基于机器学习的Android恶意代码检测研究.pdf

重庆大学硕士学位论文 中文摘要 摘 要 随着智能通信技术的不断发展，智能移动终端已经成为人类社会必不可少的 工具之一。Android 系统由于其开放性等优点已成为智能终端的主流操作系统，其 市场占有率达到了84.2% 。Android 系统的普及性使得越来越多的攻击者将Android 系统作为攻击目标，Android 应用市场中的恶意软件也层出不穷。因此，研究有效 的Android 恶意代码检测方法来保护用户信息安全是非常必要的。 现有的Android 恶意代码检测方法从是否需要运行Android 应用软件的角度分 类，可以分为静态检测、动态检测以及动静态结合检测。现有的静态检测技术的 优点是检测速度快，但静态检测技术无法准确地检测出使用了加壳技术、动态加 载技术和代码混淆技术的恶意代码。动态检测方法可以有效的检测含有加壳、动 态加载或代码混淆技术的恶意代码，但是动态检测方法的代码覆盖率低，有时无 法捕捉到恶意行为。动静态结合的检测方法同时收集Android 应用的静态特征和动 态特征，并使用这些特征训练分类器，可以取得更好的检测效果。 本文通过对现有的Android 恶意代码检测算法进行分析，结合Android 系统的 架构和Android 应用安装包的结构，对Android 恶意代码检测展开了研究，主要内 容如下： ① 为解决传统的静态检测算法无法准确的识别使用了代码混淆的Android 恶 意代码的问题，提出了一种基于API 调用序列的Android 恶意代码静态检测算法。 该算法使用改进的GSP 算法选择关键的API 调用序列作为特征。利用特征训练分 类模型，能够有效地检测使用了代码混淆技术的恶意代码。 ② 为解决动态检测中代码覆盖率低的问题，提出了一种基于系统调用序列的 Android 恶意代码的动态检测算法。该算法首先使用组件遍历的方式从运行的 Android 程序中提取系统调用序列，提高了代码覆盖率。然后使用马尔可夫链对系 统调用序列进行建模，通过对系统调用之间依赖关系的描述进一步提高了检测准 确率。 ③ 为了进一步提高检测的准确率，在以上提出的静态检测方法和动态检测方 法的基础上，设计了一种基于旋转森林的Android 恶意代码检测系统。该系统结合 了动态检测和静态检测的优点，通过集成学习将两者的检测结果进行结合，提高 了检测系统的准确率。 ④ 搭建了实验环境，对提出的静态检测算法、动态检测算法以及动静态结合 的检测算法进行了实验。实验使用从drebin 数据库中获取的1500 个恶意应用和在 Google Play 获取的1500 个正常应用作为样本进行了测试，并在动静态结合的实验 I 重庆大学硕士学位论文 中文摘要 中达到了98.31%的检测率。 关键词：Android 应用；机器学习；集成学习；静态分析；动态分析 II 重庆大学硕士学位论文 英文摘要 Abstract With the continuous development of intelligent communication technology, smart mobile terminal had become one of the indispensable tools of human society. Android system had become the mainstream operating system of smart terminal because of its openness and other advantages, and its market share had reached 84.2%.