基于多维特征的Android恶意应用检测系统

信息安全研究 ›› 2018, Vol. 4 ›› Issue (2): 133-139.

基于多维特征的Android恶意应用检测系统

陈泽峰¹,方勇²,刘亮²,左政³,李抒霞⁴

1. 四川大学
2. 四川大学网络空间学院
3. 四川大学信息安全研究所
4. 四川大学网络空间学院

收稿日期:2018-02-25 出版日期:2018-02-15 发布日期:2018-02-25
通讯作者: 陈泽峰
作者简介:陈泽峰（1992-），男（汉族），湖北省襄阳市人，硕士研究生，研究方向为Android安全。方勇(1966-)，男（汉族），四川省成都人，博士，教授，研究方向为信息安全，网络信息对抗。刘亮(1982-)，男（汉族），四川省叙永人，硕士，讲师，研究方向为信息安全，网络信息对抗。左政(1986-)，男（汉族），四川省成都人，博士研究生，研究方向为恶意代码攻击模型/恶意代码自动化检测/异常检测/内核安全。李抒霞（1995－），女（汉族），湖南省邵阳市人，硕士研究生，研究方向为Android安全。

Android malicious application detection system based on multidimensional feature

Received:2018-02-25 Online:2018-02-15 Published:2018-02-25

摘要/Abstract

摘要： 为了提高检测效率和降低系统开销，提出了使用多个级别的不同分类器用于平衡精确度和系统开销的检测机制。采用操作码等多个独立的数据源作为机器学习的训练集，仅在级别一无法提供可靠的检测时，将级别二作为最终检测结果。并在关注申请权限的同时，研究运行时权限之间的关联性，使用n-gram处理操作码序列。最后，通过实验验证了该方法能够在降低开销的同时保证方法的有效性，因此，提出的方法可以有效地用于未知应用的恶意代码检测。

关键词: Android系统, 恶意代码检测, 随机森林, 操作码, 机器学习, 数据挖掘

Abstract: In order to improve the detection efficiency and reduce the system overhead, a detection mechanism using multiple levels of different classifiers for balancing accuracy and system overhead is proposed. A number of independent data sources, such as operation codes, are used as machine learning training sets. Only when level 1 fails to provide reliable detection, level two is used as the final detection result. While paying attention to the application permissions, we study the association between the runtime permissions, and use n-gram to process the opcode sequences. Finally, experiments show that the proposed method can reduce the overhead and ensure the effectiveness of the method. Therefore, the proposed method can be used effectively for malicious code detection in unknown applications.

Key words: Android, malicious code detection, random forest, opcode, machine learning, data mining

陈泽峰方勇刘亮左政李抒霞. 基于多维特征的Android恶意应用检测系统[J]. 信息安全研究, 2018, 4(2): 133-139.

参考文献

[1] Alibaba. 2016 Security Report [EB/OL]. (2017-03-09). https://jaq.alibaba.com. [2] Concert/CC. China’s Internet network security report [R]. Beijiing: Post & Telecom Press，2016：130-150 . [3] 朱佳伟，喻梁文，关志，等. Android 权限机制安全研究综述 [J]. 计算机应用研究，2015，32(10) : 2881-2885. [4] Amos B, Turner H, White J. Applying machine learning classifiers to dynamic android malware detection at scale[C]//Wireless communications and mobile computing conference (iwcmc), 2013 9th international. Italy: IEEE, 2013: 1666-1671. [5] Yang T, Qian K, Li L, et al. Static Mining and Dynamic Taint for Mobile Security Threats Analysis[C]//Smart Cloud (SmartCloud), IEEE International Conference on. New York: IEEE, 2016: 234-240. [6] Zhang M, Duan Y, Yin H, et al. Semantics-aware android malware classification using weighted contextual api dependency graphs[C]//Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security. New York: ACM, 2014: 1105-1116. [7] 王聪, 张仁斌, 李钢. 基于关联特征的贝叶斯 Android 恶意程序检测技术[J]. 计算机应用与软件，2017，34(1): 286-292. [8] Saracino A, Sgandurra D, Dini G, et al. Madam: Effective and efficient behavior-based android malware detection and prevention[J]. IEEE Transactions on Dependable and Secure Computing, 2016，PP(99): 1-1. [9] 孙伟, 孙雅杰, 夏孟友. 一种静态Android重打包恶意应用检测方法[J]. 信息安全研究，2017，3(8): 0-0. [10] Yang T, Qian K, Li L, et al. Static Mining and Dynamic Taint for Mobile Security Threats Analysis[C]//Smart Cloud (SmartCloud), IEEE International Conference on. New York: IEEE, 2016: 234-240. [11] 基于良性样本的 Android 系统恶意软件检测[J]. 计算机工程与设计, 2016，37(5): 1191-1195. [12] Aafer Y, Du W, Yin H. Droidapiminer: Mining api-level features for robust malware detection in android[C]//International Conference on Security and Privacy in Communication Systems. Sydney: Springer, Cham, 2013: 86-103. [13] Arp D, Spreitzenbarth M, Hubner M, et al. DREBIN: Effective and Explainable Detection of Android Malware in Your Pocket[C]//Chicago: NDSS. 2014. [14] Yerima S Y, Sezer S, Muttik I. High accuracy android malware detection using ensemble learning[J]. IET Information Security, 2015, 9(6): 313-320. [15] Martinelli F, Mori P, Saracino A. Enhancing android permission through usage control: a byod use-case[C]//Proceedings of the 31st Annual ACM Symposium on Applied Computing. New York: ACM, 2016: 2049-2056. [16] Au K W Y, Zhou Y F, Huang Z, et al. Pscout: analyzing the android permission specification[C]//Proceedings of the 2012 ACM conference on Computer and communications security. New York: ACM, 2012: 217-228. [17] 陈铁明, 杨益敏, 陈波. Maldetect: 基于 Dalvik 指令抽象的 Android 恶意代码检测系统[J]. 计算机研究与发展，2016，53(10): 2299-2306. [18] Mithun N C, Rashid N U, Rahman S M M. Detection and classification of vehicles from video using multiple time-spatial images[J]. IEEE Transactions on Intelligent Transportation Systems，2012，13(3): 1215-1225. [19] Jiawei Han，Micheline Kamber，Jian Pei.数据挖掘：概念与技术［M］..北京：机械工业出版社，2012: 181-185. [20] Zhou Y, Jiang X. Dissecting android malware: Characterization and evolution[C]//Security and Privacy (SP), 2012 IEEE Symposium on. San Francisco: IEEE, 2012: 95-109.