欢迎来到天天文库
浏览记录
ID:15771816
大小:113.00 KB
页数:7页
时间:2018-08-05
《学习报告-利用机器学习方法进行安卓恶意软件检测》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、Titel(论文题目):EMULATORvsREALPHONE:AndroidMalwareDetectionUsingMachineLearningAuthors(作者):MohammedK.Alzaylaeemalzaylaee01@qub.ac.ukSuleimanY.Yerimas.yerima@qub.ac.ukSakirSezers.sezer@qub.ac.ukCentreforSecureInformationTechnologies(CSIT)Queen’sUniversityBelfastBelfast,NorthernIrelandPublishedin(发表在):I
2、WSPA'17:Proceedingsofthe3rdACMonInternationalWorkshoponSecurityAndPrivacyAnalyticsAbstract(摘要):论文介绍了一种基于机器学习方法的Android恶意软件检测研究。(采用在真实设备上的动态分析)一种工具被用来实施从Android手机和几项试验中自动提取动态特征的工具;一项对比分析(基于仿真器和基于真实设备),检测手段用到了几种机器学习算法。实验结果表明:相比仿真器,在真实设备(手机)上的一些特征能够被更高效地提取,动态分析。近24%的app成功在手机上被分析。研究中用到的所有基于机器学习的恶意软件检测
3、方法,都在设备(手机)动态分析上表现更佳。Keywords(关键词):Android;Malware;Malwaredetection;Anti-analysis;Antiemulation;MachineLearning;Device-baseddetectionIntroduction(引言):省略PHONEBASEDDYNAMICANALYSISANDFEATUREEXTRACTION(基于手机的动态分析和特征提取)为了应用机器学习方法分类和检测恶意APP,就需要一个platfrom来从app中提取特征。本实验目的是为了比较基于仿真器的检测,和基于设备的检测,故需要从这两种环境下都提
4、取特征,为下一步监督学习做准备。对于仿真器,我们采用DynaLog动态分析框架。大体框架:自动接收大量app,在仿真器上连续运行,记录动态行为(特征),提取。DynaLog组件包括一个基于仿真器分析的沙盒,一个APK设备模块,行为(特征)记录和提取,App触发/实验程序,记录解析,处理脚本。DynaLog使每个app的必要API都能够被监控,记录,提取(从仿真器,在运行中)为了能在手机上进行动态分析和特征提取,DynaLog框架需要被扩展,用一个基于Python的工具:1、推一张contacts表给设备的SD卡,再导出他们(adbshellcommand)填充到手机的contact表中。2
5、、找到并卸载所有第三方app,在安装待分析(提取特征)app之前。3、关闭飞行。Monkey(theappexercisertool)4、电量5、向外拨号(adbshell)6、向外发送消息(adbshell)7、向SD卡中填充其它,如虚拟文件夹:图像文件,pdf,text文件等。每个app被安装,并运行300秒在仿真器上(然后在手机上进行第二次实验),行为都被记录和解析(through提取特征的脚本)实验所用到的特征包括,API调用,Intent(关键事件的信号)APIcallsignatures使API能够被记录和提取viaadblogcat,当app运行时。对于-包含反仿真器方法的恶
6、意app,提取的API调用就是那些能够使他们暴露出来的恶意行为不被记录,Methodologyandexperiments(方法和实验)本部分描述实验方法(被用来评估检测和提取特征的环境有效性)以及机器学习算法在手机和仿真器上的分析性能Dataset(数据集)实验所用数据集包含2444个Androidapp,其中1222个恶意样本(来自49种类型,Androidgenomeproject),剩余1222个良性样本(来自InterSecurity,McAfeeLabs)Environmentconfigurations(环境配置)Phone:ElephoneP6000,Android5.0L
7、ollipop,1.3GHzCPU,16GBinternalmemory,32GofexternalSDcardstorage.Emulator:SantokuLinuxVirtualBox(Andriod虚拟设备),2GB内存,8GB外部SD卡,4.1.2JellyBean(APIlevel16)特征使由app决定的,不受Andriod版本的影响Featuresextraction(特征提取)特征表示成向量输出、每个特
此文档下载收益归作者所有