10.3778/j.issn.1002-8331.1805-0241
行为特征值序列匹配检测Android恶意应用
针对Android恶意代码的混淆、隐藏、加密情况以及现有方法的检测能力不足问题,提出了一种基于恶意应用行为特征值序列的动态检测方法.首先利用远程注入技术将动态检测的模块注入到Android系统的Zygote进程中,执行内联挂钩来监测应用中的重要函数.然后,通过函数监听得到Android应用的重要行为;进而,按照行为的特征将其量化为特征值,再按照时间顺序将行为特征值排为序列,得到行为特征值序列.通过利用支持向量机来训练5560个恶意样本,得到恶意应用家族的行为特征值序列;最后利用此序列与被检测应用的序列进行相似度比较,判断应用是否为恶意应用.在恶意应用动态检测方面的正确率可达到95.1%,以及只增加被检测的应用21.9 KB内存.实验结果表明,所提方法能够正常检测经过代码混淆、代码加密、代码隐藏的恶意应用,提高了恶意应用检测的正确率,所占内存空间减少,有效提升检测效果.
Android恶意应用、远程内联挂钩、动态检测、支持向量机、特征值序列
54
TP309.1(计算技术、计算机技术)
国家自然科学基金61303263
2019-01-16(万方平台首次上网日期,不代表论文的发表时间)
共6页
97-102
