基于智能移動(dòng)終端的惡意應(yīng)用檢測(cè)研究.pdf

1、近年來(lái)，智能移動(dòng)終端的惡意應(yīng)用程序的種類和數(shù)量急速增長(zhǎng)。智能移動(dòng)終端的惡意應(yīng)用的檢測(cè)技術(shù)研究越來(lái)越受關(guān)注。傳統(tǒng)的檢測(cè)方法是基于先驗(yàn)特征進(jìn)行匹配檢測(cè)，對(duì)于已知類型的變種及新型惡意程序難以進(jìn)行有效的檢測(cè)。利用機(jī)器學(xué)習(xí)方法對(duì)惡意應(yīng)用程序進(jìn)行分類檢測(cè)，不僅可以有效的檢測(cè)已知惡意應(yīng)用程序，對(duì)已知惡意應(yīng)用程序的變種和新型惡意程序也有很好的檢測(cè)效果。本文在學(xué)習(xí)現(xiàn)有惡意應(yīng)用檢測(cè)技術(shù)的基礎(chǔ)上，提出一種基于多維特征機(jī)器學(xué)習(xí)的智能移動(dòng)終端惡意應(yīng)用檢測(cè)方案，從

2、界面組件相對(duì)頻度、權(quán)限聲明信息和API調(diào)用信息這三個(gè)特征維度對(duì)惡意應(yīng)用程序進(jìn)行特征參數(shù)提取及分類，并對(duì)分類結(jié)果進(jìn)行加權(quán)投票，給出綜合判定結(jié)果。
　　本文的主要工作及創(chuàng)新點(diǎn)如下:
　　1、提出了一個(gè)基于多維特征機(jī)器學(xué)習(xí)的智能終端惡意應(yīng)用聯(lián)合檢測(cè)方案。對(duì)于待檢測(cè)的應(yīng)用程序進(jìn)行多維度特征提取，并通過(guò)構(gòu)建相互獨(dú)立的分類器進(jìn)行決策。利用集成學(xué)習(xí)的原理，將分類器的決策結(jié)果加權(quán)投票后給出判決結(jié)果。根據(jù)分類器檢測(cè)準(zhǔn)確率設(shè)定權(quán)重系數(shù)，充分發(fā)揮

3、單個(gè)分類器的優(yōu)勢(shì)，用于提升惡意代碼檢測(cè)準(zhǔn)確率。
　　2、提出了基于不同特征的分類器構(gòu)建方法:采用基于深度優(yōu)先遍歷算法的遞歸搜索提取各類組件基于界面組件相對(duì)頻度特征參數(shù)并構(gòu)建分類器;采用基于字符串匹配的Boyer-Moore匹配搜索算法提取程序中出現(xiàn)的權(quán)限聲明信息頻度特征參數(shù)并構(gòu)建分類器;基于n-gram算法的文本搜索算法提取信息增益最大的前20個(gè)API的調(diào)用次數(shù)特征參數(shù)并構(gòu)建分類器。
　　3、設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于多個(gè)維特征機(jī)

4、器學(xué)習(xí)的智能移動(dòng)終端惡意應(yīng)用檢測(cè)系統(tǒng)。整個(gè)系統(tǒng)分為三個(gè)功能模塊:應(yīng)用程序逆向模塊、特征提取模塊和聯(lián)合檢測(cè)模塊。利用應(yīng)用程序逆向模塊，逆向分析應(yīng)用程序，獲取程序的源碼文件;利用特征提取模塊從源碼文件提取界面組件相對(duì)頻度特征、權(quán)限聲明信息特征和API調(diào)用信息特征;利用聯(lián)合檢測(cè)模塊構(gòu)建分類器并對(duì)待測(cè)應(yīng)用程序進(jìn)行分類判決，對(duì)判決結(jié)果加權(quán)投票后給出最終的檢測(cè)結(jié)果。
　　4、從豌豆莢應(yīng)用市場(chǎng)和惡意應(yīng)用程序樣本庫(kù)中選擇測(cè)試樣本進(jìn)行測(cè)試。經(jīng)測(cè)試表