论文分析---APP恶意软件检测
2018-03-11 20:12
686 查看
恶意软件检测
Towards a Network-Based Framework for Android Malware Detection and Characterization Canadian Institute for Cybersecurity(网络安全研究所)概述:
建立数据库,1900个APP,其中1400个良性APP,150个恶意APP,250个广告APP(来自于12个不同的APPstore)。通过特征提取算法(信息增益,最小特征数,支持向量机),从以往特征中提取出9个特征,通过5中基本算法对比,随机森林最好,准确率92%背景:
到2020年,80%的流量来自于移动网络动机:
是保护移动设备用户和蜂窝基础设施公司免受恶意应用程序的侵害数据:
建立数据库,1900个APP,其中1400个良性APP,150个恶意APP,250个广告APP(来自于12个不同的APPstore)。1900个APP(真实手机,但是电脑脚本控制,一次20个APP,获取流量,来自不同的应用store,所以可以对进一步的可靠性测试得到保证)特征:
通过特征提取算法(信息增益,最小特征数,支持向量机,软件weka),从CICFlowMeter提取的特征中提取出9个核心特征实验:
用Droidkin进行程序相似性检测用Weka划分不同的数据集(80%训练集/测试集,评估集20%)
用5中普通算法进行分类:随机森林,决策树,随机树,KNN,回归
用十折交叉验证方法进行分类
用precision,accuracy,recall进行评估
结果:
平均准确率91%亮点:
建立数据库,1900个APP(真实手机,但是电脑脚本控制,一次20个APP,获取流量,来自不同的应用store,所以可以对进一步的可靠性测试得到保证)通过特征提取算法,从以往特征中提取出9个特征
Droidkin是一个应用程序相似性检测器,显示所选择的家族在我们的数据集中不是相似的,也不是密切相关的。其原理是通过解析APP的源数据,资源,代码提取特征,进而判别相似性。
Androguard检测样本创建数据的时间
CICFlowMeter提取特征
Weka中可用的预处理函数(重新取样)来划分不同的数据集(训练集和测试集)
特征提取:
淘汰协议特征,因为协议基本上都是HTTP/HTTPS,而且70%不是HTTPSBehavior-based, Byte-based, Packet-based, and Time-based,Flow-based
特征提取算法:信息增益,Cfs Subset,SVM
weka软件:
是一个机器学习和数据挖掘的软件,类似于SPSS,可以对数据进行预处理,交叉验证,划分训练集与测试集,机器学习训练相关文章推荐
- App安全软件防护能力检测
- Android平台各类恶意软件及病毒分析
- Valgrind ---内存调试,内存泄漏检测以及性能分析的软件开发工具
- 利用regsnap 分析计算机的恶意软件行为
- NetSarang软件中nssock2.dll模块被植入恶意代码技术分析与防护方案
- 自己动手搭建恶意软件样本行为分析环境 推荐
- 运用VMware虚拟机分析恶意软件
- 有效和高效的恶意软件检测方法-Effective and Efficient Malware Detection at the End Host
- 怎样在命令行下检测和清除恶意软件
- 【软件测试】APP停止运行的bug分析
- 深度安卓恶意软件检测系统:用卷积神经网络保护你的手机
- 恶意样本分析手册-虚拟机检测篇(上)
- 威胁情报 应急响应 以及 恶意软件分析资料
- 从恶意软件获得的新姿势——通过rundll32.exe执行js原理详细分析
- 【转载】2010 BlackHat - 即时恶意软件分析和控制方案
- Droidbox恶意软件动态分析环境搭建
- 软件工程作业三:微软小娜APP的案例分析
- 实例敏捷软件开发一: 会议助手APP之用户场景(User Scenarios)的构想和分析
- 自己动手搭建恶意软件样本行为分析环境(一)