CN110851834B - 融合多特征分类的安卓恶意应用检测方法 - Google Patents

融合多特征分类的安卓恶意应用检测方法 Download PDF

Info

Publication number
CN110851834B
CN110851834B CN201911129507.6A CN201911129507A CN110851834B CN 110851834 B CN110851834 B CN 110851834B CN 201911129507 A CN201911129507 A CN 201911129507A CN 110851834 B CN110851834 B CN 110851834B
Authority
CN
China
Prior art keywords
server
client
api
dynamic
dimension reduction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911129507.6A
Other languages
English (en)
Other versions
CN110851834A (zh
Inventor
林莉
覃耀辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Technology
Original Assignee
Beijing University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Technology filed Critical Beijing University of Technology
Priority to CN201911129507.6A priority Critical patent/CN110851834B/zh
Publication of CN110851834A publication Critical patent/CN110851834A/zh
Application granted granted Critical
Publication of CN110851834B publication Critical patent/CN110851834B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/213Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明公开了融合多特征分类的安卓恶意应用检测方法,属于安卓恶意软件检测技术领域,具体涉及涉及融合多特征分类的安卓恶意应用检测方法。该发明采用静态分析方法提取安卓权限、静态广播特征,采用动态监控方法提取动态广播和敏感API特征,通过基于皮尔森相关系数降维算法对特征进行降维和去相关性处理,通过随机森林算法对提取的特征进行分类检测,既能检测出现有的安卓恶意应用程序,同时也能有效检测出通过广播机制泄露隐私的安卓恶意程序。

Description

融合多特征分类的安卓恶意应用检测方法
技术领域
本发明属于安卓恶意软件检测技术领域,具体涉及融合多特征分类的安卓恶意应用检测方法。该发明采用静态分析方法提取安卓权限、静态广播特征,采用动态监控方法提取动态广播和敏感API特征,通过基于皮尔森相关系数降维算法对特征进行降维和去相关性处理,通过随机森林算法对提取的权限、广播和敏感API特征进行分类,既能检测出现有的安卓恶意应用程序,同时也能有效检测出通过广播机制泄露隐私的安卓恶意程序。
背景技术
Android系统是当前最为流行的智能手机软件平台,据IDC发布的2017年全球智能手机市场报告统计,2017年Android手机销售额占比达到了85.1%。而与此同时,由于Android系统的开源性,应用程序的发布缺乏身份认证且审核力度相对较弱,安卓恶意应用正日益泛滥,绝大多数的安卓恶意应用可通过资费消耗、隐私窃取和恶意扣费等行为给用户的个人隐私和财产安全带来了极大挑战,因此如何准确地分析、检测和拦截恶意程序具有非常重要的现实意义。
恶意软件分析的主要目的是通过对恶意应用软件的行为特征进行分析,进而识别出应用软件是否具有恶意行为。当前针对安卓恶意应用的检测包括静态分析方和动态监控两类。静态分析方法是指在不执行应用软件的前提下对应用程序进行反编译,然后进行源码级的解析,其优点是速度快、轻量级,缺点是无法模拟程序真实轻快,误报率高。动态监测方法是在软件执行过程中,通过实施监控程序的行为,用模式识别等技术分析程序的安全性,其优点是检测精度高,而相对的缺点是开销大、效率低。目前,一些工作提出借鉴机器学习和深度学习思想进行安卓恶意应用检测,然而,这些方法大部分仅针对安卓应用静态的权限和API特征进行分析,考虑安卓广播特征的方法还很少。安卓广播机制是恶意软件窃取用户隐私信息的常见方式之一,例如恶意软件可通过广播窃取短信内容,可通过广播机制监听手机的电话状态,这些行为仅通过分析权限和API等方式是难以检测的。
发明内容
针对安卓广播机制窃取用户隐私的问题,本发明采用客户端动态监控和服务端静态分析相结合的方法。
本发明采用的技术方案为融合多特征分类的安卓恶意应用检测方法,首先在客户端对软件的API和广播调用进行实时监控,记录广播和API特征提供给服务端实时分析,而服务端先利用随机森林算法对已知的正常和恶意应用进行训练,建立相应的分类模型,从而对客户端提供的广播和API特征进行实时检测分析。客户端对应用软件的监控是基于目标软件的权限和签名来选择的,因此在解决静态分析的准确率低的同时,也能有效减少计算量,提高检测效率。
安卓恶意应用检测中,提取的特征种类和维度往往对检测效率和准确率起着决定性作用,提取的特征维度过多会导致检测效率低的问题,而提取的特征维度过少又会影响到检测准确性。同时特征的提取方式也对检测准确率有重要影响,现有的提取方法有静态提取和动态提取,静态提取效率高但存在误差较大问题,动态提取效率低但准确率高。
在综合检测效率和检测准确率的情况下,采用静态方法提取权限特征、动静结合方法提取广播特征,动态方法提取API特征。权限特征和API特征的结合在保障效率的前提下有效检测大多数的恶意应用,而广播特征则是对前者不能检测通过广播机制泄露隐私的安卓恶意应用的有效补充,保障检测高效率和高准确率的同时提高覆盖面。
而因为三个多维度特征之间的维度相差较大,为了提高效率和去掉维度之间的相关性,必须对提取的三个多维度特征进行降维和去相关性处理,本发明基于皮尔森相关系数降维算法,对特征进行处理,以提高检测的准确性和效率。
对于服务端静态分析过程,其功能包括静态特征提取、特征降维处理、建立分类模型和进行分类检测。服务端首先对已知正常的和恶意的应用程序提取出静态权限、广播和API特征,对提出的特征使用基于皮尔森相关系数降维算法进行降维和去相关性处理,针对不同的特征维度使用随机森林学习算法进行分类训练,建立分类模型,综合效率和准确率的情况下选出最佳降维结果。然后基于此降维结果,在服务端提取静态权限和静态广播特征,在客户端提取动态广播和API特征,对提取的特征进行分类检测,最后将检测结果反馈给客户端。
对于客户端动态监控过程,其功能包括提取恶意应用的动态API特征和动态广播特征。客户端根据服务端降维结果选择要动态监控的广播和API,通过Xposed框架的Hook功能对目标应用程序的广播和API调用进行实时监控,并将监控结果定时上传到服务器端,由服务器检测分析后反馈是否为恶意应用程序,反馈为恶意程序则发出警告,由用户进行选择。
具体的服务端静态分析算法如表1:
1)服务端先收集正常和恶意APK作为训练集样本,反编译APK获得Manifest.xml,从中提取出所有的权限和静态广播特征,通过DroiBox动态运行程序,收集所有的动态广播特征和API调用。
2)基于皮尔森相关系数算法降低特征维度和特征间的相关性,对不同的降维结果使用随机森林算法进行分类,建立相应检测模型,综合分类时间和准确率情况下选出最佳的分类模型。
3)根据分类模型确定要提取的特定权限、广播和API,反编译目标应用程序提取对应的静态特征广播和权限。
4)记录从客户端收到的动态特征信息,定时清除时间太长的动态API调用和动态广播特征记录,同时加上反编译后提取的静态特征信息,进行检测。
6)根据采集到的目标应用程序特征进行检测,并将检测结果返回给客户端。
表1服务端静态分析算法
具体的客户端动态监控算法如表2:
1)安卓系统安装Xposed框架,加载XposedBridge.jar包,选择需要监控的应用程序。
2)Hook模块根据服务端选择的分类模型设置需要监控的广播和API调用,记录捕获到的广播和API,定期将其发送到服务端。
3)从服务端获得检测报告,如果检测为恶意应用则向用户弹窗警告,由用户选择操作。
表2客户端动态监控算法
基于皮尔森相关系数降维算法3:
1)从待降维的多维度特征的维度集中任取一个维度加入维度簇Si
2)计算该维度其与集合中其他维度的皮尔森相关系数,若相关系数大于设定阈值,则认为与该维度具有较高的相关性或在分类中的作用效果相同,可划入同一维度簇中。
3)重复步骤1)、2),直到所有维度都加入对应的维度簇Si中。
4)遍历维度簇集合,如果Si中的个数小于3个,则选取方差较大的维度加入结果集;如果个数大于等于3个,则认为该维度簇中的第一个维度与后面的n-1个维度都相关联,可去掉它由剩下的n-1个维度继续采用皮尔森相关系数降维算法处理,直到所有维度处理完毕。
表3基于皮尔森系数降维算法
附图说明
图1是功能交互图。
图2是系统检测框架图。
具体实施方式
下面结合附图和具体实施方式对本发明做进一步说明。
本发明所基于广播机制的安卓恶意应用检测方法示意如图1所示,融合多特征分类的安卓恶意应用检测方法,具体步骤如下:
步骤1:客户端安装动态监控模块。
(1)用户在移动终端安装Xposed框架后,下载安装客户端动态监控模块。
(2)选择要监控的应用程序,并将程序APK发送到服务器。
步骤2:服务端建立分类模型。
(1)服务端先收集正常和恶意应用程序作为训练集样本,反编译APK提取出所有权限和静态广播特征,同时通过DroiBox动态运行程序,收集所有的动态广播特征和API调用。
(2)基于皮尔森相关系数降维算法降低特征维度,解决特征不平衡问题。
(3)设置不同的降维算法阈值,得出不同的降维结果,对不同的降维结果分别使用随机森林算法进行分类训练,建立分类模型,综合考虑模型的训练时间和准确率选出最佳降维结果。
步骤3:客户端定时向服务器发送监控信息。
(1)客户端根据选出的降维结果确定要监控的目标广播和API。
(2)用户正常运行程序,动态监控模块记录一段时间内捕获到的特定动态广播注册和API,并发送给服务端。
步骤4:服务端检测。
(1)服务器反编译客户端上传的待检测应用程序,根据选择的降维结果确定要提取的权限和静态广播。
(2)服务器定时从客户端获取动态特征信息,将超过一定时间的动态特征信息去除后加上静态特征信息,基于选出的降维结果建立的分类模型进行分类检测。
(3)服务器并将结果返回给客户端。
步骤5:客户端选择。
(1)当检测到恶意应用时,客户端弹窗警告,如果用户选择信任则加入白名单不在进行监控。
客户端动态监控算法包括以下步骤:
(1)安卓系统安装Xposed框架,加载XposedBridge.jar包,选择需要监控的应用程序。
(2)监控模块根据服务端选择的分类模型Hook特定的广播和API调用,记录捕获到的广播和API,定期将其发送到服务端。
(3)从服务端获得检测报告,如果检测为恶意应用则向用户弹窗警告,由用户选择操作。
服务端静态分析算法包括以下步骤:
(1)服务端从样本训练集反编译APK获得提取出所有权限和静态广播特征,通过DroiBox动态运行程序,收集所有的动态广播特征和API调用。
(2)基于皮尔森相关系数算法降低特征维度和特征间的相关性,对不同的降维结果使用随机森林算法进行分类,建立相应检测模型,综合分类时间和准确率情况下选出最佳的分类模型。
(3)根据选择的模型从目标应用程序提取静态特征信息,从客户端获取动态特征,进行分类检测,并将结果反馈给客户端。
基于皮尔森相关系数降维算法包括以下步骤:
(1)根据特征之间的皮尔森相关系数对维度进行的划分,当两维度相似度大于某个阈值时,可认为两个维度是相关联的,划分到同一个子集,即该子集可用其中一个维度或多个维度来替代全部。
(2)当一个子集的维度数量小于3时,则直接选择方差大的维度加入结果集,当一个子集的维度超过大于等于3时,去掉子集中与其他n-1个都关联的维度,再将这n-1个维度继续采用皮尔森相关系数算法降维处理。

Claims (4)

1.融合多特征分类的安卓恶意应用检测方法,其特征在于:该方法的具体步骤如下,
步骤1:客户端安装动态监控模块;
(1)用户在移动终端安装Xposed框架后,下载安装客户端动态监控模块;
(2)选择要监控的应用程序,并将程序APK发送到服务器;
步骤2:服务端建立分类模型;
(1)服务端先收集正常和恶意应用程序作为训练集样本,反编译APK提取出所有权限和静态广播特征,同时通过DroiBox动态运行程序,收集所有的动态广播特征和API调用;
(2)基于皮尔森相关系数降维算法降低特征维度,解决特征不平衡问题;
(3)设置不同的降维算法阈值,得出不同的降维结果,对不同的降维结果分别使用随机森林算法进行分类训练,建立分类模型,综合考虑模型的训练时间和准确率选出最佳降维结果;
步骤3:客户端定时向服务器发送监控信息;
客户端根据选出的降维结果确定要监控的目标广播和API;
用户正常运行程序,动态监控模块记录一段时间内捕获到的特定动态广播注册和API,并发送给服务端;
步骤4:服务端检测;
(1)服务器反编译客户端上传的待检测应用程序,根据选择的降维结果确定要提取的权限和静态广播;
(2)服务器定时从客户端获取动态特征信息,将超过一定时间的动态特征信息去除后加上静态特征信息,基于选出的降维结果建立的分类模型进行分类检测;
(3)服务器并将结果返回给客户端;
步骤5:客户端选择;当检测到恶意应用时,客户端弹窗警告,如果用户选择信任则加入白名单不再进行监控;
客户端动态监控算法包括以下步骤:
(1)安卓系统安装Xposed框架,加载XposedBridge.jar包,选择需要监控的应用程序;
(2)监控模块根据服务端选择的分类模型Hook特定的广播和API调用,记录捕获到的广播和API,定期将其发送到服务端;
(3)从服务端获得检测报告,如果检测为恶意应用则向用户弹窗警告,由用户选择操作;
服务端静态分析算法包括以下步骤:
(1)服务端从样本训练集反编译APK获得提取出所有权限和静态广播特征,通过DroiBox动态运行程序,收集所有的动态广播特征和API调用;
(2)基于皮尔森相关系数算法降低特征维度和特征间的相关性,对不同的降维结果使用随机森林算法进行分类,建立相应检测模型,综合分类时间和准确率情况下选出最佳的分类模型;
(3)根据选择的模型从目标应用程序提取静态特征信息,从客户端获取动态特征,进行分类检测,并将结果反馈给客户端;
基于皮尔森相关系数降维算法包括以下步骤:
(1)根据特征维度之间的皮尔森相关系数对维度进行的划分,当两维度相似度大于某个阈值时,可认为两个维度是相关联的,划分到同一个子集,即该子集可用其中一个维度或多个维度来替代全部;
(2)当一个子集的维度数量小于3时,则直接选择方差大的维度加入结果集,当一个子集的维度数量大于等于3时,去掉子集中与其他n-1个维度都关联的维度,再将这n-1个维度继续采用皮尔森相关系数降维算法降维处理。
2.根据权利要求1所述的融合多特征分类的安卓恶意应用检测方法,其特征在于:首先在客户端对软件的API和广播调用进行实时监控,记录广播和API特征提供给服务端实时分析,而服务端先利用随机森林算法对已知的正常和恶意应用进行训练,建立相应的分类模型,从而对客户端提供的广播和API特征进行实时检测分析;客户端对应用软件的监控是基于目标软件的权限和签名来选择;
采用静态方法提取权限特征、动静结合方法提取广播特征,动态方法提取API特征;权限特征和API特征的结合在保障效率的前提下有效检测大多数的恶意应用,而广播特征则是对前者不能检测通过广播机制泄露隐私的安卓恶意应用的有效补充,保障检测高效率和高准确率的同时提高覆盖面;基于皮尔森相关系数降维算法,对特征进行处理,以提高检测的准确性和效率。
3.根据权利要求2所述的融合多特征分类的安卓恶意应用检测方法,其特征在于:对于服务端静态分析过程,其功能包括静态特征提取、特征降维处理、建立分类模型和进行分类检测;服务端首先对已知正常的和恶意的应用程序提取出静态权限、广播和API特征,对提出的特征使用基于皮尔森相关系数降维算法进行降维和去相关性处理,针对不同的特征维度使用随机森林学习算法进行分类训练,建立分类模型,综合效率和准确率的情况下选出最佳降维结果;然后基于此降维结果,在服务端提取静态权限和静态广播特征,在客户端提取动态广播和API特征,对提取的特征进行分类检测,最后将检测结果反馈给客户端。
4.根据权利要求2所述的融合多特征分类的安卓恶意应用检测方法,其特征在于:对于客户端动态监控过程,其功能包括提取恶意应用的动态API特征和动态广播特征;客户端根据服务端降维结果选择要动态监控的广播和API,通过Xposed框架的Hook功能对目标应用程序的广播和API调用进行实时监控,并将监控结果定时上传到服务器端,由服务器检测分析后反馈是否为恶意应用程序,反馈为恶意程序则发出警告,由用户进行选择。
CN201911129507.6A 2019-11-18 2019-11-18 融合多特征分类的安卓恶意应用检测方法 Active CN110851834B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911129507.6A CN110851834B (zh) 2019-11-18 2019-11-18 融合多特征分类的安卓恶意应用检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911129507.6A CN110851834B (zh) 2019-11-18 2019-11-18 融合多特征分类的安卓恶意应用检测方法

Publications (2)

Publication Number Publication Date
CN110851834A CN110851834A (zh) 2020-02-28
CN110851834B true CN110851834B (zh) 2024-02-27

Family

ID=69602075

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911129507.6A Active CN110851834B (zh) 2019-11-18 2019-11-18 融合多特征分类的安卓恶意应用检测方法

Country Status (1)

Country Link
CN (1) CN110851834B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11100221B2 (en) 2019-10-08 2021-08-24 Nanotronics Imaging, Inc. Dynamic monitoring and securing of factory processes, equipment and automated systems
US11086988B1 (en) 2020-02-28 2021-08-10 Nanotronics Imaging, Inc. Method, systems and apparatus for intelligently emulating factory control systems and simulating response data
WO2021173961A1 (en) * 2020-02-28 2021-09-02 Nanotronics Imaging, Inc. Method, systems and apparatus for intelligently emulating factory control systems and simulating response data
CN112100621B (zh) * 2020-09-11 2022-05-20 哈尔滨工程大学 一种基于敏感权限和api的安卓恶意应用检测方法
CN112464232B (zh) * 2020-11-21 2024-04-09 西北工业大学 一种基于混合特征组合分类的Android系统恶意软件检测方法
CN113760764A (zh) * 2021-09-09 2021-12-07 Oppo广东移动通信有限公司 应用程序检测方法、装置、电子设备及存储介质
CN114387619A (zh) * 2021-12-31 2022-04-22 歌尔科技有限公司 行人检测方法、装置、电子设备及计算机可读存储介质
CN116821902B (zh) * 2023-05-04 2024-02-06 湖北省电子信息产品质量监督检验院 一种基于机器学习的恶意应用检测方法、装置及设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015056885A1 (ko) * 2013-10-16 2015-04-23 (주)이스트소프트 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법
CN106845240A (zh) * 2017-03-10 2017-06-13 西京学院 一种基于随机森林的Android恶意软件静态检测方法
CN106919841A (zh) * 2017-03-10 2017-07-04 西京学院 一种高效的基于旋转森林的Android恶意软件检测模型DroidDet
CN107180192A (zh) * 2017-05-09 2017-09-19 北京理工大学 基于多特征融合的安卓恶意应用程序检测方法和系统
CN107392025A (zh) * 2017-08-28 2017-11-24 刘龙 基于深度学习的恶意安卓应用程序检测方法
CN108985060A (zh) * 2018-07-04 2018-12-11 中共中央办公厅电子科技学院 一种大规模安卓恶意软件自动化检测系统及方法
CN109753800A (zh) * 2019-01-02 2019-05-14 重庆邮电大学 融合频繁项集与随机森林算法的Android恶意应用检测方法及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015056885A1 (ko) * 2013-10-16 2015-04-23 (주)이스트소프트 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법
CN106845240A (zh) * 2017-03-10 2017-06-13 西京学院 一种基于随机森林的Android恶意软件静态检测方法
CN106919841A (zh) * 2017-03-10 2017-07-04 西京学院 一种高效的基于旋转森林的Android恶意软件检测模型DroidDet
CN107180192A (zh) * 2017-05-09 2017-09-19 北京理工大学 基于多特征融合的安卓恶意应用程序检测方法和系统
CN107392025A (zh) * 2017-08-28 2017-11-24 刘龙 基于深度学习的恶意安卓应用程序检测方法
CN108985060A (zh) * 2018-07-04 2018-12-11 中共中央办公厅电子科技学院 一种大规模安卓恶意软件自动化检测系统及方法
CN109753800A (zh) * 2019-01-02 2019-05-14 重庆邮电大学 融合频繁项集与随机森林算法的Android恶意应用检测方法及系统

Also Published As

Publication number Publication date
CN110851834A (zh) 2020-02-28

Similar Documents

Publication Publication Date Title
CN110851834B (zh) 融合多特征分类的安卓恶意应用检测方法
CN107888571B (zh) 一种基于HTTP日志的多维度webshell入侵检测方法及检测系统
CN108881263B (zh) 一种网络攻击结果检测方法及系统
CN108683687B (zh) 一种网络攻击识别方法及系统
CN108471429B (zh) 一种网络攻击告警方法及系统
Feizollah et al. A study of machine learning classifiers for anomaly-based mobile botnet detection
CN108833186B (zh) 一种网络攻击预测方法及装置
CN106934627B (zh) 一种电商行业作弊行为的检测方法及装置
CN104217164B (zh) 智能移动终端恶意软件的检测方法与装置
CN106845240A (zh) 一种基于随机森林的Android恶意软件静态检测方法
CN104539514B (zh) 消息过滤方法和装置
CN105049592B (zh) 移动智能终端语音安全防护方法及系统
US20140113588A1 (en) System for detection of mobile applications network behavior- netwise
CN108833185B (zh) 一种网络攻击路线还原方法及系统
Xie et al. Fingerprinting Android malware families
CN107092830A (zh) 基于流量分析的ios恶意软件预警和检测系统及其方法
CN107016298B (zh) 一种网页篡改监测方法及装置
CN111049786A (zh) 一种网络攻击的检测方法、装置、设备及存储介质
CN115941555B (zh) 一种基于流量指纹的app个人信息收集行为检测方法及系统
CN112184241B (zh) 一种身份认证的方法及装置
CN103488947A (zh) 即时通信客户端盗号木马程序的识别方法及装置
CN112163222A (zh) 一种恶意软件检测方法及装置
CN114785563A (zh) 一种软投票策略的加密恶意流量检测方法
CN112291277A (zh) 一种恶意软件检测方法、装置、设备及存储介质
CN112966264A (zh) Xss攻击检测方法、装置、设备及机器可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant