【摘要】：提出了一個Android惡意代碼的靜態(tài)檢測系統(tǒng)Maldetect,首先采用逆向工程將DEX文件轉(zhuǎn)化為Dalvik指令并對其進行簡化抽象,再將抽象后的指令序列進行N-Gram編碼作為樣本訓練,最后利用機器學習算法創(chuàng)建分類檢測模型,并通過對分類算法與N-Gram序列的組合分析,提出了基于3-Gram和隨機森林的優(yōu)選檢測方法.通過4 000個Android惡意應(yīng)用樣本與專業(yè)反毒軟件進行的檢測對比實驗,表明Maldetect可更有效地進行Android惡意代碼檢測與分類,且獲得較高的檢測率.
【圖文】：

檢測模型和惡意家族分類模型的測試，如圖２所示：Ｆｉｇ．１Ｔｈｅｄｅｔｅｃｔｉｏｎａｎｄｃｌａｓｓｉｆｉｃａｔｉｏｎｍｏｄｅｌ．圖１惡意代碼的檢測與分類模型訓練Ｆｉｇ．２Ｔｈｅｐｒｏｃｅｓｓｏｆｐｒｅｄｉｃｔｉｎｇｍａｌｗａｒｅ．圖２惡意代碼的檢測與分類過程首先，需要確定訓練惡意代碼檢測模型的訓練集．訓練集分為２個子集：１）惡意ＡＰＫ樣本集合；２）非惡意樣本ＡＰＫ集合．ＡＰＫ文件格式通常都包含一個ｃｌａｓｓｅｓ．ｄｅｘ文件，該ＤＥＸ（Ｄａｌｖｉｋｅｘｅｃｕｔａｂｌｅｆｏｒｍａｔ）文件封裝了可被Ｄａｌｖｉｋ虛擬機執(zhí)行的Ｄａｌｖｉｋ字節(jié)碼．利用工具Ａｐｋｔｏｏｌ［１３］反匯編ＡＰＫ文件，就能得到一個包含ｓｍａｌｉ源碼的文件目錄，ｓｍａｌｉ目錄結(jié)構(gòu)對應(yīng)著Ｊａｖａ源碼的ｓｒｃ目錄．ｓｍａｌｉ是對Ｄａｌｖｉｋ字節(jié)碼的一種解釋，所有語句都遵循一套標準的語法規(guī)范．從ｓｍａｌｉ文件中提取出Ｄａｌｖｉｋ操作碼并進行抽象簡化為指令符號，再針對抽象的Ｄａｌｖｉｋ指令符號的Ｎ－Ｇｒａｍ序列特征進行統(tǒng)計與歸一化處理，最后采用機器學習的分類算法建立惡意代碼檢測模型．同理，按照惡意家族的類型劃分多個訓練子集，按照上述類似的處理過程，，可建立一個惡意家族分類模型．利用模型檢測與分類時，將待測ＡＰＫ文件先進行預(yù)處理步驟，提取出Ｄａｌｖｉｋ指令特征并作同樣的抽象簡化與Ｎ－Ｇｒａｍ序列化處理，再通過惡意代碼檢測模型的檢測，就可判斷出是否為惡意代碼，如果不是就直接給出檢測結(jié)果，如果是則需要進一步通過惡意家族分類模型來獲得該惡意代

值僅高出了２％，而４－Ｇｒａｍ序列的隨機森林算法ＦＰＲ值比３－Ｇｒａｍ序列的隨機森林算法ＦＰＲ值卻高出了３０％．綜合分析，３－Ｇｒａｍ序列的隨機森林算法是一種較優(yōu)的方法．接下來，分析樣本數(shù)量對準確性的影響．除了上述實驗的６００個樣本作為小樣本集合，再增加一個１１００個樣本作為大樣本集合作為對比實驗，按３－Ｇｒａｍ的隨機森林算法，采用１０折交叉驗證對它們進行測試．實驗結(jié)果如表７和圖３所示，不難看出，大樣本集的所有評估指標都要優(yōu)于小樣本集，這表明樣本數(shù)量大小對檢測效果有一定的影響，訓練樣本數(shù)量越大則綜合表現(xiàn)越優(yōu)．Ｔａｂｌｅ７ＴｈｅＲｅｓｕｌｔｓｗｉｔｈＤｉｆｆｅｒｅｎｔＳｉｚｅｏｆＳａｍｐｌｅｓ表７樣本數(shù)量對比的結(jié)果ＳａｍｐｌｅＳｉｚｅＴＰＲＦＰＲＰｒｅｃｉｓｉｏｎＡＵＣ６００ｓａｍｐｌｅｓ０．９５６０．０８６０．９０８０．９８２１１００ｓａｍｐｌｅｓ０．９８００．０７９０．９１７０．９９２Ｆｉｇ．３ＲＯＣｃｕｒｖｅｓｗｉｔｈｄｉｆｆｅｒｅｎｔｓｉｚｅｏｆｓａｍｐｌｅｓ．圖３不同樣本數(shù)量的ＲＯＣ曲線對比圖３．３ＭａｌｄｅｔｅｃｔＶＳ專業(yè)反病毒軟件根據(jù)３．２節(jié)的實驗結(jié)果，以實驗效果較優(yōu)的３－Ｇｒａｍ序列的隨機森林算法作為基礎(chǔ)，通過計算信息增益來選取２００個區(qū)分度最高的特征作為特征選擇方法，我們實現(xiàn)了一個Ａｎｄｒｏｉｄ惡意代碼檢測系統(tǒng)Ｍａｌｄｅｔｅｃｔ．本節(jié)實驗我們分別在２０００個樣本和４０００個樣本的２個數(shù)據(jù)集上進行實驗，并按照６０％數(shù)據(jù)作為Ｍａｌｄｅｔｅｃｔ的訓練樣本庫，４０％數(shù)據(jù)作為測試樣本庫
【作者單位】： 浙江工業(yè)大學計算機科學與技術(shù)學院;
【基金】：國家自然科學基金項目(U1509214) 浙江省自然科學基金項目(LY16F020035)~~
【分類號】：TP309;TP316

【相似文獻】

相關(guān)期刊論文 前10條

1 林耕宇;;觀摩50名Google Android程序開發(fā)競賽作品[J];電子與電腦;2008年08期

2 樹子;;Android中文版不完全體驗[J];互聯(lián)網(wǎng)天地;2009年04期

3 Jason Whitmire;;產(chǎn)業(yè)軟件專家如何協(xié)助解決Android的分裂困境[J];電子與電腦;2010年02期

4 蔣彬;;10款A(yù)ndroid手機必備應(yīng)用——Android操作系下的軟件評測[J];微電腦世界;2010年04期

5 ;PCWorld Windows Phone 7挑戰(zhàn)Android 毅然崛起的AndroidⅠ洗心革面的Windows Phone 7[J];微電腦世界;2010年08期

6 韓青;;Android平臺發(fā)展的動力與挑戰(zhàn)[J];中國電子商情(基礎(chǔ)電子);2010年09期

7 方智勇;;Android手機這樣用[J];電腦迷;2010年15期

8 缺少浪漫;;Android的另一面[J];電腦迷;2010年13期

9 ;ZTE and Three Release Android

本文編號：2527693