在安卓市场利用主动特征提取东西的歹意利用法式检测框架
Dong-uk Kim, Jeongtae Kim, and Sehun Kim
摘要--因为安卓手机的普及,安卓手机的利用越来越多,而且稳步地获得普及。 不幸的是,那种现象引起了歹意利用法式开发者的重视,因而歹意利用法式正在敏捷增加。 为了检测那些歹意利用法式,人们已经利用机器进修停止了一些研究。 在机器进修办法中,有两种办法,即动态检测和静态检测来检测那些歹意利用法式。动态检测具有较高的检测率,但需要消耗大量的资本,而且需要较长的时间来检测歹意行为。此外,在施行检测办法后,有可能会传染歹意代码。另一方面,静态检测的资本量小,检测时间快,但检测率低。
针对那些弱点,我们提出了一个安卓市场上的歹意利用法式检测框架和一个用于静态检测的歹意特征主动提取东西。 那个框架可以利用机器进修停止那两种检测办法,并有看比以前的框架停止彻底的阐发。此外,所提出的主动提取东西估量将有助于静态检测的代码阐发。
关键词:Android,歹意利用法式,歹意软件,机器进修
I. 简介
自从谷歌开发了安卓平台,安卓手机颠末多年的开展。安卓手机是 安卓系统的利用越来越普遍,也越来越普及,因而安卓系统的利用也越来越多。那种开展的原因之一是因为安卓市场的可及性。任何人都能够开发一个安卓利用,并将开发的利用上传到安卓市场。不幸的是,那种现象引起了歹意利用法式开发人员的重视,因而,歹意利用法式正在敏捷增加。假设安卓手机的用户下载了那些歹意的
Dong-uk Kim是韩国科技大学工业与系统工程系和信息平安研究生院的成员(德律风:+82-42-350-2954;传实:+82-42-350-3110;电子邮件:donguk@kaist.ac.kr)。
Jeongtae Kim是韩国科学和手艺高级研究所工业和系统工程系的,韩国(电子邮件:jeongtae@gmail.com)。
Sehun Kim是韩国科学与手艺高级研究所工业与系统工程系和信息平安研究生院的成员(电子邮件:shkim@kaist.ac.kr)。
手机无法利用,窃取私家信息,并向用户发送短信或德律风停止没必要要的计费。因而,有效地检测歹意的安卓利用长短常重要的。
为了检测歹意利用法式,已经利用机器进修停止了一些研究。在机器进修办法中,有两种办法,即动态检测和静态检测来检测歹意利用法式。就静态检测办法而言[1]-[3],那些基于权限的检测办法具有少量的资本和快速的检测时间。然而,因为许多安卓利用有各类功用,获得各类权限,所以那些办法的检测率很低。关于动态检测办法[4]-[6],那些检测办法有很高的检测率,但是间接施行利用法式需要利用大量的资本,而且需要很长的时间来对于有意改动歹意行为的施行时间。此外,在施行检测办法后,有可能传染歹意代码。
为领会决那些问题,一些研究提出了利用静态和动态办法的检测办法[7],[8]。然而,那些检测办法不克不及处理其他研究的所出缺点。Asaf Shabtai等人的研究[7]不克不及完全处理安卓手机上的资本限造问题。与此差别,Yajin Zhou等人的研究[8]试图利用安卓市场上的DroidRanger检测歹意利用法式,并处理了安卓手机的资本限造问题。但是他们不克不及处理基于权限的静态检测问题。
在本文中,我们提出了一个安卓市场上的歹意利用法式检测框架来处理上述问题。那个框架可以利用机器进修在安卓市场上施行两种检测办法,如许就能够处理资本限造的问题。此外,该框架基于API[9]的办法停止静态检测,API用于治理安卓办事,与发送短信、唤喊和信息溢出有关,如许就能够处理基于权限的静态检测问题了。基于APIs办法的特征能够通过我们造造的主动提取东西停止静态检测。
展开全文
2012年6月,安卓官方市场上有65万个利用法式,至今已有200亿个利用法式被下载[10]。在将来,估量将开发更多的安卓利用。假设所有的安卓利用都被列在安卓市场上,那么那些利用就无法通过安卓市场上的静态和动态检测办法停止检测,因为检测过程需要太长的时间。 为领会决那个问题,我们在提出的框架上利用了一种过滤办法。 起首,所有的利用法式通过静态检测办法被快速分类。然后,只用动态检测办法测试可疑的利用法式。通过利用过滤办法,大大都一般的利用法式被静态检测办法分类,然后少数其余的利用法式被动态检测办法检测,如许就能够削减动态检测时间。 因而,即便动态检测可能涉及耗时的彻底阐发办法,那个框架仍然能够连结高效。 因而,那个框架有看比以前的框架具有快速和彻底的阐发。别的,定见的主动提取东西有看搀扶帮助静态检测的代码阐发。
本文的其余部门组织如下。 在第2节中,提出了拟议的框架。之后,在第3节给出了简要的仿实成果。最初,我们在第4节中总结了本文并提出了将来的工做。
II. 定见的框架
A. 歹意利用法式检测框架
在本文中,我们提出了一个安卓市场的歹意利用法式检测框架。那个框架利用过滤办法[11],在动态检测之前过滤一般的利用法式,因为动态检测需要太多的时间和资本来彻底测试所有的利用法式。安卓市场上的大大都利用法式是一般的利用法式。假设将更多的时间和资本用于测试一般的利用法式,而不是测试歹意的利用法式,那是没有效率的。因而,假设通过利用过滤办法削减动态检测办法所检测的利用法式的数量,就能够有效地检测出歹意利用法式,并进步检测性能。
检测性能将得到进步。
图1展现了拟议的框架。在那个框架中,所有在安卓市场上注册的利用法式起首通过静态检测办法停止检测。如图1所示,大大都一般的利用法式根据提取的特征被初步分类。 提取的特征是基于API的权限和办法。利用API办法的特征,我们能够对利用法式的功用停止详尽阐发,而不是只利用权限的特征。那有助于进步检测率,削减静态检测的假阴性率。 详尽特征见表一。 被分类为明显一般的利用法式将停行测试并被诊断为一般,其余的利用法式被思疑为歹意利用法式。然后,剩余的利用法式将通过动态检测办法停止彻底的测试。因而,能够削减检测歹意利用法式所消耗的时间和资本,所提出的框架比其他检测框架有效。
B. 主动特征提取东西
为了在机器进修之前提取特征,我们利用了一个由java脚本编写的主动特征提取东西。图2是主动特征提取的整体过程。做为一个输进,那个东西需要一个".apk "文件做为安卓利用包。该东西对'.apk'文件停止解压,因为'.apk'文件是一个压缩的文件包。当'.apk'文件解压后,该文件被分红三个次要内容,如'AndroidManifest.xml'文件、'Classes.dex'文件和'res'文件夹。AndroidManifest.xml "文件是一个XML文件,包罗利用法式中利用的权限集。Classes.dex "文件是利用法式的源代码,它包罗了将被Dalvik虚拟机阐明的完全字节码[12]。res "文件夹由定义规划、语言等的文件构成。因为表一中的特征是用来测试的,主动特征提取东西提取了'AndroidManifest.xml'文件和'Classes.dex'文件,别离与API的权限和办法有关。然后,该东西利用'Dedexer'东西[13]反编译'Classes.dex'文件,利用'AXMLPrinter'东西[14]反编译'AndroidManifest.xml'。那个过程中,原始文件被转换为人类可读的格局。 最初,利用我们由java脚本编写的法式,主动特征提取东西读取所有文件并提取特征。然后,我们能够得到用于机器进修的数据。
III. 模仿
A. 仿实情况
为了评估所提出的框架,我们从安卓市场上搜集了893个一般的利用法式,从互联网网站上搜集了110个歹意的利用法式[15]。然后,通过一个主动特征提取东西提取特征。机器进修由WEKA完成,它是一个机器进修东西[16]。我们利用J48决策树分类器[17]和10折穿插验证计划来操练和测试数据集。仿实设置装备摆设如表二所示。
B. 成果
那个框架的重点是过滤掉明显一般的利用法式,从而削减利用法式的数量,以便对动态检测停止彻底阐发。为了确认该框架的效率,我们比力了基于权限的框架和我们提出的基于API办法的框架的检测率。如表三所示,提议的框架的实阳性率为82.7%,假阴性率为17.3%。 定见框架的实阳性率高于基于权限的框架,定见框架的假阴性率低于基于权限的框架。 低的假阴性率意味着一般的申请被清晰地过滤掉了。因为过滤办法的特征,那比降低假阳性率更重要。因而,我们验证了我们提出的框架的静态检测办法关于歹意利用法式的分类是高性能的。
表四展现了每个检测阶段的利用法式数量。 在静态检测中,641个一般利用和19个歹意利用被过滤掉了。然后,只要343个利用法式在动态检测中被测试。如成果所示,只要大约34.2%的利用法式需要被测试,因而,削减的利用法式能够通过动态检测办法停止彻底测试。通过那个成果,我们验证了我们提出的框架能够有效地削减检测歹意利用法式所消耗的时间和资本。
IV. 结论
在本文中,我们提出了一个在安卓市场上利用主动特征提取东西的歹意利用法式检测框架。 为领会决基于权限的静态检测办法的问题,该框架停止了基于API办法的静态检测,并在安卓市场上利用机器进修停止那两种检测办法,以处理资本限造的问题。 别的,那个框架利用了过滤办法来停止有效的检测,因为动态检测需要太多的时间和许多资本来彻底测试所有的利用法式,所以在动态检测之前,静态检测会过滤一般的利用法式,那也是安卓市场上的大大都利用法式。因而,用动态检测办法检测少数其余的利用法式,如许能够削减检测时间。它能够有效地检测歹意利用法式并进步检测性能。在模仿中,我们通过比力检测率,确认我们提出的框架比以前只利用基于权限的特征的框架有效。 此外,我们还证明,许多一般的利用法式在静态检测阶段被过滤掉了。
假设在过滤过程中呈现假阴性错误,即歹意利用法式被错误地回类为一般法式,那些错误可能是关键问题。此外,假设在机器进修中利用过多的特征,检测率可能会下降。因而,我们将考虑在将来将 "MetaCost "办法和特征抉择办法利用于我们提出的框架。
喊谢
本研究得到了韩国常识经济部(MKE)的撑持,由NIPA(国度IT财产促进局)监视的CYBER SECURITY RESEARCH CENTER,NIPA-H0701- 12- 1001。