基于权限特征和机器学习的Android恶意程序识别技术

最新推荐文章于 2024-03-18 23:00:56 发布
最新推荐文章于 2024-03-18 23:00:56 发布
阅读量2.3k 收藏 24
点赞数 4
分类专栏: Android 系统安全 机器学习 文章标签: 机器学习 安卓 python 恶意程序检测 毕业设计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/miao_007/article/details/101100231
版权

在做恶意邮件附件检测系统时,被要求尝试在该系统内增加apk的检测。要求使用静态分析手段且对检测速度有较高的要求。

选择权限特征是因为速度很快且相对简单,只需要解包apk然后编码二进制化的AndroidManifest文件,根据permission标签读取其需要的权限即可。
在调研过程中收集到了权限相关的数据集,而在具体的实现方法上并无太大区别,只是在需要作为特征的权限数量上有所区别。
本文无创新点,只是在复现别人的操作,进行了一定程度的对比。

准备知识

以下内容来自官方文档
应用必须在清单文件的<uses-permission>标签中写入所需要的权限。
如以下代码完成对发送短信SEND_SMS权限的声明

<manifest xmlns:android="http://schemas.android.com/apk/res/android"
          package="com.example.snazzyapp">

    <uses-permission android:name="android.permission.SEND_SMS"/>

    <application ...>
        ...
    </application>
</manifest>

权限与应用的具体功能直接挂钩,如图。
图1 权限组与api调用
以下非官方文档
恶意软件通过具体的api调用实现其恶意操作,而每个权限能够对应多个api操作,因此通过对权限的检测能够在一定程度上表示应用的具体操作。
权限特征容易获取,这是该特征得到关注的另一个原因。
文献[1]是静态检测集大成者,基本参考了apk中的所有特征,其采用“我全都要“的基本思想,将所有权限作为特征进行训练。
自安卓系统问世以来就有研究人员研究了权限特征的可行性,至2018年仍有仅研究权限特征的高水平论文[2]。
考虑过多的权限特征一方面不一定会使检测效果更好,另一方面还有可能使检测的效率下降,因此现在基于权限的研究大多是在精简特征的个数。

我的工作

那么到底考虑多少权限能够获得比较好的检测结果呢。
博主将不同数量的权限作为特征进行训练,对比其在现在的、较新的恶意应用中的表现。
采用的权限数量分别为88、34、22。
88为综合手上两个较大数据集,取得交集。
22为论文[2]中选取的权限。
34为谷歌官方选取的26个危险权限与22个权限取并集,仅26个权限的组合曾做过测试,但由于效果原因与22权限取并集。

问:为什么不测试drebin那样的全部权限?
答:1.权限数量过多,除了drebin本身的数据集,没有其他数据集采用这么多权限。2.该方法很经典, 大概在别的地方有足够的资料。
算法采用效果最好的随机森林,参数按准确率优先进行了调整。

对457个较新的恶意应用检测结果:

88权限
34权限22权限
对恶意样本的检出率为:

权限个数检出率
8832.2%
3424.7%
2273.1%

注意22权限对照组将该457个应用划入了训练集,因而才有了较明显的提升。

对1648个较新的良性应用检测结果:

88良性
34良性
22良性
对于良性样本的检出率:

权限个数检出率
8894.2%
3499.3%
2296.3%

相关代码和数据集

细节部分如权限提取,csv处理等就不细说,在代码里了。

https://github.com/cckenny/AMDwithPermission-ML

恶意样本的训练集大概数千,良性样本数十万,只包含权限部分
数据集来源多样,主要包括kaggle比赛样本,北京某211学校网站的样本和drebin样本等,已上传至github。

结论

文献[2]的方法能够在减少权限数量的情况下达到较高的检测率(不然发不了论文…)。
可以看到仅基于权限的方法误报率是很低的,当然在一定程度上可以对参数进行调整,降低漏报则会提升误报,反之同理。
速度上的提升到没那么明显,因为无论88权限还是22权限主要都是解压比较耗时间,差不多都是1-2秒一个(CPU:E3-1231 硬盘:机械7200转)。
需要注意的是,论文一般采用的训练集和测试集为较老的、经典的程序集,对现存的恶意应用检出率较低。

补充说明

博主半年前完成的该部分复现,如今整理工作时拿出来分享,故存在截图和对照组缺失的问题
测试恶意程序的时间较短故能够截一些图,训练部分的图就算了吧,有些慢,不重跑了。
有兴趣的童鞋欢迎到github下载运行代码,如果能帮到您,请留一个star,谢谢

主要参考文献

  1. Arp, Daniel, et al. “DREBIN: Effective and Explainable Detection of Android Malware in Your Pocket.” NDSS. 2014.
  2. J. Li, L. Sun, Q. Yan, Z. Li, W. Srisa-an and H. Ye, “Significant Permission Identification for Machine-Learning-Based Android Malware Detection,” in IEEE Transactions on Industrial Informatics, vol. 14, no. 7, pp. 3216-3225, July 2018.
咸菜猫
关注
  • 4
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
机器学习算法的恶意代码检测
03-04
论文 有关用机器学习算法进行恶意代码检测。分别针对静态、动态这 2 种分析 模式下的检测方案进行了讨论,涵盖了恶意代码样本采集、特征提取与选择、机器学习算法分类模型的建立等要点。对机器学习算法下恶意代码检测的未来工作与挑战进行了梳理。为下一代恶意代码检测技术的设计 和优化提供了重要的参考
基于android平台的手机恶意代码检测与防护技术研究,基于多特征Android恶意代码静态检测方法的研究...
weixin_42499041的博客
05-26 428
摘要:随着移动互联网的快速发展,智能手机和平板电脑等移动设备成了现代人们日常不可或缺的电子设备.而基于Android系统的移动设备在目前的移动市场中占据着主要地位,这就给基于Android系统的恶意代码开发者创造了机会.智能手机等移动设备一旦被感染,攻击者便可轻松地获取用户的大量隐私信息,如用户手机号,地理位置信息等,不但如此,甚至还能够截断用户的短信息接收,删除用户手机中的应用程序,带来了一系列...
[论文翻译](2014drebin)DREBIN:随身携带的有效且可解释的安卓恶意软件检测工具
最新发布
my991201的博客
03-18 849
恶意应用程序对安卓平台的安全性构成威胁。这些应用程序的数量和多样性不断增加,使传统的防御措施基本失效,因此安卓智能手机常常无法免受新型恶意软件的攻击。在本文中,我们提出了一种用于检测安卓恶意软件的轻量级方法--DREBIN,它可以直接在智能手机上识别恶意应用程序。由于资源有限,无法在运行时监控应用程序,因此 DREBIN 会执行广泛的静态分析,尽可能多地收集应用程序的特征。这些特征被嵌入到一个联合向量空间中从而可以自动识别出表明恶意软件的典型模式,并用于解释我们方法的决策。
论文研究-基于权限管理的Android应用行为检测 .pdf
08-22
基于权限管理的Android应用行为检测,刘智伟,孙其博,随着Android系统所占据市场份额的增加,越来越多的安全问题成为了困扰Android系统进一步发展的羁绊。当前市场大部分安全软件不能够实�
基于机器学习的恶意请求识别Python代码及数据集)
05-21
这是作者恶意代码分析、网络安全、系统安全等系列教程,主要是通过机器学习、人工智能和深度学习来分析恶意代码的在线笔记。希望对您有所帮助,学无止境,一起加油。参考作者的博客和github资源,由于github速度限制,故上传免费资源供大家学习。 [网络安全自学篇] 二十四.基于机器学习的入侵检测和攻击识别——以KDD CUP99数据集为例 https://blog.csdn.net/Eastmount/article/details/102852458 https://github.com/eastmountyxz/AI-for-Malware-Analysis-
基于机器学习安卓恶意代码检测
weixin_35751194的博客
02-18 246
基于机器学习安卓恶意代码检测是一种使用机器学习算法来检测安卓设备上的恶意代码的方法。 这种方法通常是通过对大量已知的恶意代码和良性代码进行训练,然后使用训练好的模型来预测新的代码是否为恶意代码。 机器学习模型可以使用各种不同的算法,例如决策树、随机森林、支持向量机等。这些算法都是通过对大量数据进行训练,然后在新的数据上进行预测来提高准确性的。 使用基于机器学习安卓恶意代码检测方法可以更准确地识...
特征提取的方法
热门推荐
rosenor1的博客
08-30 3万+
机器学习系列:(三)特征提取与处理      特征提取与处理   上一章案例中的解释变量都是数值,比如匹萨的直接。而很多机器学习问题需要研究的对象可能是分类变量、文字甚至图像。本章,我们介绍提取这些变量特征的方法。这些技术是数据处理的前提——序列化,更是机器学习的基础,影响到本书的所有章节。   分类变量特征提取   许多机器学习问题都有分类的
神操作:教你用Python识别恶意软件
Python学习Q群696455390
08-08 765
在本文中,我们将介绍恶意软件静态分析的基础知识。静态分析是对程序文件的反汇编代码、图形图像、可打印字符串和其他磁盘资源进行分析,是一种不需要实际运行程序的逆向工程。虽然静态分析技术有欠缺之处,但是它可以帮助我们理解各种各样的恶意软件。 很多人学习python,不知道从何学起。 很多人学习python,掌握了基本语法过后,不知道在哪里寻找案例上手。 很多已经做案例的人,却不知道如何去学习更加高深的知识。 那么针对这三类人,我给大家提供一个好的学习平台,免费领取视频教程,电子书籍,以及课程的源...
论文翻译——DREBIN : Effective and Explainable Detection of Android Malware in Your Pocket
qq_42372980的博客
01-03 4290
0-abstract 恶意应用程序对Android平台的安全性构成了威胁。这些应用程序的数量和多样性不断增长,使得传统的防御措施在很大程度上无法发挥作用,因此,Android智能手机经常无法免受新型恶意软件的攻击。在本文中,我们提出了DREBIN,这是一种用于检测Android恶意软件的轻量级方法,可以直接在智能手机上识别恶意应用程序。由于有限的资源阻碍了在运行时监视应用程序,因此DREBIN进...
基于多维度特征Android恶意软件检测方法
weixin_70923796的博客
01-06 425
随着Android操作系统的不断普及与快速发展,Android恶意软件检测工具之间的对抗也愈发激烈。如何高效、准确地识别Android恶意软件对用户的隐私保护及设备安全至关重要。针对以往文献的不足,提出了一种基于多维度特征Android恶意软件检测方案。该方案通过对Android应用软件包进行反编译,提取应用的权限、网络证书、代码混淆等多种特征进行融合,并使用随机森林模型和支持向量机模型进行训练。实验结果表明,与单纯依赖权限与API特征的传统方法相比,该方案对恶意软件测试集的检测率可提升高达19.4%
Android逆向分析权限和API提取工具
05-03
安卓逆向开发的python小程序,可以实现自动化提取,但是目前只能实现单个提取,需要优化,并且需要加入数据库
基于Android权限信息的恶意软件检测
02-26
基于Android权限信息的恶意软件检测
基于特征融合和机器学习的恶意网页识别研究.pdf
09-24
基于特征融合和机器学习的恶意网页识别研究.pdf
基于机器学习Android恶意软件检测数据集
02-18
Android恶意软件检测使用机器学习是一种检测和分类Android设备恶意应用程序的方法。识别可疑应用程序的一种精确方法是监控android设备所连接的网络。机器学习是人工智能的一个子集,它专注于开发可以访问数据并使用...
基于机器学习的恶意URL识别.pdf
09-24
基于机器学习的恶意URL识别.pdf
基于深度学习和机器学习恶意软件检测算法
12-13
基于深度学习和机器学习恶意软件检测算法 内含数据集以及训练预测脚本
AS3.0以后JNI编程遇到的cmake版本问题
咸菜猫的博客
02-18 1万+
编译报错,提示解决方案为安装cmake3.6.0版本,但无法通过给定链接安装 CMake ‘3.6.0’ was not found in PATH or by cmake.dir property. - CMake ‘3.10.2’ found in SDK did not match requested version ‘3.6.0’. 3.6.0在工程中并未出现,不知道是哪里指定的 默认安装...
基于机器学习识别恶意url
10-02
基于机器学习识别恶意URL是一种利用计算机算法和技术检测识别恶意URL的方法。这种方法的目标是提高网络安全性,保护用户免受恶意活动的影响。 在这个方法中,机器学习算法被应用于收集的URL数据,以学习和识别...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值