CN110008700B - 一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置 - Google Patents

一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置 Download PDF

Info

Publication number
CN110008700B
CN110008700B CN201910212100.3A CN201910212100A CN110008700B CN 110008700 B CN110008700 B CN 110008700B CN 201910212100 A CN201910212100 A CN 201910212100A CN 110008700 B CN110008700 B CN 110008700B
Authority
CN
China
Prior art keywords
application
android
malicious
feature
naive bayes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910212100.3A
Other languages
English (en)
Other versions
CN110008700A (zh
Inventor
文伟平
李经纬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Peking University
Original Assignee
Peking University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Peking University filed Critical Peking University
Priority to CN201910212100.3A priority Critical patent/CN110008700B/zh
Publication of CN110008700A publication Critical patent/CN110008700A/zh
Application granted granted Critical
Publication of CN110008700B publication Critical patent/CN110008700B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Debugging And Monitoring (AREA)
  • Stored Programmes (AREA)

Abstract

本发明公布了一种基于朴素贝叶斯的安卓恶意应用检测方法及装置,通过将安卓应用抽象为特征矩阵表示,保留安卓应用中能用于进行恶意检测的相关信息,剔除无用冗余信息,构建加权的朴素贝叶斯检测模型;再根据加权的朴素贝叶斯检测模型对待检测的安卓应用进行分类,通过加权的朴素贝叶斯算法综合应用中包含的各种特征计算该应用是否为恶意应用的概率,从而有效识别恶意应用,对于提升安卓恶意应用的检测准确度有着显著效果。

Description

一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种基于朴素贝叶斯的安卓恶意应用检测方法及装置。
背景技术
安卓系统飞速发展的同时,安卓操作系统的安全问题也愈加严重。一方面由于安卓是开源操作系统,各大手机厂商都对其进行深度的定制,导致漏洞频发;另一方面大量第三方安卓应用的安全性不能得到有效的保证,除了Google Play外并没有针对第三方安卓应用比较权威的审核平台。由于安卓系统的开放性、开源性及其相对简单的检查机制,使得安卓系统吸引了很多恶意应用开发者,因此安卓成为恶意应用泛滥的主要平台之一。
目前针对安卓恶意应用的主流检测技术主要为静态检测技术、动态检测技术和混合检测技术。其中静态检测主要进行源代码的分析,通过提取分析源代码的相关特征识别恶意应用,这种方法虽然速度较快,但误报率很高;动态检测技术一般在沙盒环境中执行程序,通过提取分析应用的运行行为识别恶意应用,这种方法能够有效检测出已知和未知的恶意软件,但检测时间较慢;混合检测技术结合了静态检测技术和动态检测技术进行恶意应用识别,往往采用机器学习的方法进行分类,但对未知的恶意应用无法进行有效识别。
发明内容
为了克服上述现有技术的不足,本发明提供一种基于朴素贝叶斯的安卓恶意应用的检测方法和装置/系统,能够有效的分类和识别待检测安卓应用是否为恶意应用。
本发明提供了一种基于朴素贝叶斯的安卓恶意应用检测方法和装置。
其中安卓恶意应用检测方法包括如下阶段:
阶段一、构建加权的朴素贝叶斯检测模型;
阶段二、根据加权的朴素贝叶斯检测模型对待检测的安卓应用进行分类,识别该待检测应用是否为恶意应用。
其中阶段一包括如下步骤:
步骤1,通过对安卓应用进行静态分析,提取能够区分正常应用和恶意应用的静态特征,即对训练样本集中正常应用或恶意应用的配置文件、Dex文件等进行解析,提取其中的权限信息、组件信息、API调用信息等静态特征;
步骤2,对提取出来的特征进一步进行处理,所用处理包括特征归约、离散化等,最终形成可用于朴素贝叶斯算法训练输入的特征矩阵;
具体实施时,特征归约方法包括:基于数量的特征归约和基于区分度的特征规约;处理得到精简后的特征集合T,并基于特征集合T中的特征,针对于训练样本集提取特征矩阵,生成的特征矩阵中每个元素可表示为aij,特征矩阵中每个元素取值为0或1,当取值为0时表示第i个应用中不存在第j个特征,当取值为1时表示第i个应用中存在第j个特征。
步骤3,根据步骤1和步骤2中得到的特征矩阵,训练加权的朴素贝叶斯检测模型,得到训练好的加权的朴素贝叶斯检测模型;
具体实施时,模型训练的结果即通过统计得到每个特征属性在正常应用样本中出现的频率P(f1|Benignware),P(f2|Benignware),...,P(fn|Benignware)和在恶意应用样本中出现的频率P(f1|Malware),P(f2|Malware),...,P(fn|Malware),其中,n为训练样本集中特征属性的数量。
其中第二阶段包括如下步骤:
步骤4,对待检测安卓软件中的的配置文件、Dex文件等进行解析,提取其中的权限信息、组件信息、API调用信息等静态特征;
步骤5,将所获取的权限信息、组件信息、API调用信息等静态特征信息,输入加权的朴素贝叶斯检测模型中,计算待检测安卓应用为正常应用的概率P(Benignware)和安卓应用为恶意应用的概率P(Malware);
具体实施时,待检测安卓应用为正常应用的概率计算公式为:
Figure BDA0002000853650000021
待检测安卓应用为恶意应用的概率计算公式为:
Figure BDA0002000853650000031
其中“·”表示乘法运算,Diff(fi)为步骤2中基于区分度的特征归约过程中所得的特征fi的区分度权重,P(fi|Benignware)为步骤3中统计得到的特征fi在训练集的正常样本中出现的频率,P(fi|Malware)为步骤3中统计得到的特征fi在训练集的恶意样本中出现的频率。
步骤6,通过比较该应用为正常应用和恶意应用的概率,将其区分为正常应用或恶意应用。
具体地,当待检测应用为正常应用的概率P(Benignware)大于待检测应用为恶意应用的概率P(Malware)时,则将该待检测应用识别为正常应用;当待检测应用为正常应用的概率P(Benignware)小于该待检测应用为恶意应用的概率P(Malware)时,则将该应用识别为恶意应用。
利用上述安卓恶意应用检测方法,本发明还提供了一种安卓恶意应用检测装置,包括如下子系统:
子系统一、朴素贝叶斯检测模型训练子系统
子系统二、安卓恶意应用检测子系统
其中子系统一包括如下模块:
模块一、训练集特征提取模块,通过对参与机器学习模型训练的安卓应用进行静态分析,在配置文件、Dex文件等进行解析,提取其中的权限信息、组件信息、API调用信息等静态特征;
模块二、训练集特征处理模块,对提取出来的特征进一步进行处理,所用处理包括特征归约、离散化等,去除冗余特征,基于所保留的有效特征最终形成可用于朴素贝叶斯算法训练输入的特征矩阵;
模块三、加权的朴素贝叶斯模型训练模块,根据特征处理模块输出的特征矩阵训练加权的朴素贝叶斯恶意应用检测模型。
其中子系统二包括如下模块:
模块四、待检测应用特征提取模块,通过对待检测的安卓应用进行静态分析,在配置文件、Dex文件等进行解析,提取其中的权限信息、组件信息、API调用信息等各种与安卓恶意应用检测相关的特征信息;
模块五、恶意应用检测模块,通过在模块三中训练得出的加权朴素贝叶斯恶意应用检测模型对待检测安卓应用的恶意性进行检测;
模块六、结果展示模块,通过用户图形化界面对检测结果进行汇总和展示。
本发明的有益效果:
本发明提供一种基于朴素贝叶斯的安卓恶意应用的检测方法和装置/系统,通过将安卓应用抽象为特征矩阵表示,可最大程度保留安卓应用中能用于进行恶意检测的相关信息,剔除无用冗余信息,并通过加权的朴素贝叶斯算法综合应用中包含的各种特征计算该应用是否为恶意应用的概率,从而有效识别恶意应用,对于提升安卓恶意应用的检测准确度有着显著效果。
附图说明
图1为本发明检测方法的流程框图。
图2为本发明检测装置的系统结构框图。
具体实施方式
下面结合附图,通过实施例进一步描述本发明,但不以任何方式限制本发明的范围。
本发明提供一种基于朴素贝叶斯的安卓恶意应用的检测方法和装置,能够有效识别安卓恶意应用。图1所示为本发明检测方法的流程,首先将安卓应用抽象为特征矩阵表示,并通过加权的朴素贝叶斯算法综合应用中包含的各种特征计算该应用是否为恶意应用的概率。本发明的具体实施方式如下:
阶段一、构建加权的朴素贝叶斯检测模型;
阶段二、根据加权的朴素贝叶斯检测模型对安卓恶意软件的进行分类。
其中阶段一包括如下步骤:
步骤1,通过对安卓应用进行静态分析,确定能够区分正常应用和恶意应用的静态特征,即对正常应用或恶意应用的配置文件、Dex文件等进行解析,提取其中的权限信息、组件信息、API调用信息等静态特征。
进一步的,所提取的权限信息、组件信息、API调用信息等静态特征包括但不限于:
安卓应用源代码中所调用的所有API;
安卓应用在安装包内部的Manifest.xml文件中声明的所有权限;
安卓应用在安装包内部的Manifest.xml文件中声明的所有Action组件;
安卓应用在安装包内部的Manifest.xml文件中声明的所有Services组件;
安卓应用在安装包内部的Manifest.xml文件中声明的所有ContentProvider组件;
安卓应用在安装包内部的Manifest.xml文件中声明的所有BroadCastReceiver组件;
安卓应用在安装包内部的Manifest.xml文件中声明的所有硬件组件。
步骤2,对提取出来的特征进一步进行处理,所用处理包括特征归约、离散化等,最终形成可用于朴素贝叶斯算法训练输入的特征矩阵。
对于安卓应用的API、权限、组件等多维度的特征进行提取,所得到的数据量极其巨大并影响处理速度、降低检测和训练性能,因此,通过数量归约和维归约的方法对特征进行剪枝,去掉不必要的特征,压缩、减少需要提取的特征数量,提高检测和模型训练的性能。
进一步的,特征归约方法包括:
基于数量的特征归约,通过去除在安卓恶意应用中支持度小的特征(如有些特征在1万个恶意应用中只会出现几次,这种特征不具有一般性,即支持度较低),减少需提取的特征数量,其中支持度即该特征在安卓应用样本中出现的频率。支持度阈值取值范围为0到1,具体取值根据训练集中提取的各特征数量情况进行动态调整。
基于区分度的特征规约,通过去除恶意应用中区分度小(小于区分度阈值)的特征(如有些特征在恶意应用中出现的情况和正常应用中出现的情况相同,这种特征不能对恶意应用进行有效区分),减少需提取的特征数量。设恶意应用样本总量为M,正常应用的样本总量为B,具有特征fi的恶意应用样本数量为Mi,具有特征fi的恶意应用样本数量为Bi,则特征fi的在恶意应用中出现的频率FMi=Mi/M,在正常应用中出现的频率为FBi=Bi/B,则衡量一个特征对于恶意应用与正常应用区分度以Diff(fi)表示,Diff(fi)=1-min{FMi,FBi}/max{FMi,FBi},Diff(fi)的值域为[0,1]。当Diff(fi)取值为0时,代表该特征fi在正常应用和恶意应用中出现的频率相等,不具有任何区分性;Diff(fi)趋近于0,代表该特征fi区分效果越差;Diff(fi)趋近于1,代表该特征fi区分效果越好。区分度阈值取值范围为0到1,具体取值根据训练集中提取的各特征区分度情况进行动态调整,将区分度低于阈值的特征去除掉。
最终,得到精简后的特征集合T={F1,…,Fi,…,Fn},基于特征集合T中的n个特征fi针对于包含有m个安卓样本的训练集Train_Set={APK1,…,APKj,…APKm}提取特征矩阵:
Figure BDA0002000853650000061
最终生成的特征矩阵中每个元素可表示为aij,取值为0或1,当取值为0时表示第i个应用中不存在第j个特征,当取值为1时表示第i个应用中存在第j个特征。
步骤3,根据步骤1和步骤2中得到的特征矩阵训练加权的朴素贝叶斯检测模型。具体为统计特征集合T={F1,…,Fi,…,Fn}中每一个特征Fi在训练集的正常样本中和恶意样本中出现的频率,即P(f1|Malware),P(f2|Malware),...,P(fn|Malware)和P(f1|Benignware),P(f2|Benignware),...,P(fn|Benignware)。
其中阶段二包括如下步骤:
步骤4,获取待检测安卓软件中的权限信息、组件信息、API调用信息等静态特征。基于步骤2中得到的精简后的特征集合T针对待检测APK进行特征提取,所提取特征包括但不限于:
存在于特征集合T中的安卓应用源代码中所调用的所有API;
存在于特征集合T中的安卓应用在安装包内部的Manifest.xml文件中声明的所有权限;
存在于特征集合T中的安卓应用在安装包内部的Manifest.xml文件中声明的所有Action组件;
存在于特征集合T中的安卓应用在安装包内部的Manifest.xml文件中声明的所有Services组件;
存在于特征集合T中的安卓应用在安装包内部的Manifest.xml文件中声明的所有ContentProvider组件;
存在于特征集合T中的安卓应用在安装包内部的Manifest.xml文件中声明的所有BroadCastReceiver组件。
步骤5,将所获取的权限信息、组件信息、API调用信息等特征形成特征向量,输入训练好的加权的朴素贝叶斯检测模型中,计算该待检测应用为正常应用和恶意应用的概率。
其中针对于待检测应用形成的特征向量中元素可表示为aj,取值为0或1,当取值为0时表示该应用中不存在第j个特征,当取值为1时表示该应用中存在第j个特征。
根据原始的朴素贝叶斯算法,进行基于区分度的加权,得到该待检测应用为正常应用和恶意应用的概率,计算公式分别表示为式1、式2:
Figure BDA0002000853650000071
Figure BDA0002000853650000072
其中“·”表示乘法运算,P(Benignware)为待检测应用为正常应用的概率,P(Malware)为待检测应用为恶意应用的概率,Diff(fi)为特征fi的区分度权重,P(fi|Benignware)为特征Fi在训练集的正常样本中出现的频率,P(fi|Malware)为特征Fi在训练集的恶意样本中出现的频率。
步骤6,通过比较该待检测应用为正常应用和恶意应用的概率,将其区分为正常应用或恶意应用。当该待检测应用为正常应用的概率P(Benignware)大于该待检测应用为恶意应用的概率P(Malware)时,则将该待检测应用判断为正常应用;当该待检测应用为正常应用的概率P(Benignware)小于该待检测应用为恶意应用的概率P(Malware)时,则将该应用判断为恶意应用。
基于上述安卓恶意应用检测方法,具体实施中,本发明提供了一种安卓恶意应用检测装置,包括如下子系统:朴素贝叶斯检测模型训练子系统;安卓恶意应用检测子系统。
其中,朴素贝叶斯检测模型训练子系统包括如下模块:
模块一、训练集特征提取模块,通过对参与机器学习模型训练的安卓应用进行静态分析,在配置文件、Dex文件等进行解析,提取其中的权限信息、组件信息、API调用信息等各种与安卓恶意应用检测相关的特征信息;
模块二、训练集特征处理模块,对提取出来的特征进一步进行处理,所用处理包括特征归约、离散化等,去除冗余特征,基于所保留的有效特征最终形成可用于朴素贝叶斯算法训练输入的特征矩阵;
模块三、加权的朴素贝叶斯模型训练模块,根据特征处理模块输出的特征矩阵训练加权的朴素贝叶斯恶意应用检测模型。
安卓恶意应用检测子系统包括如下模块:
模块四、待检测应用特征提取模块,通过对待检测的安卓应用进行静态分析,在配置文件、Dex文件等进行解析,提取其中的权限信息、组件信息、API调用信息等各种与安卓恶意应用检测相关的特征信息;
模块五、恶意应用检测模块,通过在模块三中训练得出的加权朴素贝叶斯恶意应用检测模型对待检测安卓应用的恶意性进行检测;
模块六、结果展示模块,通过用户图形化界面对检测结果进行汇总和展示。
需要注意的是,公布实施例的目的在于帮助进一步理解本发明,但是本领域的技术人员可以理解:在不脱离本发明及所附权利要求的精神和范围内,各种替换和修改都是可能的。因此,本发明不应局限于实施例所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。

Claims (5)

1.一种基于朴素贝叶斯的安卓恶意应用检测方法,其特征是,首先构建加权的朴素贝叶斯检测模型;再根据加权的朴素贝叶斯检测模型对待检测的安卓应用进行分类,识别该待检测应用是否为恶意应用;
构建加权的朴素贝叶斯检测模型包括步骤1~步骤3:
步骤1,对训练样本集中的正常应用或恶意应用文件进行解析,提取其中的静态特征;
步骤2,对提取出来的静态特征采用特征归约方法进行处理,得到精简后的特征集合T,并基于特征集合T中的特征,对训练样本集提取得到特征矩阵;特征矩阵中每个元素表示为aij,取值为0或1;当取值为0时表示第i个应用中不存在第j个特征,当取值为1时表示第i个应用中存在第j个特征;所述特征归约方法包括基于区分度的特征规约;
所述基于区分度的特征规约,通过去除恶意应用中区分度小于区分度阈值的特征,由此减少需提取的特征数量;
设恶意应用样本总量为M,正常应用的样本总量为B,具有特征fi的恶意应用样本数量为Mi,具有特征fi的恶意应用样本数量为Bi
特征fi在恶意应用中出现的频率:FMi=Mi/M;在正常应用中出现的频率为FBi=Bi/B;
将区分度Diff(fi)表示为:
Diff(fi)=1-min{FMi,FBi}/max{FMi,FBi}
其中,Diff(fi)取值为[0,1];
步骤3,将特征矩阵作为检测模型训练的输入,训练加权的朴素贝叶斯检测模型,得到训练好的加权的朴素贝叶斯检测模型;即通过统计得到每个特征属性在正常应用样本中出现的频率P(f1|Benignware),P(f2|Benignware),...,P(fn|Benignware)和在恶意应用样本中出现的频率P(f1|Malware),P(f2|Malware),...,P(fn|Malware);其中,n为训练样本集中特征属性的数量;
步骤4,对待检测安卓应用文件进行解析,提取静态特征,包括:权限信息、组件信息、API调用信息;
步骤5,将所获取的静态特征形成特征向量,输入加权的朴素贝叶斯检测模型中,分别采用式1和式2计算得到待检测安卓应用为正常应用的概率和待检测安卓应用为恶意应用的概率;
Figure FDA0002774871520000021
Figure FDA0002774871520000022
其中,P(Benignware)为待检测应用为正常应用的概率;P(Malware)为待检测应用为恶意应用的概率;Diff(fi)为特征fi的区分度权重;P(fi|Benignware)为特征Fi在训练集的正常样本中出现的频率;P(fi|Malware)为特征Fi在训练集的恶意样本中出现的频率;
步骤6,通过比较待检测安卓应用为正常应用和恶意应用的概率,将其识别为正常应用或恶意应用;当待检测应用为正常应用的概率P(Benignware)大于待检测应用为恶意应用的概率P(Malware)时,则将该待检测应用识别为正常应用;当待检测应用为正常应用的概率P(Benignware)小于该待检测应用为恶意应用的概率P(Malware)时,则将该应用识别为恶意应用;
通过上述步骤,实现基于朴素贝叶斯的安卓恶意应用检测。
2.如权利要求1所述基于朴素贝叶斯的安卓恶意应用检测方法,其特征是,提取的静态特征包括:权限信息、组件信息、API调用信息;具体包括但不限于:
安卓应用源代码中所调用的所有API;
安卓应用在安装包内部的Manifest.xml文件中声明的所有权限;
安卓应用在安装包内部的Manifest.xml文件中声明的所有Action组件;
安卓应用在安装包内部的Manifest.xml文件中声明的所有Services组件;
安卓应用在安装包内部的Manifest.xml文件中声明的所有ContentProvider组件;
安卓应用在安装包内部的Manifest.xml文件中声明的所有BroadCastReceiver组件;
安卓应用在安装包内部的Manifest.xml文件中声明的所有硬件组件。
3.如权利要求1所述基于朴素贝叶斯的安卓恶意应用检测方法,其特征是,特征归约方法还包括基于数量的特征归约。
4.如权利要求3所述基于朴素贝叶斯的安卓恶意应用检测方法,其特征是,所述基于数量的特征归约,通过去除在恶意应用中支持度小于支持度阈值的特征,由此减少需提取的特征数量。
5.一种实现权利要求1所述基于朴素贝叶斯的安卓恶意应用检测方法的装置,包括如下子系统:
子系统一、朴素贝叶斯检测模型训练子系统;
子系统二、安卓恶意应用检测子系统;
其中子系统一包括如下模块:
模块一、训练集特征提取模块,用于对参与机器学习模型训练的安卓应用进行静态分析,在配置文件及可执行代码中提取用于安卓恶意应用检测的特征信息;
模块二、训练集特征处理模块,用于对提取出来的特征进一步进行处理,去除冗余特征,基于所保留的有效特征形成用于朴素贝叶斯算法训练输入的特征矩阵;
模块三、加权的朴素贝叶斯模型训练模块,根据训练集特征处理模块输出的特征矩阵训练加权的朴素贝叶斯恶意应用检测模型;
其中子系统二包括如下模块:
模块四、待检测应用特征提取模块,用于对待检测的安卓应用进行静态分析,在配置文件及可执行代码中提取用于安卓恶意应用检测的特征信息;
模块五、恶意应用检测模块,通过模块三训练得出的加权朴素贝叶斯恶意应用检测模型对待检测安卓应用的恶意性进行检测;
模块六、结果展示模块,通过用户图形化界面对检测结果进行汇总和展示。
CN201910212100.3A 2019-03-20 2019-03-20 一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置 Active CN110008700B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910212100.3A CN110008700B (zh) 2019-03-20 2019-03-20 一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910212100.3A CN110008700B (zh) 2019-03-20 2019-03-20 一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置

Publications (2)

Publication Number Publication Date
CN110008700A CN110008700A (zh) 2019-07-12
CN110008700B true CN110008700B (zh) 2020-12-22

Family

ID=67167481

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910212100.3A Active CN110008700B (zh) 2019-03-20 2019-03-20 一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置

Country Status (1)

Country Link
CN (1) CN110008700B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105740712A (zh) * 2016-03-09 2016-07-06 哈尔滨工程大学 基于贝叶斯网络的Android恶意行为检测方法
CN108491719A (zh) * 2018-03-15 2018-09-04 重庆邮电大学 一种改进朴素贝叶斯算法的安卓恶意程序检测方法
CN108595955A (zh) * 2018-04-25 2018-09-28 东北大学 一种安卓手机恶意应用检测系统及方法
CN108664792A (zh) * 2018-05-21 2018-10-16 中国科学技术大学 一种Android恶意软件的溯源方法
CN108985060A (zh) * 2018-07-04 2018-12-11 中共中央办公厅电子科技学院 一种大规模安卓恶意软件自动化检测系统及方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102346829B (zh) * 2011-09-22 2013-09-18 重庆大学 基于集成分类的病毒检测方法
US9189729B2 (en) * 2012-07-30 2015-11-17 International Business Machines Corporation Scalable neural hardware for the noisy-OR model of Bayesian networks
US9276951B2 (en) * 2013-08-23 2016-03-01 The Boeing Company System and method for discovering optimal network attack paths
CN104751052A (zh) * 2013-12-30 2015-07-01 南京理工大学常熟研究院有限公司 基于svm算法的移动智能终端软件的动态行为分析方法
CN105320887A (zh) * 2015-10-12 2016-02-10 湖南大学 一种基于静态特征提取和选择的Android恶意应用检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105740712A (zh) * 2016-03-09 2016-07-06 哈尔滨工程大学 基于贝叶斯网络的Android恶意行为检测方法
CN108491719A (zh) * 2018-03-15 2018-09-04 重庆邮电大学 一种改进朴素贝叶斯算法的安卓恶意程序检测方法
CN108595955A (zh) * 2018-04-25 2018-09-28 东北大学 一种安卓手机恶意应用检测系统及方法
CN108664792A (zh) * 2018-05-21 2018-10-16 中国科学技术大学 一种Android恶意软件的溯源方法
CN108985060A (zh) * 2018-07-04 2018-12-11 中共中央办公厅电子科技学院 一种大规模安卓恶意软件自动化检测系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于特征项区分度的加权朴素贝叶斯邮件过滤方法;王辉 等;《计算机应用与软件》;20151031;第32卷(第10期);第67-81页 *

Also Published As

Publication number Publication date
CN110008700A (zh) 2019-07-12

Similar Documents

Publication Publication Date Title
US12026257B2 (en) Method of malware detection and system thereof
US11481492B2 (en) Method and system for static behavior-predictive malware detection
EP1543396B1 (en) Method and apparatus for the automatic determination of potentially worm-like behaviour of a program
CN109753801B (zh) 基于系统调用的智能终端恶意软件动态检测方法
CN109271788B (zh) 一种基于深度学习的Android恶意软件检测方法
US8108931B1 (en) Method and apparatus for identifying invariants to detect software tampering
CN109933984B (zh) 一种最佳聚类结果筛选方法、装置和电子设备
US20200193031A1 (en) System and Method for an Automated Analysis of Operating System Samples, Crashes and Vulnerability Reproduction
RU2430411C1 (ru) Система и способ обнаружения вредоносного программного обеспечения
Ghiasi et al. Dynamic malware detection using registers values set analysis
CN110865866B (zh) 一种基于自省技术的虚拟机安全检测方法
Zuo Defense of Computer Network Viruses Based on Data Mining Technology.
CN111444504A (zh) 一种用于软件运行时自动识别恶意代码的方法及装置
CN108959922B (zh) 一种基于贝叶斯网的恶意文档检测方法及装置
Lajevardi et al. Markhor: malware detection using fuzzy similarity of system call dependency sequences
CN113971284B (zh) 基于JavaScript的恶意网页检测方法、设备及计算机可读存储介质
Suhuan et al. Android malware detection based on logistic regression and XGBoost
CN110008700B (zh) 一种基于朴素贝叶斯的安卓恶意应用的检测方法及装置
KR101988747B1 (ko) 하이브리드 분석을 통한 머신러닝 기반의 랜섬웨어 탐지 방법 및 장치
Congyi et al. Method for detecting Android malware based on ensemble learning
US20230214489A1 (en) Rootkit detection based on system dump files analysis
EP2854065A1 (en) A system and method for evaluating malware detection rules
Cabău et al. Malware classification using filesystem footprints
Kim et al. Expression of malware characteristics using API sequence
CN112380530B (zh) 一种同源apk检测方法、终端设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant