,然后解析该txt文件,以获取每个应用程序编程接口节点的详细信息;
(6)使用特征提取算法从txt文件中提取每一个恶意软件家族中每一个恶意软件的频繁应用程序编程接口调用序列,构成一个恶意软件家族的频繁应用程序编程接口调用序列集;
(7)使用修正后的KMP算法将(6)得到的调用序列集中的调用序列分别与(3)得到的数据集中的每一个应用程序编程接口进行比对,删除调用序列集中不包含数据集中任何应用程序编程接口的调用序列,得到仅包含敏感应用程序编程接口的调用序列集;
(8)对调用序列集进行划分,得到各自包含相同敏感应用程序编程接口节点的子集;
(9)使用动态规划算法从(8)得到的各子集中分别提取各个子集的最长共同子序列,并将这些最长共同子序列作为该恶意软件家族中的匹配特征;
(10)统计各子集中敏感应用程序编程接口序列的个数,作为匹配特征的权重;
(11)利用匹配特征及权重,计算恶意软件家族中各恶意软件的相似匹配度Mj,并将最小的相似匹配度作为该恶意软件家族的最小相似度匹配阈值Mmin
(12)利用匹配特征、权重以及最小相似度匹配阈值,构建Android恶意软件特征库;
(13)提取待测Android应用程序的频繁应用程序编程接口调用序列,使用动态规划算法将调用序列分别与Android恶意软件特征库中各恶意软件家族的匹配特征进行匹配,并从恶意软件特征库中取出该匹配特征对应的权重;
(14)利用(13)取出的权重分别计算待测应用程序与各恶意软件家族的相似匹配度M:
Figure GDA0002915742360000031
其中,seqi为某恶意软件家族的第i个匹配特征;wi为某恶意软件家族的第i个匹配特征所对应的权重;match(seqi)为待测应用程序的调用序列与某恶意软件家族的第i个特征序列的匹配结果;
Figure GDA0002915742360000032
为某恶意软件家族所有权重的总和。
(15)将(14)得到的相似匹配度与(11)得到各恶意软件家族的最小相似匹配度阈值进行比较,如果M<Mmin,则该待测应用程序是正常应用程序;否则该待测应用程序是恶意应用程序。
与现有技术相比,本发明具有以下优点:
1)本发明由于将应用程序编程接口调用序列作为匹配特征,与现有技术中提取的权限特征相比,更能准确的体现出应用程序的运行时行为;
2)本发明由于提取的应用程序编程接口调用序列包含敏感应用程序编程接口的上下文信息,与现有技术相比,能有效地应对只申请了一个权限的恶意软件家族以及申请权限与正常应用程序申请的权限极为相似的恶意软件家族,能有效地降低Android恶意软件检测的误报率;
3)本发明由于对提取的匹配特征增加了对应的权重,并设置了各恶意软件家族的最小相似匹配度阈值,与现有技术相比,在进行恶意软件检测时,能有效地提高Android恶意软件检测的准确率。
下面结合附图对本发明作进一步说明:
附图说明
图1是本发明的实现流程图。
具体实施方式
本发明使用一种新的特征提取算法提取Android应用程序运行时行为特征,并构建Android应用程序特征库以方便对待测应用程序进行检测。
参照图1,本发明的实现步骤如下:
步骤1,获取Android应用程序,构建Android应用程序数据集。
1.1)从各大安卓应用市场下载安卓应用程序,并按照其功能进行分类,构建正常软件样本集;
1.2)从互联网上获取恶意软件样本,构建恶意软件样本集;
1.3)用正常软件样本集和恶意软件样本集共同构建Android应用程序数据集。
步骤2,对Android应用程序数据集进行预处理。
2.1)使用VirusTotal工具及杀毒软件对正常软件样本集进行查杀,确保其中的应用程序都是非恶意的;
2.2)将具有不同安全哈希算法SHA1值的应用程序视为是不同的,删除正常软件样本集中重复的应用程序,确保正常软件样本集中每一个应用程序都是唯一的。
步骤3,构建敏感应用程序编程接口数据集。
查找安卓应用程序编程接口文档,从中获取与需要申请相应敏感权限才能正常使用的敏感应用程序编程接口,再对这些应用程序编程接口进行格式转换,将其转换为Dalvik汇编代码格式表示,得到敏感应用程序编程接口数据集。
所述的敏感权限是指:安卓权限官方文档中危险级别的权限。
步骤4,获取Android应用程序运行时trace文件。
4.1)在安卓模拟器中运行Android应用程序,使用软件开发工具包SDK中的monkey工具模拟用户操作;
4.2)使用Android调试工具DDMS中的“Method Profiling”获取Android应用程序运行时生成的trace文件。
步骤5,将trace文件转换成txt文件,并解析txt文件。
5.1)使用软件开发工具包SDK中的dmtracedump工具将获取到的trace文件转换成txt文件;
5.2)解析txt文件,以获取每个应用程序编程接口节点的详细信息,该每个应用程序编程接口节点的详细信息,包括:应用程序编程接口的索引值、父节点的索引值、子节点的索引值、应用程序编程接口的名称以及被父节点调用的次数。
步骤6,提取应用程序的频繁应用程序编程接口调用序列。
使用特征提取算法从txt文件中提取每一个恶意软件家族中每一个恶意软件的频繁应用程序编程接口调用序列,构成一个恶意软件家族的频繁应用程序编程接口调用序列集;
所述的使用特征提取算法从txt文件中提取每一个恶意软件家族中每一个恶意软件的频繁应用程序编程接口调用序列,按如下步骤进行:
6.1)从txt文件中获取应用程序编程接口名称为toplevel节点的所有子节点,将这些子节点作为频繁应用程序编程接口调用序列的起始节点;
6.2)获取起始节点的所有子节点,比较每个子节点的被调用次数与起始节点的被调用次数,如果两者相等,则将该子节点添加到起始节点所在的调用序列中,再将该子节点作为新的起始节点,执行6.3);如果两者不相等,则将该子节点作为新的调用序列的新的起始节点,执行6.3);
6.3)将新的起始节点的被调用次数与其子节点的被调用次数相比,如果两者相等,则将该子节点添加到新的起始节点所在的调用序列中;如果两者不相等,则将该子节点作为新的调用序列的新的起始节点。
步骤7,构建Android恶意软件特征库。
7.1)使用修正后的KMP算法将步骤6得到的调用序列集中的调用序列分别与步骤3得到的数据集中的每一个应用程序编程接口进行比对,删除调用序列集中不包含数据集中任何应用程序编程接口的调用序列,得到仅包含敏感应用程序编程接口的调用序列集;
7.2)对调用序列集进行划分,得到各自包含相同敏感应用程序编程接口节点的子集;
7.3)使用动态规划算法从各子集中分别提取各个子集的最长共同子序列,并将这些最长共同子序列作为该恶意软件家族中的匹配特征;
7.4)统计各子集中敏感应用程序编程接口序列的个数,作为匹配特征的权重;
7.5)利用匹配特征及权重,计算恶意软件家族中各恶意软件的相似匹配度Mj
Figure GDA0002915742360000061
其中,seqi为某恶意软件家族的第i个匹配特征;wi为某恶意软件家族的第i个匹配特征所对应的权重;match(seqi)为某恶意软件的调用序列与其所在恶意软件家族的第i个特征序列的匹配结果;
Figure GDA0002915742360000062
为某恶意软件家族中所有权重的总和;N为某恶意软件家族中所有恶意软件的个数;
7.6)将最小的相似匹配度作为该恶意软件家族的最小相似度匹配阈值Mmin,并利用匹配特征、权重以及最小相似度匹配阈值,构建Android恶意软件特征库,即先在数据库中新建匹配特征表,并将匹配特征逐一插入到该匹配特征表中;再在数据库中新建恶意软件家族信息表,并将匹配特征对应的权重和最小相似度匹配阈值逐一插入到该恶意软件家族信息表中。
步骤8,对待测Android应用程序进行检测。
8.1)提取待测Android应用程序的频繁应用程序编程接口调用序列,使用动态规划算法将调用序列分别与Android恶意软件特征库中各恶意软件家族的匹配特征进行匹配,并从恶意软件特征库中取出该匹配特征对应的权重;
所述的使用动态规划算法将调用序列分别与Android恶意软件特征库中各恶意软件家族的匹配特征进行匹配,其实现如下:
8.1.1)使用动态规划算法得到调用序列与Android恶意软件特征库中各恶意软件家族的匹配特征的最长公共子序列;
8.1.2)将最长公共子序列与Android恶意软件特征库中各恶意软件家族的匹配特征逐一进行字符比较,如果两者中的各字符比较结果相等,则两者匹配成功,否则,两者匹配失败;
8.2)利用取出的权重分别计算待测应用程序与各恶意软件家族的相似匹配度M:
Figure GDA0002915742360000071
其中,seqi为某恶意软件家族的第i个匹配特征;wi为某恶意软件家族的第i个匹配特征所对应的权重;match(seqi)为待测应用程序的调用序列与某恶意软件家族的第i个特征序列的匹配结果;
Figure GDA0002915742360000072
为某恶意软件家族所有权重的总和;
8.3)将相似匹配度与Android恶意软件特征库中各恶意软件家族的最小相似匹配度阈值Mmin进行比较,如果M<Mmin,则该待测应用程序是正常应用程序;否则该待测应用程序是恶意应用程序。
以上描述仅是本发明的一个具体实例,并未构成对本发明的任何限制,显然对于本领域的专业人员来说,在了解了本发明内容和原理后,都可能在不背离本发明原理、结构的情况下,进行形式和细节上的各种修改和改变,但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围之内。

Claims (5)

1.一种基于特征匹配的Android平台恶意软件检测方法,其特征在于,包括:
(1)获取Android应用程序,该程序包括恶意软件样本集和正常软件样本集,并将正常软件样本集中的正常软件样本按照其功能进行分类,得到Android应用程序数据集;
(2)使用VirusTotal工具及杀毒软件对正常软件样本集进行查杀,确保其中的应用程序都是非恶意的,并将具有不同安全哈希算法SHA1值的应用程序视为是不同的,删除正常软件样本集中重复的应用程序,确保正常软件样本集中每一个应用程序都是唯一的;
(3)获取与需要申请相应敏感权限才能正常使用的敏感应用程序编程接口,并对这些应用程序编程接口进行格式转换,将其转换为Dalvik汇编代码格式表示,得到敏感应用程序编程接口数据集;
(4)在安卓模拟器中运行Android应用程序,使用软件开发工具包SDK中的monkey工具模拟用户操作,使用Android调试工具DDMS中的“Method Profiling”获取应用程序运行时生成的trace文件;
(5)使用软件开发工具包SDK中的dmtracedump工具将获取到的trace文件转换成txt文件,然后解析该txt文件,以获取每个应用程序编程接口节点的详细信息;
(6)使用特征提取算法从txt文件中提取每一个恶意软件家族中每一个恶意软件的频繁应用程序编程接口调用序列,构成一个恶意软件家族的频繁应用程序编程接口调用序列集;
(7)使用修正后的KMP算法将(6)得到的调用序列集中的调用序列分别与(3)得到的数据集中的每一个应用程序编程接口进行比对,删除调用序列集中不包含数据集中任何应用程序编程接口的调用序列,得到仅包含敏感应用程序编程接口的调用序列集;
(8)对调用序列集进行划分,得到各自包含相同敏感应用程序编程接口节点的子集;
(9)使用动态规划算法从(8)得到的各子集中分别提取各个子集的最长共同子序列,并将这些最长共同子序列作为该恶意软件家族中的匹配特征;
(10)统计各子集中敏感应用程序编程接口序列的个数,作为匹配特征的权重;
(11)利用匹配特征及权重,计算恶意软件家族中各恶意软件的相似匹配度Mj,并将最小的相似匹配度作为该恶意软件家族的最小相似度匹配阈值Mmin;相似匹配度Mj按如下公式计算:
Figure FDA0002915742350000021
其中,seqi为某恶意软件家族的第i个匹配特征;wi为某恶意软件家族的第i个匹配特征所对应的权重;match(seqi)为待测应用程序的调用序列与其所在恶意软件家族的第i个特征序列的匹配结果;
Figure FDA0002915742350000022
为某恶意软件家族中所有权重的总和;N为某恶意软件家族中所有恶意软件的个数;
(12)利用匹配特征、权重以及最小相似度匹配阈值,构建Android恶意软件特征库;
(13)提取待测Android应用程序的频繁应用程序编程接口调用序列,使用动态规划算法将调用序列分别与Android恶意软件特征库中各恶意软件家族的匹配特征进行匹配,并从恶意软件特征库中取出该匹配特征对应的权重;将调用序列分别与Android恶意软件特征库中各恶意软件家族的匹配特征进行匹配,按如下步骤进行:
(13a)使用动态规划算法得到调用序列与Android恶意软件特征库中各恶意软件家族的匹配特征的最长公共子序列;
(13b)将最长公共子序列与Android恶意软件特征库中各恶意软件家族的匹配特征逐一进行字符比较,如果两者中的各字符比较结果相等,则两者匹配成功,否则两者匹配失败;
(14)利用(13)取出的权重分别计算待测应用程序与各恶意软件家族的相似匹配度M:
Figure FDA0002915742350000023
其中,seqi为某恶意软件家族的第i个匹配特征;wi为某恶意软件家族的第i个匹配特征所对应的权重;match(seqi)为待测应用程序的调用序列与某恶意软件家族的第i个特征序列的匹配结果;
Figure FDA0002915742350000024
为某恶意软件家族所有权重的总和;
(15)将(14)得到的相似匹配度与(11)得到各恶意软件家族的最小相似匹配度阈值进行比较,如果M<Mmin,则该待测应用程序是正常应用程序;否则该待测应用程序是恶意应用程序。
2.根据权利要求1所述的方法,其中步骤(3)中的敏感权限是指:安卓权限官方文档中危险级别的权限。
3.根据权利要求1所述的方法,其中步骤(5)中每个应用程序编程接口节点的详细信息,包括:应用程序编程接口的索引值、父节点的索引值、子节点的索引值、应用程序编程接口的名称以及被父节点调用的次数。
4.根据权利要求1所述的方法,其中步骤(6)中使用特征提取算法从txt文件中提取每一个恶意软件家族中每一个恶意软件的频繁应用程序编程接口调用序列,按如下步骤进行:
(6a)从txt文件中获取应用程序编程接口名称为toplevel节点的所有子节点,将这些子节点作为频繁应用程序编程接口调用序列的起始节点;
(6b)获取起始节点的所有子节点,比较每个子节点的被调用次数与起始节点的被调用次数,如果两者相等,则将该子节点添加到起始节点所在的调用序列中,再将该子节点作为新的起始节点,执行(6c);如果两者不相等,则将该子节点作为新的调用序列的新的起始节点,执行(6c);
(6c)将新的起始节点的被调用次数与其子节点的被调用次数相比,如果两者相等,则将该子节点添加到新的起始节点所在的调用序列中;如果两者不相等,则将该子节点作为新的调用序列的新的起始节点。
5.根据权利要求1所述的方法,其中步骤(12)中利用匹配特征、权重以及最小相似度匹配阈值,构建Android恶意软件特征库,是先在数据库中新建匹配特征表,并将匹配特征逐一插入到该匹配特征表中;再在数据库中新建恶意软件家族信息表,并将匹配特征对应的权重和最小相似度匹配阈值逐一插入到该恶意软件家族信息表中。
CN201711402292.1A 2017-12-22 2017-12-22 基于特征匹配的Android平台恶意软件检测方法 Active CN108171057B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711402292.1A CN108171057B (zh) 2017-12-22 2017-12-22 基于特征匹配的Android平台恶意软件检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711402292.1A CN108171057B (zh) 2017-12-22 2017-12-22 基于特征匹配的Android平台恶意软件检测方法

Publications (2)

Publication Number Publication Date
CN108171057A CN108171057A (zh) 2018-06-15
CN108171057B true CN108171057B (zh) 2021-03-23

Family

ID=62523548

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711402292.1A Active CN108171057B (zh) 2017-12-22 2017-12-22 基于特征匹配的Android平台恶意软件检测方法

Country Status (1)

Country Link
CN (1) CN108171057B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111832020B (zh) * 2020-06-22 2024-03-19 华中科技大学 一种安卓应用恶意性、恶意种族检测模型构建方法及应用
CN114969731B (zh) * 2022-03-28 2022-12-02 慧之安信息技术股份有限公司 基于操作系统的恶意软件检测方法和装置
CN115086043B (zh) * 2022-06-17 2023-03-21 电子科技大学 一种基于最小公共子序列的加密网络流量分类识别方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105447388A (zh) * 2015-12-17 2016-03-30 福建六壬网安股份有限公司 一种基于权重的安卓恶意代码检测系统及方法
CN107180192A (zh) * 2017-05-09 2017-09-19 北京理工大学 基于多特征融合的安卓恶意应用程序检测方法和系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8019700B2 (en) * 2007-10-05 2011-09-13 Google Inc. Detecting an intrusive landing page

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105447388A (zh) * 2015-12-17 2016-03-30 福建六壬网安股份有限公司 一种基于权重的安卓恶意代码检测系统及方法
CN107180192A (zh) * 2017-05-09 2017-09-19 北京理工大学 基于多特征融合的安卓恶意应用程序检测方法和系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Android恶意软件检测方法研究;冯博等;《计算机技术与发展》;20131129;全文 *
API Sequences based Malware Detection for Android;Jiawei Zhu等;《2015 IEEE 12th Intl Conf on Ubiquitous Intelligence and Computing and 2015 IEEE 12th Intl Conf on Autonomic and Trusted Computing and 2015 IEEE 15th Intl Conf on Scalable Computing and Communications and Its Associated Workshops (UIC-ATC-ScalCom)》;20160821;全文 *

Also Published As

Publication number Publication date
CN108171057A (zh) 2018-06-15

Similar Documents

Publication Publication Date Title
CN109753800B (zh) 融合频繁项集与随机森林算法的Android恶意应用检测方法及系统
CN106572117B (zh) 一种WebShell文件的检测方法和装置
CN105046152B (zh) 基于函数调用图指纹的恶意软件检测方法
CN107659570A (zh) 基于机器学习与动静态分析的Webshell检测方法及系统
CN111400719A (zh) 基于开源组件版本识别的固件脆弱性判别方法及系统
CN104123493A (zh) 应用程序的安全性检测方法和装置
Zhang et al. SaaS: A situational awareness and analysis system for massive android malware detection
CN108171057B (zh) 基于特征匹配的Android平台恶意软件检测方法
CN103839005A (zh) 移动操作系统的恶意软件检测方法和恶意软件检测系统
CN105718795B (zh) Linux下基于特征码的恶意代码取证方法及系统
CN111723371B (zh) 构建恶意文件的检测模型以及检测恶意文件的方法
CN108694319B (zh) 一种恶意代码家族判定方法及装置
Wang et al. LSCDroid: Malware detection based on local sensitive API invocation sequences
US10296743B2 (en) Method and device for constructing APK virus signature database and APK virus detection system
CN104751053A (zh) 移动智能终端软件的静态行为分析方法
CN109543408A (zh) 一种恶意软件识别方法和系统
CN112148305A (zh) 一种应用检测方法、装置、计算机设备和可读存储介质
CN116366377B (zh) 恶意文件检测方法、装置、设备及存储介质
Faruki et al. Droidolytics: robust feature signature for repackaged android apps on official and third party android markets
CN108959922B (zh) 一种基于贝叶斯网的恶意文档检测方法及装置
CN109145589B (zh) 应用程序获取方法及装置
CN101471781A (zh) 一种脚本注入事件处理方法和系统
Feichtner et al. Obfuscation-resilient code recognition in Android apps
CN105243327A (zh) 一种文件安全处理方法
CN112817877A (zh) 异常脚本检测方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant