CN109614795A - 一种事件感知的安卓恶意软件检测方法 - Google Patents

一种事件感知的安卓恶意软件检测方法 Download PDF

Info

Publication number
CN109614795A
CN109614795A CN201811455795.XA CN201811455795A CN109614795A CN 109614795 A CN109614795 A CN 109614795A CN 201811455795 A CN201811455795 A CN 201811455795A CN 109614795 A CN109614795 A CN 109614795A
Authority
CN
China
Prior art keywords
event
api
android
name
follows
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811455795.XA
Other languages
English (en)
Other versions
CN109614795B (zh
Inventor
王骞
雷涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan University WHU
Original Assignee
Wuhan University WHU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan University WHU filed Critical Wuhan University WHU
Priority to CN201811455795.XA priority Critical patent/CN109614795B/zh
Publication of CN109614795A publication Critical patent/CN109614795A/zh
Application granted granted Critical
Publication of CN109614795B publication Critical patent/CN109614795B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Virology (AREA)
  • Stored Programmes (AREA)

Abstract

本发明公开了一种事件感知的安卓恶意软件检测方法,通过利用FlowDroid提取安卓软件中API的调用图,利用调用图获取安卓软件的所有事件,把每个事件中的API用Doc2Vec转换成词向量,使用聚类算法将事件中的每个API划分到对应的功能簇中组成该事件的功能集群,用特殊设计的神经网络对数据特征进行分类,最后部署特征提取模块以及训练好的神经网络上线检测安卓软件等6大步骤,利用事件中的功能集群来对安卓软件中事件的行为模式进行分析,来增强对恶意软件进化的抵御以及提高检测恶意软件隐藏恶意行为的能力。

Description

一种事件感知的安卓恶意软件检测方法
技术领域
本发明属于软件安全领域中的恶意软件检测,具体涉及一种事件感知的安卓恶意软件检测方法。
技术背景
随着安卓手机的流行以及安卓应用的激增,恶意应用因它们对用户隐私和财产的损失,受到越来越多的关注。在2017年,安卓系统占了智能手机市场86%的份额,比前一年提升了1.1%。由于安卓系统的越来越受用户和厂商的青睐以及它的开发生态环境的开源性,越来越多的恶意应用出现在了安卓市场上,这些通过窃取用户隐私来盈利的安卓应用成为了一大忧患。根据奇虎360在2017年的安卓恶意软件安全报告所示,80%的恶意软件都是设计来增加用户流量消耗,除此之外,其他的一些恶意软件,比如木马、流氓软件以及勒索软件等,也对用户造成了很大的损失。
为了检测恶意软件,工业界和学术界在实现检测工具上都付出了很大的努力。在工业界,谷歌采用Bouncer来保护用户不被安卓恶意应用所危害。Norton和Lookout等移动安全产品主要采用签名的方式来检测恶意软件,但是攻击者使用代码混淆技术很容易绕过这样的检测。
在学术界,以往的工作通过分析安卓应用申请的权限的异常组合或者所调用的应用程序接口(API)来检测恶意软件。但是利用API调用或者申请的权限来进行检测有两个缺点,首先直接使用API调用作为特征的系统在抵御恶意软件进化上能力较弱,因为新的恶意应用大多基于新的系统特性开发的,基于老系统的API训练的检测模型可能无法检测出基于新系统特性的行为。其次,为了将特征输入到机器学习模型中需要固定长度的向量,然后不同应用所调用的API数目不一致,所以需要过滤一些API保证输入的特征向量长度固定。在这个过程中可能就会过滤一些重要的API,导致一定的信息损失,最终可能使得系统漏检某些样本。
研究表明安卓的大部分代码都是由各种事件触发的,同时安卓恶意应用也在随着检测方法的迭代而不断发展。相关研究报导,越来越多的安卓应用试图通过把一些高度安全敏感的行为隐藏在特定的事件中,这些行为只有当某种条件得到满足时才能触发。通过这种方式隐藏的行为很难被大多动态检测技术检测到。同时很多静态检测技术无法区分不同事件中的API,所以无法判断某个事件的行为是否是异常的。
综上所述,现在基于静态和动态分析的安卓恶意应用检测技术不能很好地适应恶意应用的进化,这些技术多大都是基于API调用来进行检测,但是只从API级别进行考虑,并不能提取足够的有效语义信息,因此难以检测基于新版本系统开发的恶意应用。
发明内容
本发明就是针对现有技术的不足,提供了一种事件感知的安卓恶意软件检测方法,利用安卓应用中不同事件的行为模式来有效的检测。
为了实现上述目的,本发明所设计的事件感知的安卓恶意软件检测方法,其特征在于,包括以下步骤:
步骤1:利用FlowDroid提取安卓软件中API的调用图;
步骤2:利用调用图遍历安卓软件的所有事件;
步骤3:利用Doc2Vec对API进行编码;
步骤4:利用聚类算法对API按照功能聚类;
步骤5:利用能够综合考虑各个事件权重的神经网络对数据特征进行分类;
步骤6:利用步骤1到步骤4进行特征提取,并利用步骤s5中训练好的神经网络进行安卓软件的检测。
进一步地,所述步骤1的具体实现过程为:通过FlowDroid对安卓软件(apk文件)进行分析,提取apk中的API的调用关系,利用调用关系构建调用图,调用图的入口节点是固定名字的一个根节点,根节点下的子节点为不同的事件节点,每个事件节点下的子树,对应不同事件调用的API。
进一步地,所述步骤2的具体过程为:从调用图的根节点开始,遍历所有字节点,将所有API映射到对应的事件上,选取出现频率最高的50个事件,得到的结果为:
[e1,e2,...,em] (1)
其中ei表示安卓应用的第i个事件,m=50,在式(2)中,apij为第j个API,表示事件i所包含的api数目。
进一步地,所述步骤3的具体实现过程包括以下步骤:
步骤3.1:将API按照构成拆分为若干词的序列,包括包名、类名、返回值类型、方法名、参数列表中每个参数所属的包名和类型名,具体过程如下:
API组成:包名.类名:返回值类型包名.类名方法名(参数列表)
拆分之后:[包名,类名,返回值包名,返回值类名,方法名,参数1所属包名,参数1所属类名,参数2所属包名,……]
步骤3.2:将拆分后的序列用事先训练好的Doc2Vec映射到特征空间中的多维向量,vecj=Φ(apivj)表示映射过程,其中apivj为第j个API拆分之后的词序列,Φ为训练好之后的Doc2Vec模型,vecj为第j个API所对应的词向量。
进一步地,所述步骤4的具体实现过程是:对每一个事件中所有的API所生成的词向量,利用K-means聚类算法划分成指定的1024类,该K-means聚类算法采用的距离为欧几里得距离,计算公式如下:
其中di,j为第i个API和第j个API之间的距离,veci为第i个API的词向量,为第j个向量的词向量的转置;
然后统计所有事件中每个功能类别的频率组成向量作为每个事件对应的特征向量,表示方法如下:
其中每一行表示一个事件的特征向量,每列表示某类API出现的频率,k=1024,m=50。pi,j为第i个事件的第j类API出现的频率,计算方式如下:
ni,j为第i个事件中第j类API的数目。
进一步地,所述步骤5的具体实现过程是:使用能够综合考虑各个事件对分类权重的神经网络,在经过训练之后,将每个事件的特征向量分别输入到3层事件层网络中处理,把输出结果拼接,再输入到一层隐藏层处理,结果输入到Softmax进行分类,公式如下:
其中n为输入向量的元素个数,在这里n为2,即只有正负两类;
在事件层和隐藏层中,使用leaky_relu()作为激活函数,公式如下:
训练时使用的损失函数(loss)为cross entropy,公如下:
其中,N为使用随机批次梯度下降算法训练时每个批次的样本数目,yi为样本i真实的标签,且yi∈{[1,0],[0,1]},[1,0]表示正样例,[0,1]表示负样例,f(xi)为神经网络的输出。
进一步地,所述步骤6的具体实现过程为:对于每一个输入来的安卓软件样本,使用FlowDroid构建调用图、获取事件并对事件中的API编码和聚类、将事件特征向量输入神经网络进行预测,预测结果为:
其中[v1,v1]为神经网络的输出,v1表示样本为正常软件的概率,v2表示样本为恶意软件的概率。如果带检测属于正常软件的概率大于恶意软件的概率,则输出为0,表示正常软件,否则输出1,表示恶意软件。
本发明的优点在于:
本发明利用安卓应用中不同事件的行为模式来有效的检测。和传统直接把API作为特征方法不同的是,本发明使用了事件集群的方式来描述应用在事件级别的行为,它能获取比API级别更高的语义信息,使得检测技术更具有鲁棒性。
附图说明
图1是本发明实施例的框架图。
图2是本发明实施例的软件流程图。
图3是本发明中的调用图。
图4是本发明实施例的神经网络图。
图中:图3中的灰色节点为不同事件节点,节点下的子树对应不同事件调用的API。
具体实施方式
下面结合附图和具体实施例对本发明作进一步的详细描述:
本发明属于软件安全领域,考虑到安卓系统更新时会出现API更新和恶意软件在各种事件中隐藏恶意行为的特性,提出了一种事件感知的安卓恶意软件检测方法,通过从事件层面自动分析安卓软件行为来检测隐蔽行为,同时将事件中的行为转为API功能组可以抵御恶意软件的进化。本发明可以增强抵御安卓系统更新和恶意软件进化所带来的检测模型性能下降的能力。
本发明提供的方法能够用计算机软件技术实现流程。参见图2,本发明提供的一种事件感知的安卓恶意软件检测方法,在安卓应用开发者将待上线应用提交到应用商店时,应用商店的服务器会对提交的应用进行行为检测,包括以下步骤:
步骤1:利用FlowDroid提取安卓软件中API的调用图,具体过程如下:通过FlowDroid对安卓软件(apk文件)进行分析,提取apk中的API的调用关系,利用调用关系构建调用图,调用图的入口节点是固定名字的一个根节点,根节点下的子节点为不同的事件节点,每个事件节点下的子树,对应不同事件调用的API,具体情况如图3所示。
步骤2:利用调用图遍历安卓软件的所有事件,具体过程如下:从调用图的根节点开始,遍历所有字节点,将所有API映射到对应的事件上,选取出现频率最高的50个事件,得到的结果为:
[e1,e2,...,em] (1)
其中ei表示安卓应用的第i个事件,m=50,在(2)中,apij为第j个API,表示事件i所包含的api数目。
步骤3:利用Doc2Vec对API进行编码,具体过程如下:
构建每个事件的特征:
步骤3.1:将API按照构成拆分为若干词的序列,包括包名、类名、返回值类型、方法名、参数列表中每个参数所属的包名和类型名。具体过程如下:
API组成:包名.类名:返回值类型包名.类名方法名(参数列表)
拆分之后:[包名,类名,返回值包名,返回值类名,方法名,参数1所属包名,参数1所属类名,参数2所属包名,……]
步骤3.2:将拆分后的序列用事先训练好的Doc2Vec映射到特征空间中的多维向量,vecj=Φ(apivj)表示映射过程,其中apivj为第j个API拆分之后的词序列,Φ为训练好之后的Doc2Vec模型,vecj为第j个API所对应的词向量。
步骤4:利用聚类算法对API按照功能聚类,具体过程如下:
对每一个事件中所有的API所生成的词向量,利用K-means聚类算法划分成指定的k类,因为词序列中的元素表征着API的功能,所以相似功能的API在词向量的距离相近,会被划分成一类,不同功能的API距离较远,互相为不同的类。K-means聚类算法采用的距离为欧几里得距离,计算公式如下:
其中di,j为第i个API和第j个API之间的距离,veci为第i个API的词向量,为第j个向量的词向量的转置。
最后统计所有事件中每个类别的频率组成向量作为特征向量,表示方法如下:
其中每一行为一个事件的特征向量,每列表示某类API出现的频率,k=1024,m=50。pi,j为第i个事件的第j类API出现的频率,计算方式如下:
ni,j为第i个事件中第j类API的数目。
步骤5:利用能够综合考虑各个事件权重的神经网络对数据特征进行分类,具体过程如下:
使用能够综合考虑各个事件权重的神经网络,在经过训练之后,将每个事件的特征向量分别输入到3层事件层网络中处理,把输出结果拼接,在再输入到一层隐藏层处理,结果输入到Softmax进行分类,具体结构如图4所示,公式如下:
其中n为输入向量的元素个数,在这里n为2,即只有正负两类。
在事件层和隐藏层中,使用leaky_relu()作为激活函数,公式如下:
训练时使用的损失函数(loss)为cross entropy,公如下:
其中,N为使用随机批次梯度下降时每个批次的样本数目,yi为样本i真实的标签,且yi∈{[1,0],[0,1]},[1,0]表示正样例,f(xi)为神经网络的输出。
步骤6:利用步骤1到步骤4进行特征提取,并利用步骤s5中训练好的神经网络进行安卓软件的检测,具体过程为:对于每一个输入来的安卓软件样本,使用FlowDroid构建调用图、获取事件并对事件中的API编码和聚类、将事件特征向量输入神经网络进行预测,预测结果为:
其中[v1,v1]为神经网络的输出,v1表示样本为正常软件的概率,v2表示样本为恶意软件的概率。如果带检测属于正常软件的概率大于恶意软件的概率,则输出为0,表示正常软件,否则输出1,表示恶意软件。
应当理解的是,本说明书未详细阐述的部分均属于现有技术。
以上实施例仅用于说明本发明的设计思想和特点,其目的在于使本领域内的技术人员能够了解本发明的内容并据以实施,本发明的保护范围不限于上述实施例。所以,凡依据本发明所揭示的原理、设计思路所作的等同变化或修饰,均在本发明的保护范围之内。

Claims (7)

1.一种事件感知的安卓恶意软件检测方法,其特征在于,包括以下步骤:
步骤1:利用FlowDroid提取安卓软件中API的调用图;
步骤2:利用调用图遍历安卓软件的所有事件;
步骤3:利用Doc2Vec对API进行编码;
步骤4:利用聚类算法对API按照功能聚类;
步骤5:利用能够综合考虑各个事件权重的神经网络对数据特征进行分类;
步骤6:利用步骤1到步骤4进行特征提取,并利用步骤s5中训练好的神经网络进行安卓软件的检测。
2.根据权利要求1所述的事件感知的安卓恶意软件检测方法,其特征在于:所述步骤1的具体实现过程为:通过FlowDroid对安卓软件(apk文件)进行分析,提取apk中的API的调用关系,利用调用关系构建调用图,调用图的入口节点是固定名字的一个根节点,根节点下的子节点为不同的事件节点,每个事件节点下的子树,对应不同事件调用的API。
3.根据权利要求1所述的事件感知的安卓恶意软件检测方法,其特征在于:所述步骤2的具体过程为:从调用图的根节点开始,遍历所有字节点,将所有API映射到对应的事件上,选取出现频率最高的50个事件,得到的结果为:
[e1,e2,...,em] (1)
其中ei表示安卓应用的第i个事件,m=50,在式(2)中,apij为第j个API,表示事件i所包含的api数目。
4.根据权利要求1所述的事件感知的安卓恶意软件检测方法,其特征在于:所述步骤3的具体实现过程包括以下步骤:
步骤3.1:将API按照构成拆分为若干词的序列,包括包名、类名、返回值类型、方法名、参数列表中每个参数所属的包名和类型名,具体过程如下:
API组成:包名.类名:返回值类型包名.类名方法名(参数列表)
拆分之后:[包名,类名,返回值包名,返回值类名,方法名,参数1所属包名,参数1所属类名,参数2所属包名,……]
步骤3.2:将拆分后的序列用事先训练好的Doc2Vec映射到特征空间中的多维向量,vecj=Φ(apivj)表示映射过程,其中apivj为第j个API拆分之后的词序列,Φ为训练好之后的Doc2Vec模型,vecj为第j个API所对应的词向量。
5.根据权利要求1所述的事件感知的安卓恶意软件检测方法,其特征在于:所述步骤4的具体实现过程是:对每一个事件中所有的API所生成的词向量,利用K-means聚类算法划分成指定的1024类,该K-means聚类算法采用的距离为欧几里得距离,计算公式如下:
其中di,j为第i个API和第j个API之间的距离,veci为第i个API的词向量,为第j个向量的词向量的转置;
然后统计所有事件中每个功能类别的频率组成向量作为每个事件对应的特征向量,表示方法如下:
其中每一行表示一个事件的特征向量,每列表示某类API出现的频率,k=1024,m=50;pi,j为第i个事件的第j类API出现的频率,计算方式如下:
ni,j为第i个事件中第j类API的数目。
6.根据权利要求1所述的事件感知的安卓恶意软件检测方法,其特征在于:所述步骤5的具体实现过程是:使用能够综合考虑各个事件对分类权重的神经网络,在经过训练之后,将每个事件的特征向量分别输入到3层事件层网络中处理,把输出结果拼接,再输入到一层隐藏层处理,结果输入到Softmax进行分类,公式如下:
其中n为输入向量的元素个数,在这里n为2,即只有正负两类;
在事件层和隐藏层中,使用leaky_relu()作为激活函数,公式如下:
训练时使用的损失函数(loss)为cross entropy,公如下:
其中,N为使用随机批次梯度下降训练时每个批次的样本数目,yi为样本i真实的标签,且yi∈{[1,0],[0,1]},[1,0]表示正样例,f(xi)为神经网络的输出。
7.根据权利要求1所述的事件感知的安卓恶意软件检测方法,其特征在于:所述步骤6的具体实现过程为:对于每一个输入来的安卓软件样本,使用FlowDroid构建调用图、获取事件并对事件中的API编码和聚类、将事件特征向量输入神经网络进行预测,预测结果为:
其中[v1,v1]为神经网络的输出,v1表示样本为正常软件的概率,v2表示样本为恶意软件的概率;如果带检测属于正常软件的概率大于恶意软件的概率,则输出为0,表示正常软件,否则输出1,表示恶意软件。
CN201811455795.XA 2018-11-30 2018-11-30 一种事件感知的安卓恶意软件检测方法 Active CN109614795B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811455795.XA CN109614795B (zh) 2018-11-30 2018-11-30 一种事件感知的安卓恶意软件检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811455795.XA CN109614795B (zh) 2018-11-30 2018-11-30 一种事件感知的安卓恶意软件检测方法

Publications (2)

Publication Number Publication Date
CN109614795A true CN109614795A (zh) 2019-04-12
CN109614795B CN109614795B (zh) 2023-04-28

Family

ID=66005598

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811455795.XA Active CN109614795B (zh) 2018-11-30 2018-11-30 一种事件感知的安卓恶意软件检测方法

Country Status (1)

Country Link
CN (1) CN109614795B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111143842A (zh) * 2019-12-12 2020-05-12 广州大学 一种恶意代码检测方法及系统
CN111259388A (zh) * 2020-01-09 2020-06-09 中山大学 一种基于图卷积的恶意软件api调用序列检测方法
CN112100038A (zh) * 2020-09-27 2020-12-18 北京有竹居网络技术有限公司 数据时延监控方法、装置、电子设备和计算机可读介质
CN112182571A (zh) * 2020-07-21 2021-01-05 浙江工商大学 一种基于神经网络不变量的安卓恶意应用检测系统
CN113055372A (zh) * 2021-03-09 2021-06-29 重庆邮电大学 一种恶意软件的传播预测方法
CN113869378A (zh) * 2021-09-13 2021-12-31 四川大学 一种基于聚类与标签传播的软件系统模块划分方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140181973A1 (en) * 2012-12-26 2014-06-26 National Taiwan University Of Science And Technology Method and system for detecting malicious application
CN104834857A (zh) * 2015-03-27 2015-08-12 清华大学深圳研究生院 批量安卓恶意软件检测方法及装置
CN106874762A (zh) * 2017-01-06 2017-06-20 暨南大学 基于api依赖关系图的安卓恶意代码检测方法
CN107180192A (zh) * 2017-05-09 2017-09-19 北京理工大学 基于多特征融合的安卓恶意应用程序检测方法和系统
US20170270299A1 (en) * 2016-03-17 2017-09-21 Electronics And Telecommunications Research Institute Apparatus and method for detecting malware code by generating and analyzing behavior pattern
US20180096144A1 (en) * 2015-11-17 2018-04-05 Wuhan Antiy Information Technology Co., Ltd. Method, system, and device for inferring malicious code rule based on deep learning method
CN107908963A (zh) * 2018-01-08 2018-04-13 北京工业大学 一种自动化检测恶意代码核心特征方法
CN108595955A (zh) * 2018-04-25 2018-09-28 东北大学 一种安卓手机恶意应用检测系统及方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140181973A1 (en) * 2012-12-26 2014-06-26 National Taiwan University Of Science And Technology Method and system for detecting malicious application
CN104834857A (zh) * 2015-03-27 2015-08-12 清华大学深圳研究生院 批量安卓恶意软件检测方法及装置
US20180096144A1 (en) * 2015-11-17 2018-04-05 Wuhan Antiy Information Technology Co., Ltd. Method, system, and device for inferring malicious code rule based on deep learning method
US20170270299A1 (en) * 2016-03-17 2017-09-21 Electronics And Telecommunications Research Institute Apparatus and method for detecting malware code by generating and analyzing behavior pattern
CN106874762A (zh) * 2017-01-06 2017-06-20 暨南大学 基于api依赖关系图的安卓恶意代码检测方法
CN107180192A (zh) * 2017-05-09 2017-09-19 北京理工大学 基于多特征融合的安卓恶意应用程序检测方法和系统
CN107908963A (zh) * 2018-01-08 2018-04-13 北京工业大学 一种自动化检测恶意代码核心特征方法
CN108595955A (zh) * 2018-04-25 2018-09-28 东北大学 一种安卓手机恶意应用检测系统及方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
C. YANG, Z. XU, G. GU, V. YEGNESWARAN, AND P. PORRAS: "DroidMiner: Automated mining and characterization of fine-grained malicious behaviors in Android applications", 《PROC. ESORICS》 *
S. ARZT ET AL: "FlowDroid: Precise context, flow, field, object-sensitive", 《ACM SIGPLAN》 *
W.-C. WU AND S.-H. HUNG: "DroidDolphin: A dynamic Android malware detection framework using big data and machine learning", 《PROC. ACM RACS》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111143842A (zh) * 2019-12-12 2020-05-12 广州大学 一种恶意代码检测方法及系统
CN111143842B (zh) * 2019-12-12 2022-07-01 广州大学 一种恶意代码检测方法及系统
CN111259388A (zh) * 2020-01-09 2020-06-09 中山大学 一种基于图卷积的恶意软件api调用序列检测方法
CN111259388B (zh) * 2020-01-09 2023-01-17 中山大学 一种基于图卷积的恶意软件api调用序列检测方法
CN112182571A (zh) * 2020-07-21 2021-01-05 浙江工商大学 一种基于神经网络不变量的安卓恶意应用检测系统
CN112100038A (zh) * 2020-09-27 2020-12-18 北京有竹居网络技术有限公司 数据时延监控方法、装置、电子设备和计算机可读介质
CN113055372A (zh) * 2021-03-09 2021-06-29 重庆邮电大学 一种恶意软件的传播预测方法
CN113869378A (zh) * 2021-09-13 2021-12-31 四川大学 一种基于聚类与标签传播的软件系统模块划分方法
CN113869378B (zh) * 2021-09-13 2023-04-07 四川大学 一种基于聚类与标签传播的软件系统模块划分方法

Also Published As

Publication number Publication date
CN109614795B (zh) 2023-04-28

Similar Documents

Publication Publication Date Title
CN109614795A (zh) 一种事件感知的安卓恶意软件检测方法
Yuxin et al. Malware detection based on deep learning algorithm
Hou et al. Droiddelver: An android malware detection system using deep belief network based on api call blocks
CN108959924A (zh) 一种基于词向量和深度神经网络的Android恶意代码检测方法
Hou et al. Deep neural networks for automatic android malware detection
CN106503558B (zh) 一种基于社团结构分析的Android恶意代码检测方法
EP4058916A1 (en) Detecting unknown malicious content in computer systems
CN103853979B (zh) 基于机器学习的程序识别方法及装置
CN102567661B (zh) 基于机器学习的程序识别方法及装置
CN109271788B (zh) 一种基于深度学习的Android恶意软件检测方法
CN110233849A (zh) 网络安全态势分析的方法及系统
Li et al. Opcode sequence analysis of Android malware by a convolutional neural network
CN107273752B (zh) 基于词频统计和朴素贝叶斯融合模型的漏洞自动分类方法
Wang et al. LSCDroid: Malware detection based on local sensitive API invocation sequences
CN107368856A (zh) 恶意软件的聚类方法及装置、计算机装置及可读存储介质
CN107341399A (zh) 评估代码文件安全性的方法及装置
Qiao et al. Malware classification based on multilayer perception and Word2Vec for IoT security
CN107273746A (zh) 一种基于apk字符串特征的变种恶意软件检测方法
CN107239694A (zh) 一种基于用户评论的Android应用权限推理方法及装置
CN116010947A (zh) 一种基于异质网络的Android恶意软件检测方法
CN103679034A (zh) 一种基于本体的计算机病毒分析系统及其特征提取方法
Bai et al. A malware and variant detection method using function call graph isomorphism
CN110069927A (zh) 恶意apk检测方法、系统、数据存储设备和检测程序
Wu A systematical study for deep learning based android malware detection
CN109344614A (zh) 一种Android恶意应用在线检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant