面對近年來層出不窮的安卓惡意軟件給廣大用戶帶來的安全威脅,快速精準的安卓惡意軟件檢測技術(shù)研究刻不容緩。雖然現(xiàn)有基于機器學(xué)習(xí)的檢測方法能檢測出部分未知安卓惡意軟件,但是仍然面臨著特征繁雜、檢測效率低和技術(shù)實現(xiàn)復(fù)雜等難題。本文對基于機器學(xué)習(xí)的檢測方法進行了深入的研究。針對高維特征影響機器學(xué)習(xí)模型訓(xùn)練效率的問題,本文提出一種特征選擇新方法。該方法根據(jù)特征在樣本數(shù)據(jù)集的分布特點,計算特征在惡意軟件中出現(xiàn)的頻率和在惡意軟件和正常軟件中出現(xiàn)的頻率差異,并取上述兩值的調(diào)和平均數(shù),即敏感系數(shù),度量特征識別惡意軟件的能力,選擇敏感系數(shù)較高的特征。實驗中對權(quán)限和API兩類特征進行選擇,結(jié)果表明,經(jīng)過特征選擇后,梯度提升決策樹（Gradient Boosting Decision Tree,GBDT）分類模型在保證檢測準確率的同時訓(xùn)練時間可縮短80%以上。針對基于混合多特征的檢測方法效率有待提高的問題,本文提出一種基于兩級分類的檢測方法。第一級分類利用提取較快的權(quán)限特征快速識別惡意軟件,并判斷惡意類別識別的可靠性,對識別不可靠以及識別為正常的軟件進行第二級分類,以減少誤檢測和漏檢測;第二級分類利用檢測精度較... 

【文章來源】：杭州電子科技大學(xué)浙江省

【文章頁數(shù)】：78 頁

【學(xué)位級別】：碩士

【部分圖文】：

歷年新增安卓惡意軟件數(shù)量

杭州電子科技大學(xué)碩士學(xué)位論文圖1.1歷年新增安卓惡意軟件數(shù)量圖1.2歷年安裝安卓惡意軟件的用戶人次隨著機器學(xué)習(xí)技術(shù)的發(fā)展，越來越多的研究人員將機器學(xué)習(xí)技術(shù)應(yīng)用于安卓惡意軟件檢測領(lǐng)域。他們通過靜態(tài)分析或動態(tài)分析提取安卓軟件的特征，并利用機器學(xué)習(xí)分類模型對安卓軟件樣本進行學(xué)習(xí)分類，以此檢測安卓惡意軟件。動態(tài)分析需要在虛擬環(huán)境中模擬運行安卓軟件以獲取實際運行時內(nèi)容，資源消耗較多，并沒有被廣泛地使用。靜態(tài)分析不需要運行安卓軟件，而依賴于其本身提供的內(nèi)容，相對而言資源消耗較少，應(yīng)用較廣泛。在通過靜態(tài)分析提取的特征中，權(quán)限和API可在一定程度上體現(xiàn)安卓軟件的2

杭州電子科技大學(xué)碩士學(xué)位論文圖2.1安卓系統(tǒng)框架2.1.2安卓APK文件結(jié)構(gòu)用于安卓平臺安裝的軟件是一個APK文件，APK文件其實就是一個后綴名為.apk的壓縮文件，其中包含了安卓軟件的所有配置文件、資源文件和源代碼文件。利用ApkTool反編譯工具反編譯APK文件可得到META-INF目錄、Res目錄、Assets目錄、Lib目錄、AndroidManifest.xml文件和Smali目錄。META-INF目錄存放的是安卓軟件的簽名信息，用于驗證APK文件的完整性。在打包一個APK時，AndroidSDK會對所有要打包的文件做一個校驗計算，并把計算結(jié)果放在META-INF目錄下。在安裝時，如果校驗結(jié)果與META-INF下的內(nèi)容不一致，系統(tǒng)就不會安裝這個APK，從而確保安卓APK文件不被惡意修改或者病毒感染。Res目錄存放的是資源文件，包括動畫文件、圖像資源文件、布局文件和特征值文件。與Assets目錄的不同的是，Res目錄下的文件會在.R文件中生成對應(yīng)的資源ID。Assets目錄存放的是需要打包到APK中的靜態(tài)文件，該目錄支持任意深度的子目錄，用戶可以根據(jù)自己的需求任意部署文件夾結(jié)構(gòu)。Lib目錄存放的是安卓軟件所依賴的native庫文件。8


本文編號：3318579