智能移动终端恶意软件检测技术研究与实现

摘要

随着物联网技术的日趋成熟和移动互联网技术不断的发展，越来越多的用户开始使用智能移动终端设备，而安卓系统由于其开源性和稳定性，成为了智能移动终端首选的操作系统。据Gartner的数据显示，2017年全球搭载Android系统的智能手机销量居第一位，占全球智能手机总销量的84.1%。然而，安卓系统却经常遭到恶意软件的攻击，2017年Symantec网站每天平均拦截24000个手机恶意软件。安卓恶意软件从权限提升、远程控制、资费盗取、隐私泄漏四方面严重威胁系统和用户安全，因此对安卓恶意软件的检测非常重要。 目前，安卓恶意软件的检测方法中，基于权限的方法易于实现，但准确率不高；基于控制流图的结构特征的方法准确率高，但是需要维护一个特征数据库，且对控制流图的结构描述也很复杂；基于API的方法简单准确，但是传统方法获取的API冗余度高，且无法获取时序性的API序列。与之矛盾的是，时序性API序列更能刻画应用的实际状态和行为。动态监测方法，虽然能捕获时序型信息，但该方法需要人为触发，很难获得时序性API序列的完整信息，且很难自动化。 本文提出一种基于机器学习的安卓恶意软件检测方法。首先通过构造应用程序的控制流图，从而获取API相关信息。以此为基础，本文创新性地构造了布尔型、频率型和时序型数据集，分别从API调用、API调用频率、API调用序列三个层面，结合决策树算法、深度神经网络算法和循环神经网络算法构造三个检测模型，以此来检测安卓恶意软件。 本文通过大量的实验对三个检测模型的准确率和稳定性进行测试和比较。实验中，非恶意样本共10010个，恶意样本共10683个。实验结果表明三个检测模型均具有较高的准确率和稳定性，其中基于时序性API数据集构建的检测模型准确率最高稳定性最好，与文中理论分析结果一致。

目录

第一个书签之前

摘要

ABSTRACT

插图索引

表格索引

符号对照表

缩略语对照表

第一章 绪论

1.2恶意软件特征分类

1.3研究现状

1.4相关工作

1.4.2动态检测方法

1.5.2本文主要贡献

1.6本文的结构安排

第二章 相关概念和技术

2.1技术架构

2.2安卓应用概述

2.3CFG概述与获取

2.4API概述

2.5算法概述

2.5.1C4.5算法概述

2.5.2DNN算法概述

2.5.3LSTM算法概述

2.6本章小结

第三章 基于非时序性API数据检测方法的实现

3.3数据集的构建

3.3.1布尔型数据集

3.3.2频率型数据集

3.4检测模型的构建

3.4.2API频率检测模型

3.5恶意软件检测

3.6本章小结

第四章 基于时序性API数据检测方法的实现

4.2检测信息的选取依据

4.3数据集构建

4.4检测模型构建

4.5恶意软件的检测

4.7本章小结

第五章 检测模型测试实验

5.2API使用检测模型测试

5.3API频率检测模型测试

5.4API序列检测模型测试

5.5检测模型的比较

5.5.2资源消耗比较

5.6实验结论

5.8与其他方法比较

5.9本章小结

第六章 总结与展望

6.2展望

参考文献

致谢

作者简介