CN110008700A - 一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置 - Google Patents

一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置 Download PDF

Info

Publication number
CN110008700A
CN110008700A CN201910212100.3A CN201910212100A CN110008700A CN 110008700 A CN110008700 A CN 110008700A CN 201910212100 A CN201910212100 A CN 201910212100A CN 110008700 A CN110008700 A CN 110008700A
Authority
CN
China
Prior art keywords
application
android
feature
malicious application
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910212100.3A
Other languages
English (en)
Other versions
CN110008700B (zh
Inventor
文伟平
李经纬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Peking University
Original Assignee
Peking University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Peking University filed Critical Peking University
Priority to CN201910212100.3A priority Critical patent/CN110008700B/zh
Publication of CN110008700A publication Critical patent/CN110008700A/zh
Application granted granted Critical
Publication of CN110008700B publication Critical patent/CN110008700B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Debugging And Monitoring (AREA)
  • Stored Programmes (AREA)

Abstract

本发明公布了一种基于朴素贝叶斯的安卓恶意应用检测方法及装置,通过将安卓应用抽象为特征矩阵表示,保留安卓应用中能用于进行恶意检测的相关信息,剔除无用冗余信息,构建加权的朴素贝叶斯检测模型;再根据加权的朴素贝叶斯检测模型对待检测的安卓应用进行分类,通过加权的朴素贝叶斯算法综合应用中包含的各种特征计算该应用是否为恶意应用的概率,从而有效识别恶意应用,对于提升安卓恶意应用的检测准确度有着显著效果。

Description

一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种基于朴素贝叶斯的安卓恶意应用检测方法及装置。
背景技术
安卓系统飞速发展的同时,安卓操作系统的安全问题也愈加严重。一方面由于安卓是开源操作系统,各大手机厂商都对其进行深度的定制,导致漏洞频发;另一方面大量第三方安卓应用的安全性不能得到有效的保证,除了Google Play外并没有针对第三方安卓应用比较权威的审核平台。由于安卓系统的开放性、开源性及其相对简单的检查机制,使得安卓系统吸引了很多恶意应用开发者,因此安卓成为恶意应用泛滥的主要平台之一。
目前针对安卓恶意应用的主流检测技术主要为静态检测技术、动态检测技术和混合检测技术。其中静态检测主要进行源代码的分析,通过提取分析源代码的相关特征识别恶意应用,这种方法虽然速度较快,但误报率很高;动态检测技术一般在沙盒环境中执行程序,通过提取分析应用的运行行为识别恶意应用,这种方法能够有效检测出已知和未知的恶意软件,但检测时间较慢;混合检测技术结合了静态检测技术和动态检测技术进行恶意应用识别,往往采用机器学习的方法进行分类,但对未知的恶意应用无法进行有效识别。
发明内容
为了克服上述现有技术的不足,本发明提供一种基于朴素贝叶斯的安卓恶意应用的检测方法和装置/系统,能够有效的分类和识别待检测安卓应用是否为恶意应用。
本发明提供了一种基于朴素贝叶斯的安卓恶意应用检测方法和装置。
其中安卓恶意应用检测方法包括如下阶段:
阶段一、构建加权的朴素贝叶斯检测模型;
阶段二、根据加权的朴素贝叶斯检测模型对待检测的安卓应用进行分类,识别该待检测应用是否为恶意应用。
其中阶段一包括如下步骤:
步骤1,通过对安卓应用进行静态分析,提取能够区分正常应用和恶意应用的静态特征,即对训练样本集中正常应用或恶意应用的配置文件、Dex文件等进行解析,提取其中的权限信息、组件信息、API调用信息等静态特征;
步骤2,对提取出来的特征进一步进行处理,所用处理包括特征归约、离散化等,最终形成可用于朴素贝叶斯算法训练输入的特征矩阵;
具体实施时,特征归约方法包括:基于数量的特征归约和基于区分度的特征规约;处理得到精简后的特征集合T,并基于特征集合T中的特征,针对于训练样本集提取特征矩阵,生成的特征矩阵中每个元素可表示为aij,特征矩阵中每个元素取值为0或1,当取值为0时表示第i个应用中不存在第j个特征,当取值为1时表示第i个应用中存在第j个特征。
步骤3,根据步骤1和步骤2中得到的特征矩阵,训练加权的朴素贝叶斯检测模型,得到训练好的加权的朴素贝叶斯检测模型;
具体实施时,模型训练的结果即通过统计得到每个特征属性在正常应用样本中出现的频率P(f1|Benignware),P(f2|Benignware),...,P(fn|Benignware)和在恶意应用样本中出现的频率P(f1|Malware),P(f2|Malware),...,P(fn|Malware),其中,n为训练样本集中特征属性的数量。
其中第二阶段包括如下步骤:
步骤4,对待检测安卓软件中的的配置文件、Dex文件等进行解析,提取其中的权限信息、组件信息、API调用信息等静态特征;
步骤5,将所获取的权限信息、组件信息、API调用信息等静态特征信息,输入加权的朴素贝叶斯检测模型中,计算待检测安卓应用为正常应用的概率P(Benignware)和安卓应用为恶意应用的概率P(Malware);
具体实施时,待检测安卓应用为正常应用的概率计算公式为:
待检测安卓应用为恶意应用的概率计算公式为:
其中“·”表示乘法运算,Diff(fi)为步骤2中基于区分度的特征归约过程中所得的特征fi的区分度权重,P(fi|Benignware)为步骤3中统计得到的特征fi在训练集的正常样本中出现的频率,P(fi|Malware)为步骤3中统计得到的特征fi在训练集的恶意样本中出现的频率。
步骤6,通过比较该应用为正常应用和恶意应用的概率,将其区分为正常应用或恶意应用。
具体地,当待检测应用为正常应用的概率P(Benignware)大于待检测应用为恶意应用的概率P(Malware)时,则将该待检测应用识别为正常应用;当待检测应用为正常应用的概率P(Benignware)小于该待检测应用为恶意应用的概率P(Malware)时,则将该应用识别为恶意应用。
利用上述安卓恶意应用检测方法,本发明还提供了一种安卓恶意应用检测装置,包括如下子系统:
子系统一、朴素贝叶斯检测模型训练子系统
子系统二、安卓恶意应用检测子系统
其中子系统一包括如下模块:
模块一、训练集特征提取模块,通过对参与机器学习模型训练的安卓应用进行静态分析,在配置文件、Dex文件等进行解析,提取其中的权限信息、组件信息、API调用信息等静态特征;
模块二、训练集特征处理模块,对提取出来的特征进一步进行处理,所用处理包括特征归约、离散化等,去除冗余特征,基于所保留的有效特征最终形成可用于朴素贝叶斯算法训练输入的特征矩阵;
模块三、加权的朴素贝叶斯模型训练模块,根据特征处理模块输出的特征矩阵训练加权的朴素贝叶斯恶意应用检测模型。
其中子系统二包括如下模块:
模块四、待检测应用特征提取模块,通过对待检测的安卓应用进行静态分析,在配置文件、Dex文件等进行解析,提取其中的权限信息、组件信息、API调用信息等各种与安卓恶意应用检测相关的特征信息;
模块五、恶意应用检测模块,通过在模块三中训练得出的加权朴素贝叶斯恶意应用检测模型对待检测安卓应用的恶意性进行检测;
模块六、结果展示模块,通过用户图形化界面对检测结果进行汇总和展示。
本发明的有益效果:
本发明提供一种基于朴素贝叶斯的安卓恶意应用的检测方法和装置/系统,通过将安卓应用抽象为特征矩阵表示,可最大程度保留安卓应用中能用于进行恶意检测的相关信息,剔除无用冗余信息,并通过加权的朴素贝叶斯算法综合应用中包含的各种特征计算该应用是否为恶意应用的概率,从而有效识别恶意应用,对于提升安卓恶意应用的检测准确度有着显著效果。
附图说明
图1为本发明检测方法的流程框图。
图2为本发明检测装置的系统结构框图。
具体实施方式
下面结合附图,通过实施例进一步描述本发明,但不以任何方式限制本发明的范围。
本发明提供一种基于朴素贝叶斯的安卓恶意应用的检测方法和装置,能够有效识别安卓恶意应用。图1所示为本发明检测方法的流程,首先将安卓应用抽象为特征矩阵表示,并通过加权的朴素贝叶斯算法综合应用中包含的各种特征计算该应用是否为恶意应用的概率。本发明的具体实施方式如下:
阶段一、构建加权的朴素贝叶斯检测模型;
阶段二、根据加权的朴素贝叶斯检测模型对安卓恶意软件的进行分类。
其中阶段一包括如下步骤:
步骤1,通过对安卓应用进行静态分析,确定能够区分正常应用和恶意应用的静态特征,即对正常应用或恶意应用的配置文件、Dex文件等进行解析,提取其中的权限信息、组件信息、API调用信息等静态特征。
进一步的,所提取的权限信息、组件信息、API调用信息等静态特征包括但不限于:
安卓应用源代码中所调用的所有API;
安卓应用在安装包内部的Manifest.xml文件中声明的所有权限;
安卓应用在安装包内部的Manifest.xml文件中声明的所有Action组件;
安卓应用在安装包内部的Manifest.xml文件中声明的所有Services组件;
安卓应用在安装包内部的Manifest.xml文件中声明的所有ContentProvider组件;
安卓应用在安装包内部的Manifest.xml文件中声明的所有BroadCastReceiver组件;
安卓应用在安装包内部的Manifest.xml文件中声明的所有硬件组件。
步骤2,对提取出来的特征进一步进行处理,所用处理包括特征归约、离散化等,最终形成可用于朴素贝叶斯算法训练输入的特征矩阵。
对于安卓应用的API、权限、组件等多维度的特征进行提取,所得到的数据量极其巨大并影响处理速度、降低检测和训练性能,因此,通过数量归约和维归约的方法对特征进行剪枝,去掉不必要的特征,压缩、减少需要提取的特征数量,提高检测和模型训练的性能。
进一步的,特征归约方法包括:
基于数量的特征归约,通过去除在安卓恶意应用中支持度小的特征(如有些特征在1万个恶意应用中只会出现几次,这种特征不具有一般性,即支持度较低),减少需提取的特征数量,其中支持度即该特征在安卓应用样本中出现的频率。支持度阈值取值范围为0到1,具体取值根据训练集中提取的各特征数量情况进行动态调整。
基于区分度的特征规约,通过去除恶意应用中区分度小(小于区分度阈值)的特征(如有些特征在恶意应用中出现的情况和正常应用中出现的情况相同,这种特征不能对恶意应用进行有效区分),减少需提取的特征数量。设恶意应用样本总量为M,正常应用的样本总量为B,具有特征fi的恶意应用样本数量为Mi,具有特征fi的恶意应用样本数量为Bi,则特征fi的在恶意应用中出现的频率FMi=Mi/M,在正常应用中出现的频率为FBi=Bi/B,则衡量一个特征对于恶意应用与正常应用区分度以Diff(fi)表示,Diff(fi)=1-min{FMi,FBi}/max{FMi,FBi},Diff(fi)的值域为[0,1]。当Diff(fi)取值为0时,代表该特征fi在正常应用和恶意应用中出现的频率相等,不具有任何区分性;Diff(fi)趋近于0,代表该特征fi区分效果越差;Diff(fi)趋近于1,代表该特征fi区分效果越好。区分度阈值取值范围为0到1,具体取值根据训练集中提取的各特征区分度情况进行动态调整,将区分度低于阈值的特征去除掉。
最终,得到精简后的特征集合T={F1,…,Fi,…,Fn},基于特征集合T中的n个特征fi针对于包含有m个安卓样本的训练集Train_Set={APK1,…,APKj,…APKm}提取特征矩阵:
最终生成的特征矩阵中每个元素可表示为aij,取值为0或1,当取值为0时表示第i个应用中不存在第j个特征,当取值为1时表示第i个应用中存在第j个特征。
步骤3,根据步骤1和步骤2中得到的特征矩阵训练加权的朴素贝叶斯检测模型。具体为统计特征集合T={F1,…,Fi,…,Fn}中每一个特征Fi在训练集的正常样本中和恶意样本中出现的频率,即P(f1|Malware),P(f2|Malware),...,P(fn|Malware)和P(f1|Benignware),P(f2|Benignware),...,P(fn|Benignware)。
其中阶段二包括如下步骤:
步骤4,获取待检测安卓软件中的权限信息、组件信息、API调用信息等静态特征。基于步骤2中得到的精简后的特征集合T针对待检测APK进行特征提取,所提取特征包括但不限于:
存在于特征集合T中的安卓应用源代码中所调用的所有API;
存在于特征集合T中的安卓应用在安装包内部的Manifest.xml文件中声明的所有权限;
存在于特征集合T中的安卓应用在安装包内部的Manifest.xml文件中声明的所有Action组件;
存在于特征集合T中的安卓应用在安装包内部的Manifest.xml文件中声明的所有Services组件;
存在于特征集合T中的安卓应用在安装包内部的Manifest.xml文件中声明的所有ContentProvider组件;
存在于特征集合T中的安卓应用在安装包内部的Manifest.xml文件中声明的所有BroadCastReceiver组件。
步骤5,将所获取的权限信息、组件信息、API调用信息等特征形成特征向量,输入训练好的加权的朴素贝叶斯检测模型中,计算该待检测应用为正常应用和恶意应用的概率。
其中针对于待检测应用形成的特征向量中元素可表示为aj,取值为0或1,当取值为0时表示该应用中不存在第j个特征,当取值为1时表示该应用中存在第j个特征。
根据原始的朴素贝叶斯算法,进行基于区分度的加权,得到该待检测应用为正常应用和恶意应用的概率,计算公式分别表示为式1、式2:
其中“·”表示乘法运算,P(Benignware)为待检测应用为正常应用的概率,P(Malware)为待检测应用为恶意应用的概率,Diff(fi)为特征fi的区分度权重,P(fi|Benignware)为特征Fi在训练集的正常样本中出现的频率,P(fi|Malware)为特征Fi在训练集的恶意样本中出现的频率。
步骤6,通过比较该待检测应用为正常应用和恶意应用的概率,将其区分为正常应用或恶意应用。当该待检测应用为正常应用的概率P(Benignware)大于该待检测应用为恶意应用的概率P(Malware)时,则将该待检测应用判断为正常应用;当该待检测应用为正常应用的概率P(Benignware)小于该待检测应用为恶意应用的概率P(Malware)时,则将该应用判断为恶意应用。
基于上述安卓恶意应用检测方法,具体实施中,本发明提供了一种安卓恶意应用检测装置,包括如下子系统:朴素贝叶斯检测模型训练子系统;安卓恶意应用检测子系统。
其中,朴素贝叶斯检测模型训练子系统包括如下模块:
模块一、训练集特征提取模块,通过对参与机器学习模型训练的安卓应用进行静态分析,在配置文件、Dex文件等进行解析,提取其中的权限信息、组件信息、API调用信息等各种与安卓恶意应用检测相关的特征信息;
模块二、训练集特征处理模块,对提取出来的特征进一步进行处理,所用处理包括特征归约、离散化等,去除冗余特征,基于所保留的有效特征最终形成可用于朴素贝叶斯算法训练输入的特征矩阵;
模块三、加权的朴素贝叶斯模型训练模块,根据特征处理模块输出的特征矩阵训练加权的朴素贝叶斯恶意应用检测模型。
安卓恶意应用检测子系统包括如下模块:
模块四、待检测应用特征提取模块,通过对待检测的安卓应用进行静态分析,在配置文件、Dex文件等进行解析,提取其中的权限信息、组件信息、API调用信息等各种与安卓恶意应用检测相关的特征信息;
模块五、恶意应用检测模块,通过在模块三中训练得出的加权朴素贝叶斯恶意应用检测模型对待检测安卓应用的恶意性进行检测;
模块六、结果展示模块,通过用户图形化界面对检测结果进行汇总和展示。
需要注意的是,公布实施例的目的在于帮助进一步理解本发明,但是本领域的技术人员可以理解:在不脱离本发明及所附权利要求的精神和范围内,各种替换和修改都是可能的。因此,本发明不应局限于实施例所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。

Claims (7)

1.一种基于朴素贝叶斯的安卓恶意应用检测方法,其特征是,首先构建加权的朴素贝叶斯检测模型;再根据加权的朴素贝叶斯检测模型对待检测的安卓应用进行分类,识别该待检测应用是否为恶意应用;
构建加权的朴素贝叶斯检测模型包括步骤1~步骤3:
步骤1,对训练样本集中的正常应用或恶意应用文件进行解析,提取其中的静态特征;
步骤2,对提取出来的静态特征采用特征归约方法进行处理,得到精简后的特征集合T,并基于特征集合T中的特征,对训练样本集提取得到特征矩阵;特征矩阵中每个元素表示为aij,取值为0或1;当取值为0时表示第i个应用中不存在第j个特征,当取值为1时表示第i个应用中存在第j个特征;
步骤3,将特征矩阵作为检测模型训练的输入,训练加权的朴素贝叶斯检测模型,得到训练好的加权的朴素贝叶斯检测模型;即通过统计得到每个特征属性在正常应用样本中出现的频率P(f1|Benignware),P(f2|Benignware),...,P(fn|Benignware)和在恶意应用样本中出现的频率P(f1|Malware),P(f2|Malware),...,P(fn|Malware);其中,n为训练样本集中特征属性的数量;
步骤4,对待检测安卓应用文件进行解析,提取静态特征,包括:权限信息、组件信息、API调用信息;
步骤5,将所获取的静态特征形成特征向量,输入加权的朴素贝叶斯检测模型中,计算待检测安卓应用为正常应用的概率和待检测安卓应用为恶意应用的概率;
步骤6,通过比较待检测安卓应用为正常应用和恶意应用的概率,将其识别为正常应用或恶意应用;当待检测应用为正常应用的概率P(Benignware)大于待检测应用为恶意应用的概率P(Malware)时,则将该待检测应用识别为正常应用;当待检测应用为正常应用的概率P(Benignware)小于该待检测应用为恶意应用的概率P(Malware)时,则将该应用识别为恶意应用;
通过上述步骤,实现基于朴素贝叶斯的安卓恶意应用检测。
2.如权利要求1所述基于朴素贝叶斯的安卓恶意应用检测方法,其特征是,提取的静态特征包括:权限信息、组件信息、API调用信息;具体包括但不限于:
安卓应用源代码中所调用的所有API;
安卓应用在安装包内部的Manifest.xml文件中声明的所有权限;
安卓应用在安装包内部的Manifest.xml文件中声明的所有Action组件;
安卓应用在安装包内部的Manifest.xml文件中声明的所有Services组件;
安卓应用在安装包内部的Manifest.xml文件中声明的所有ContentProvider组件;
安卓应用在安装包内部的Manifest.xml文件中声明的所有BroadCastReceiver组件;
安卓应用在安装包内部的Manifest.xml文件中声明的所有硬件组件。
3.如权利要求1所述基于朴素贝叶斯的安卓恶意应用检测方法,其特征是,特征归约方法包括:基于数量的特征归约和/或基于区分度的特征规约。
4.如权利要求3所述基于朴素贝叶斯的安卓恶意应用检测方法,其特征是,所述基于数量的特征归约,通过去除在恶意应用中支持度小于支持度阈值的特征,由此减少需提取的特征数量。
5.如权利要求3所述基于朴素贝叶斯的安卓恶意应用检测方法,其特征是,所述基于区分度的特征规约,通过去除恶意应用中区分度小于区分度阈值的特征,由此减少需提取的特征数量;
设恶意应用样本总量为M,正常应用的样本总量为B,具有特征fi的恶意应用样本数量为Mi,具有特征fi的恶意应用样本数量为Bi
特征fi在恶意应用中出现的频率:FMi=Mi/M;在正常应用中出现的频率为FBi=Bi/B;
将区分度Diff(fi)表示为:
Diff(fi)=1-min{FMi,FBi}/max{FMi,FBi}
其中,Diff(fi)取值为[0,1]。
6.如权利要求1所述基于朴素贝叶斯的安卓恶意应用检测方法,其特征是,具体分别采用式1和式2计算得到待检测安卓应用为正常应用的概率和待检测安卓应用为恶意应用的概率:
其中,P(Benignware)为待检测应用为正常应用的概率;P(Malware)为待检测应用为恶意应用的概率;Diff(fi)为特征fi的区分度权重;P(fi|Benignware)为特征Fi在训练集的正常样本中出现的频率;P(fi|Malware)为特征Fi在训练集的恶意样本中出现的频率。
7.一种基于朴素贝叶斯的安卓恶意应用检测装置,包括如下子系统:
子系统一、朴素贝叶斯检测模型训练子系统;
子系统二、安卓恶意应用检测子系统;
其中子系统一包括如下模块:
模块一、训练集特征提取模块,用于对参与机器学习模型训练的安卓应用进行静态分析,在配置文件及可执行代码中提取用于安卓恶意应用检测的特征信息;
模块二、训练集特征处理模块,用于对提取出来的特征进一步进行处理,去除冗余特征,基于所保留的有效特征形成用于朴素贝叶斯算法训练输入的特征矩阵;
模块三、加权的朴素贝叶斯模型训练模块,根据训练集特征处理模块输出的特征矩阵训练加权的朴素贝叶斯恶意应用检测模型;
其中子系统二包括如下模块:
模块四、待检测应用特征提取模块,用于对待检测的安卓应用进行静态分析,在配置文件及可执行代码中提取用于安卓恶意应用检测的特征信息;
模块五、恶意应用检测模块,通过模块三训练得出的加权朴素贝叶斯恶意应用检测模型对待检测安卓应用的恶意性进行检测;
模块六、结果展示模块,通过用户图形化界面对检测结果进行汇总和展示。
CN201910212100.3A 2019-03-20 2019-03-20 一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置 Active CN110008700B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910212100.3A CN110008700B (zh) 2019-03-20 2019-03-20 一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910212100.3A CN110008700B (zh) 2019-03-20 2019-03-20 一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置

Publications (2)

Publication Number Publication Date
CN110008700A true CN110008700A (zh) 2019-07-12
CN110008700B CN110008700B (zh) 2020-12-22

Family

ID=67167481

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910212100.3A Active CN110008700B (zh) 2019-03-20 2019-03-20 一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置

Country Status (1)

Country Link
CN (1) CN110008700B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102346829A (zh) * 2011-09-22 2012-02-08 重庆大学 基于集成分类的病毒检测方法
CN104751052A (zh) * 2013-12-30 2015-07-01 南京理工大学常熟研究院有限公司 基于svm算法的移动智能终端软件的动态行为分析方法
US20150379398A1 (en) * 2012-07-30 2015-12-31 International Business Machines Corporation Scalable neural hardware for the noisy-or model of bayesian networks
CN105320887A (zh) * 2015-10-12 2016-02-10 湖南大学 一种基于静态特征提取和选择的Android恶意应用检测方法
CN105740712A (zh) * 2016-03-09 2016-07-06 哈尔滨工程大学 基于贝叶斯网络的Android恶意行为检测方法
US20160248796A1 (en) * 2013-08-23 2016-08-25 The Boeing Company System and method for discovering optimal network attack paths
CN108491719A (zh) * 2018-03-15 2018-09-04 重庆邮电大学 一种改进朴素贝叶斯算法的安卓恶意程序检测方法
CN108595955A (zh) * 2018-04-25 2018-09-28 东北大学 一种安卓手机恶意应用检测系统及方法
CN108664792A (zh) * 2018-05-21 2018-10-16 中国科学技术大学 一种Android恶意软件的溯源方法
CN108985060A (zh) * 2018-07-04 2018-12-11 中共中央办公厅电子科技学院 一种大规模安卓恶意软件自动化检测系统及方法

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102346829A (zh) * 2011-09-22 2012-02-08 重庆大学 基于集成分类的病毒检测方法
US20150379398A1 (en) * 2012-07-30 2015-12-31 International Business Machines Corporation Scalable neural hardware for the noisy-or model of bayesian networks
US20160248796A1 (en) * 2013-08-23 2016-08-25 The Boeing Company System and method for discovering optimal network attack paths
CN104751052A (zh) * 2013-12-30 2015-07-01 南京理工大学常熟研究院有限公司 基于svm算法的移动智能终端软件的动态行为分析方法
CN105320887A (zh) * 2015-10-12 2016-02-10 湖南大学 一种基于静态特征提取和选择的Android恶意应用检测方法
CN105740712A (zh) * 2016-03-09 2016-07-06 哈尔滨工程大学 基于贝叶斯网络的Android恶意行为检测方法
CN108491719A (zh) * 2018-03-15 2018-09-04 重庆邮电大学 一种改进朴素贝叶斯算法的安卓恶意程序检测方法
CN108595955A (zh) * 2018-04-25 2018-09-28 东北大学 一种安卓手机恶意应用检测系统及方法
CN108664792A (zh) * 2018-05-21 2018-10-16 中国科学技术大学 一种Android恶意软件的溯源方法
CN108985060A (zh) * 2018-07-04 2018-12-11 中共中央办公厅电子科技学院 一种大规模安卓恶意软件自动化检测系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王辉 等: "基于特征项区分度的加权朴素贝叶斯邮件过滤方法", 《计算机应用与软件》 *

Also Published As

Publication number Publication date
CN110008700B (zh) 2020-12-22

Similar Documents

Publication Publication Date Title
CN109753801B (zh) 基于系统调用的智能终端恶意软件动态检测方法
CN105956180B (zh) 一种敏感词过滤方法
CN109684840A (zh) 基于敏感调用路径的Android恶意软件检测方法
CN107547555A (zh) 一种网站安全监测方法及装置
CN105205397B (zh) 恶意程序样本分类方法及装置
CN107169351A (zh) 结合动态行为特征的Android未知恶意软件检测方法
CN108959924A (zh) 一种基于词向量和深度神经网络的Android恶意代码检测方法
CN105072214B (zh) 基于域名特征的c&c域名识别方法
CN106570399B (zh) 一种跨App组件间隐私泄露的检测方法
CN110909348B (zh) 一种内部威胁检测方法及装置
CN110795732A (zh) 基于SVM的Android移动网络终端恶意代码的动静结合检测方法
CN112149124B (zh) 一种基于异构信息网络的安卓恶意程序检测的方法和系统
CN109271788A (zh) 一种基于深度学习的Android恶意软件检测方法
CN111858242A (zh) 一种系统日志异常检测方法、装置及电子设备和存储介质
CN111460446A (zh) 基于模型的恶意文件检测方法及装置
CN106599688A (zh) 一种基于应用类别的安卓恶意软件检测方法
CN111079029A (zh) 敏感账号的检测方法、存储介质和计算机设备
CN111338692A (zh) 基于漏洞代码的漏洞分类方法、装置及电子设备
CN110334510A (zh) 一种基于随机森林算法的恶意文件检测技术
CN108959922B (zh) 一种基于贝叶斯网的恶意文档检测方法及装置
CN114491523A (zh) 恶意软件检测方法、装置、电子设备、介质及产品
Kim et al. Evaluating surprise adequacy for question answering
CN112231696B (zh) 恶意样本的识别方法、装置、计算设备以及介质
CN113971284B (zh) 基于JavaScript的恶意网页检测方法、设备及计算机可读存储介质
CN112016088A (zh) 生成文件检测模型的方法、装置、检测文件的方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant