基于人工免疫的移动恶意代码检测模型

信息安全研究 ›› 2016, Vol. 2 ›› Issue (3): 238-243.

基于人工免疫的移动恶意代码检测模型

芦天亮

中国人民公安大学网络安全保卫学院

收稿日期:2016-03-15 出版日期:2016-03-15 发布日期:2016-03-16
通讯作者: 芦天亮
作者简介:博士，讲师，主要研究方向为网络攻击与防御技术.

Artificial Immune Based Mobile Malcode Detection Model

Received:2016-03-15 Online:2016-03-15 Published:2016-03-16

摘要/Abstract

摘要： 移动互联网带来极大便捷，但同时也要面对恶意代码等诸多安全威胁.面对未知恶意代码的不断涌现，传统的检测手段已经暴露出局限性，如查杀速度下降、误报率和漏报率上升以及成本投入大幅上涨等.近些年提出了部分基于智能算法的恶意代码检测手段，其中人工免疫系统算法由于其具有自组织、自适应、记忆和分布式等优势，成为信息安全领域研究的热点.借鉴自然免疫系统的基本原理，提出了适用于安卓平台移动恶意代码检测的模型.利用安卓模拟器提取恶意代码的行为特征，如启动服务、打电话、发短信、文件读写操作和网络访问等。对行为特征进行编码作为未成熟检测器来源之一，未成熟检测器经过阴性选择生成成熟检测器，对抗原亲和度高的成熟检测器克隆和变异.实验结果表明，检测模型对于移动恶意代码具有较高的检测率，能够准确检测加壳后的恶意样本.

关键词: 移动互联网, 恶意代码, 人工免疫系统, 检测, 阴性选择, 克隆选择

Abstract: The mobile Internet has brought great convenience to us, however, we have to face many threats such as malcode. In face of unknown malcode emerging in large numbers, traditional detection methods show many limitations, such as decline of detection speed, rise of false positive rate and false negative rate, the sharp increase of cost and so on. In recent years, some malcode detection methods based on intelligent algorithm are proposed. Among them, the artificial immune system has become the research hotpot of information security area because of its organization, adaption, memory and distributed advantages. According to the basic theory of nature immune system, a mobile malcode detection model for android platform was proposed. Extract the behavior features of malcode using the android emulator, such as starting service, telephoning, sending message, file read or write operations and accessing the Internet. The behavior features were encoded as one of the source of immature detectors. The immature detectors become mature through negative selection algorithm. Clone and mutate the mature detectors with higher affinity. Experiment results show that the proposed detection model has high detection rate and can also accurately detect the packed malcode samples.

Key words: mobile Internet, malcode, artificial immune system, detection, negative selection, clonal selection

芦天亮. 基于人工免疫的移动恶意代码检测模型[J]. 信息安全研究, 2016, 2(3): 238-243.

参考文献

［1］中国信通院. 移动互联网白皮书(2015版)［EBOL］. 2015 ［20160128］. http:www.catr.cnkxyjqwfbbps201509t20150930_2129572.html［2］国家计算机网络应急技术处理协调中心. 2014年中国互联网网络安全报告［EBOL］. 2015 ［20160128］. http:www.cert.org.cnpublishmainuploadFile2014%20Annual%20Report.pdf［3］看雪论坛Claud. 移动安全这五年［EBOL］. 2014 ［20160128］. http:bbs.pediy.comshowthread.php?t=192872［4］潘宣辰. 移动恶意代码高级对抗技术解析和前瞻［EBOL］. 2014 ［20160128］. http:www.doc88.comp9909424990747.html［5］Schmidt A D, Bye R, Schmidt H G, et al. Static analysis of executables for collaborative malware detection on android［C］ Proc of 2009 IEEE Int Conf on Communications. Piscataway, NJ: IEEE, 2009: 15［6］Shabtai A, Kanonov U, Elovici Y, et al. “Andromaly”: A behavioral malware detection framework for android devices［J］. Journal of Intelligent Information Systems, 2012, 38(1): 161190［7］杨欢, 张玉清, 胡予濮, 等. 基于多类特征的Android应用恶意行为检测系统［J］. 计算机学报, 2014, 37(1): 1527［8］Dasgupta D, Yu S, Nino F. Recent advances in artificial immune systems: Models and applications［J］. Applied Soft Computing, 2011, 11(2): 15741587［9］Harmer P K, Williams P D. An artificial immune system architecture for computer security applications［J］. IEEE Trans on Evolutionary Computation, 2002, 6(3): 252280［10］Jerne N K. Towards a network theory of the immune system［J］. Annals of Immunology, 1974, 125C(12): 373389［11］Forrest S, Perelson A S, Allen L, et al. Selfnonself discrimination in a computer［C］ Proc of IEEE Symp on Research in Security and Privacy. Los Alamitos, CA: IEEE Computer Society, 1994: 202212［12］Castro L N D, Zuben F J V. The clonal selection algorithm with engineering applications［C］ Proc of Genetic and Evolutionary Computation Conf. Las Vegas: Workshop on Artificial Immune Systems and Their Applications, 2000: 3642［13］Castro L N D, Zuben F J V. Learning and optimization using the clonal selection principle［J］. IEEE Trans on Evolutionary Computation, 2002, 6(3): 239251

[1]	冯科阮树骅陈兴蜀王海舟王文贤蒋术语. 基于联合模型的网络舆情事件检测方法 [J]. 信息安全研究, 2021, 7(3): 207-214.
[2]	何红艳黄国言张炳陈瑜. 基于多种特征选择策略的入侵检测模型研究[J]. 信息安全研究, 2021, 7(3): 225-232.
[3]	王奕钧. RASP技术在关键信息基础设施防护中的局限性分析[J]. 信息安全研究, 2021, 7(3): 250-256.
[4]	钟越付迪阳. Android应用程序隐私权限安全研究[J]. 信息安全研究, 2021, 7(3): 287-292.
[5]	仲蓓鑫林浩孔苏鹏程实. 基于区块链技术的多源网络数据隐私保护方法[J]. 信息安全研究, 2021, 7(1): 86-89.
[6]	李仁杰华驰鲁志萍. 基于FP-growth优化SVM分类器的XSS攻击检测研究[J]. 信息安全研究, 2020, 6(9): 0-0.
[7]	白国柱王蓓蓓. Deepfake检测技术现状研究及其对中国的启示[J]. 信息安全研究, 2020, 6(9): 0-0.
[8]	蹇诗婕卢志刚姜波刘玉岭刘宝旭. 基于层次聚类方法的流量异常检测[J]. 信息安全研究, 2020, 6(6): 0-0.
[9]	戴纯兴刘刚韩春超王传国. KVM环境下基于异常行为的恶意软件检测技术研究[J]. 信息安全研究, 2020, 6(6): 0-0.
[10]	安超周纯杰. 基于控制行为模型的工控系统异常检测方法 [J]. 信息安全研究, 2020, 6(6): 0-0.
[11]	郑瑞环潘亚雄胡勇. 基于无线设备指纹的伪AP检测技术研究[J]. 信息安全研究, 2020, 6(5): 441-447.
[12]	王兴凤黄琨茗张文杰. 基于API序列和卷积神经网络的恶意代码检测[J]. 信息安全研究, 2020, 6(3): 212-219.
[13]	杨频朱悦张磊. 基于属性数据流图的恶意代码家族分类[J]. 信息安全研究, 2020, 6(3): 226-234.
[14]	杨频潘岳镭贾鹏刘亮. 基于汇编指令词向量特征的恶意软件检测研究[J]. 信息安全研究, 2020, 6(2): 113-121.
[15]	李抒霞周安民郑荣锋胡星高. 基于SVM的ICMP网络存储隐蔽信道检测[J]. 信息安全研究, 2020, 6(2): 122-130.