發(fā)布時(shí)間：2019-08-17 09:17

【摘要】：提出了一個(gè)Android惡意代碼的靜態(tài)檢測(cè)系統(tǒng)Maldetect,首先采用逆向工程將DEX文件轉(zhuǎn)化為Dalvik指令并對(duì)其進(jìn)行簡(jiǎn)化抽象,再將抽象后的指令序列進(jìn)行N-Gram編碼作為樣本訓(xùn)練,最后利用機(jī)器學(xué)習(xí)算法創(chuàng)建分類檢測(cè)模型,并通過對(duì)分類算法與N-Gram序列的組合分析,提出了基于3-Gram和隨機(jī)森林的優(yōu)選檢測(cè)方法.通過4 000個(gè)Android惡意應(yīng)用樣本與專業(yè)反毒軟件進(jìn)行的檢測(cè)對(duì)比實(shí)驗(yàn),表明Maldetect可更有效地進(jìn)行Android惡意代碼檢測(cè)與分類,且獲得較高的檢測(cè)率.
【圖文】：

檢測(cè)模型和惡意家族分類模型的測(cè)試，如圖２所示：Ｆｉｇ．１Ｔｈｅｄｅｔｅｃｔｉｏｎａｎｄｃｌａｓｓｉｆｉｃａｔｉｏｎｍｏｄｅｌ．圖１惡意代碼的檢測(cè)與分類模型訓(xùn)練Ｆｉｇ．２Ｔｈｅｐｒｏｃｅｓｓｏｆｐｒｅｄｉｃｔｉｎｇｍａｌｗａｒｅ．圖２惡意代碼的檢測(cè)與分類過程首先，需要確定訓(xùn)練惡意代碼檢測(cè)模型的訓(xùn)練集．訓(xùn)練集分為２個(gè)子集：１）惡意ＡＰＫ樣本集合；２）非惡意樣本ＡＰＫ集合．ＡＰＫ文件格式通常都包含一個(gè)ｃｌａｓｓｅｓ．ｄｅｘ文件，該ＤＥＸ（Ｄａｌｖｉｋｅｘｅｃｕｔａｂｌｅｆｏｒｍａｔ）文件封裝了可被Ｄａｌｖｉｋ虛擬機(jī)執(zhí)行的Ｄａｌｖｉｋ字節(jié)碼．利用工具Ａｐｋｔｏｏｌ［１３］反匯編ＡＰＫ文件，就能得到一個(gè)包含ｓｍａｌｉ源碼的文件目錄，ｓｍａｌｉ目錄結(jié)構(gòu)對(duì)應(yīng)著Ｊａｖａ源碼的ｓｒｃ目錄．ｓｍａｌｉ是對(duì)Ｄａｌｖｉｋ字節(jié)碼的一種解釋，所有語(yǔ)句都遵循一套標(biāo)準(zhǔn)的語(yǔ)法規(guī)范．從ｓｍａｌｉ文件中提取出Ｄａｌｖｉｋ操作碼并進(jìn)行抽象簡(jiǎn)化為指令符號(hào)，再針對(duì)抽象的Ｄａｌｖｉｋ指令符號(hào)的Ｎ－Ｇｒａｍ序列特征進(jìn)行統(tǒng)計(jì)與歸一化處理，最后采用機(jī)器學(xué)習(xí)的分類算法建立惡意代碼檢測(cè)模型．同理，按照惡意家族的類型劃分多個(gè)訓(xùn)練子集，按照上述類似的處理過程，，可建立一個(gè)惡意家族分類模型．利用模型檢測(cè)與分類時(shí)，將待測(cè)ＡＰＫ文件先進(jìn)行預(yù)處理步驟，提取出Ｄａｌｖｉｋ指令特征并作同樣的抽象簡(jiǎn)化與Ｎ－Ｇｒａｍ序列化處理，再通過惡意代碼檢測(cè)模型的檢測(cè)，就可判斷出是否為惡意代碼，如果不是就直接給出檢測(cè)結(jié)果，如果是則需要進(jìn)一步通過惡意家族分類模型來獲得該惡意代

值僅高出了２％，而４－Ｇｒａｍ序列的隨機(jī)森林算法ＦＰＲ值比３－Ｇｒａｍ序列的隨機(jī)森林算法ＦＰＲ值卻高出了３０％．綜合分析，３－Ｇｒａｍ序列的隨機(jī)森林算法是一種較優(yōu)的方法．接下來，分析樣本數(shù)量對(duì)準(zhǔn)確性的影響．除了上述實(shí)驗(yàn)的６００個(gè)樣本作為小樣本集合，再增加一個(gè)１１００個(gè)樣本作為大樣本集合作為對(duì)比實(shí)驗(yàn)，按３－Ｇｒａｍ的隨機(jī)森林算法，采用１０折交叉驗(yàn)證對(duì)它們進(jìn)行測(cè)試．實(shí)驗(yàn)結(jié)果如表７和圖３所示，不難看出，大樣本集的所有評(píng)估指標(biāo)都要優(yōu)于小樣本集，這表明樣本數(shù)量大小對(duì)檢測(cè)效果有一定的影響，訓(xùn)練樣本數(shù)量越大則綜合表現(xiàn)越優(yōu)．Ｔａｂｌｅ７ＴｈｅＲｅｓｕｌｔｓｗｉｔｈＤｉｆｆｅｒｅｎｔＳｉｚｅｏｆＳａｍｐｌｅｓ表７樣本數(shù)量對(duì)比的結(jié)果ＳａｍｐｌｅＳｉｚｅＴＰＲＦＰＲＰｒｅｃｉｓｉｏｎＡＵＣ６００ｓａｍｐｌｅｓ０．９５６０．０８６０．９０８０．９８２１１００ｓａｍｐｌｅｓ０．９８００．０７９０．９１７０．９９２Ｆｉｇ．３ＲＯＣｃｕｒｖｅｓｗｉｔｈｄｉｆｆｅｒｅｎｔｓｉｚｅｏｆｓａｍｐｌｅｓ．圖３不同樣本數(shù)量的ＲＯＣ曲線對(duì)比圖３．３ＭａｌｄｅｔｅｃｔＶＳ專業(yè)反病毒軟件根據(jù)３．２節(jié)的實(shí)驗(yàn)結(jié)果，以實(shí)驗(yàn)效果較優(yōu)的３－Ｇｒａｍ序列的隨機(jī)森林算法作為基礎(chǔ)，通過計(jì)算信息增益來選�。玻埃皞�(gè)區(qū)分度最高的特征作為特征選擇方法，我們實(shí)現(xiàn)了一個(gè)Ａｎｄｒｏｉｄ惡意代碼檢測(cè)系統(tǒng)Ｍａｌｄｅｔｅｃｔ．本節(jié)實(shí)驗(yàn)我們分別在２０００個(gè)樣本和４０００個(gè)樣本的２個(gè)數(shù)據(jù)集上進(jìn)行實(shí)驗(yàn)，并按照６０％數(shù)據(jù)作為Ｍａｌｄｅｔｅｃｔ的訓(xùn)練樣本庫(kù)，４０％數(shù)據(jù)作為測(cè)試樣本庫(kù)
【作者單位】： 浙江工業(yè)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院;
【基金】：國(guó)家自然科學(xué)基金項(xiàng)目(U1509214) 浙江省自然科學(xué)基金項(xiàng)目(LY16F020035)~~
【分類號(hào)】：TP309;TP316

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 林耕宇;;觀摩50名Google Android程序開發(fā)競(jìng)賽作品[J];電子與電腦;2008年08期

2 樹子;;Android中文版不完全體驗(yàn)[J];互聯(lián)網(wǎng)天地;2009年04期

3 Jason Whitmire;;產(chǎn)業(yè)軟件專家如何協(xié)助解決Android的分裂困境[J];電子與電腦;2010年02期

4 蔣彬;;10款A(yù)ndroid手機(jī)必備應(yīng)用——Android操作系下的軟件評(píng)測(cè)[J];微電腦世界;2010年04期

5 ;PCWorld Windows Phone 7挑戰(zhàn)Android 毅然崛起的AndroidⅠ洗心革面的Windows Phone 7[J];微電腦世界;2010年08期

6 韓青;;Android平臺(tái)發(fā)展的動(dòng)力與挑戰(zhàn)[J];中國(guó)電子商情(基礎(chǔ)電子);2010年09期

7 方智勇;;Android手機(jī)這樣用[J];電腦迷;2010年15期

8 缺少浪漫;;Android的另一面[J];電腦迷;2010年13期

9 ;ZTE and Three Release Android

本文編號(hào)：2527693