使用内嵌调用图实现Android恶意软件的结构检测..docxVIP

使用内嵌调用图实现Android恶意软件的结构检测 摘要针对Android系统的恶意软件的数目在最近几年呈现爆炸式的增长。虽然安全委员会深知这个事实，也提出了几种用于检测Android恶意软件的方法，这些方法中大多数都是基于权限和API使用或者专家特征识别。不幸的是，这其中的许多方法都容易受到指令级模糊技术的影响。以前对于台式机的经典恶意软件的研究已经表明代码的一些高级特性，比如函数调用图，可以用来发现对于某些模糊策略有很强健壮性的样本的相似性。然而，在关系图中相似性的识别??是一个并不简单的问题，其复杂性阻碍了使用这些功能来进行恶意软件的检测。在本文中，我们将探讨近来发展的机器学习图形分类技术是如何有效的应用到这个问题上来的。受一个多项式时间内核图的启发，我们建议一种基于显性特征映射的有效嵌入函数调用图的恶意软件检测方法。用我们的方法进行评估的12,158个软件样本中，发现了89%的恶意代码以及少数的误报，纯粹根据结构特点，要优于许多相关方法，虽然允许定点恶意代码结构存在于Android应用中。关键词恶意软件检测，内核图，机器学习引言智能手机和平板电脑的日益普及使其成为了移动平台受攻击的主要目标。国外机构Juniper Networks最近进行的一项研究中指出2012年3月和2013年3月间观察到的恶意移动应用程序的数量正以在614％的指数级形式增长。此外，这些应用程序中的92％被发现是针对谷歌Android平台，因此需要建立一种有效的防御机制来保护Android系统。考虑到这种威胁，官方Android市场定期扫描可能的恶意代码。不幸的是，这个过程通常是无效的市场每天被滥用于提供恶意软件。此外，Android应用程序也将提供给第三方库，这往往不实施恶意软件检测的方法。其结果是，最近几年Android的恶意软件检测的研究在行业和学术界都已经进展的如火如荼。一些研究人员已经提出了基于手动指定专家功能的恶意软件的检测方法，如应用程序请求的权限或特定API功能的使用。 虽然这些方法为Android平台提高了一个额外的安全层，但是提出这些方法的许多机制很容易规避，例如使用基于内核的漏洞或API级别的重写。此外，专家设计的特点往往针对特定类型的恶意软件，因此不能提供一个通用的保护免受恶意应用程序的方法。 因此，在本文中，我们提出了一个用于对Android恶意软件大规模结构化检测的方法。为此，我们从Android应用程序中提取函数调用图并采用灵感来自于一个线性时间内核图的显式映射，以有效的将调用图映射到明确的功能空间中。接着一个支持向量的机器被训练来识别良性和恶性应用程序。在对共有12,158个恶意软件样本进行的实证评估中，通过只分析底层代码的结构的这种方法被证明是非常有效的，从而能够检测89％的恶意软件，而且只有1％的错误率。 总之，我们的主要贡献有以下几种：Dalvik虚拟机功能的通用标签。我们提出了一个Dalvik虚拟机代码的通用标签计划，这使我们在没有函数名信息的情况下可以构造出标记了的函数调用图。调用图的显式嵌入。我们由图形内核的灵感得出一个特征映射用以允许在一个向量空间中嵌入函数调用图来捕获结构关系。Android恶意软件的结构检测。矢量表示的函数调用图使我们可以用高精度的机器学习技术来检测Android恶意软件。 本文的其余部分的结构如下：我们在第2节引进我们的分析函数调用关系图和检测Android恶意软件的方法在第3节给出了详细的评估。我们的方法的局限性和相关工作将在第4和5分别讨论。第6节总结全文。结构化的恶意软件检测我们的Android恶意软件的检测方法是基于两个关键的观察。首先，Android应用程序的恶意功能往往只集中在一小部分功能中。第二，类似的恶意代码往往是在整个恶意软件领域中被攻击者重用现有的代码来感染不同的应用程序而被发现的。因此，我们的方法力求找出函数调用图的子图来表示已知的恶意代码。然而，这并不简单，特别是为了测试两个图是否同构的多项式时间的解可能是不存在的。为此，已经开发了一些用于不精确匹配的解决方案。其中一些方法依赖于次最优的策略，例如图编辑距离或最大公共子图的鉴别，而其他的临时解决办法提出了图形结构的序列化，以此来衡量相似性。在大多数设置中，这种相似性度量后来被用在确定关闭参与者的测试样品的相邻有哪些信誉好的足球投注网站中。当谈到分级任务，基于内核的支持向量机（SVM）已被证明功能强大。图形内核已经成为一个让支持向量机在图形空间的有效运作的解决方案。总之，内核图是一个计算内部产品图的内核函数。这些内核已经在化学和生物信息学解决图形分级问题时多次提出，然而，他们在恶意软件静态分析中的适用性在很大程度上仍然未开发。有些图形内核被设计成只在未标记的图表或者在多于几百个节点的图无法估计的情况下操作。此外，许多这样的内核仅引