資源描述:
《學習報告-利用機器學習方法進行安卓惡意軟件檢測》由會員上傳分享��,免費在線閱讀���,更多相關內容在教育資源-天天文庫��。
1���、Titel(論文題目):EMULATORvsREALPHONE:AndroidMalwareDetectionUsingMachineLearningAuthors(作者):MohammedK.Alzaylaeemalzaylaee01@qub.ac.ukSuleimanY.Yerimas.yerima@qub.ac.ukSakirSezers.sezer@qub.ac.ukCentreforSecureInformationTechnologies(CSIT)Queen’sUniversityBelfastBelfast,NorthernIrelandPublishedin(發(fā)表在):I
2、WSPA'17:Proceedingsofthe3rdACMonInternationalWorkshoponSecurityAndPrivacyAnalyticsAbstract(摘要):論文介紹了一種基于機器學習方法的Android惡意軟件檢測研究�����。(采用在真實設備上的動態(tài)分析)一種工具被用來實施從Android手機和幾項試驗中自動提取動態(tài)特征的工具����;一項對比分析(基于仿真器和基于真實設備)����,檢測手段用到了幾種機器學習算法。實驗結果表明:相比仿真器�,在真實設備(手機)上的一些特征能夠被更高效地提取,動態(tài)分析�。近24%的app成功在手機上被分析。研究中用到的所有基于機器學習的惡意軟件檢測
3、方法�����,都在設備(手機)動態(tài)分析上表現更佳���。Keywords(關鍵詞):Android;Malware;Malwaredetection;Anti-analysis;Antiemulation;MachineLearning;Device-baseddetectionIntroduction(引言):省略PHONEBASEDDYNAMICANALYSISANDFEATUREEXTRACTION(基于手機的動態(tài)分析和特征提取)為了應用機器學習方法分類和檢測惡意APP����,就需要一個platfrom來從app中提取特征�。本實驗目的是為了比較基于仿真器的檢測,和基于設備的檢測����,故需要從這兩種環(huán)境下都提
4、取特征�����,為下一步監(jiān)督學習做準備����。對于仿真器,我們采用DynaLog動態(tài)分析框架�。大體框架:自動接收大量app���,在仿真器上連續(xù)運行,記錄動態(tài)行為(特征)�����,提取�����。DynaLog組件包括一個基于仿真器分析的沙盒�����,一個APK設備模塊����,行為(特征)記錄和提取�,App觸發(fā)/實驗程序,記錄解析�����,處理腳本��。DynaLog使每個app的必要API都能夠被監(jiān)控,記錄���,提?��。◤姆抡嫫鳎谶\行中)為了能在手機上進行動態(tài)分析和特征提取����,DynaLog框架需要被擴展,用一個基于Python的工具:1�����、推一張contacts表給設備的SD卡��,再導出他們(adbshellcommand)填充到手機的contact表中����。2
5、���、找到并卸載所有第三方app�����,在安裝待分析(提取特征)app之前����。3、關閉飛行��。Monkey(theappexercisertool)4��、電量5�����、向外撥號(adbshell)6����、向外發(fā)送消息(adbshell)7、向SD卡中填充其它�,如虛擬文件夾:圖像文件,pdf��,text文件等���。每個app被安裝,并運行300秒在仿真器上(然后在手機上進行第二次實驗)��,行為都被記錄和解析(through提取特征的腳本)實驗所用到的特征包括,API調用�,Intent(關鍵事件的信號)APIcallsignatures使API能夠被記錄和提取viaadblogcat,當app運行時����。對于-包含反仿真器方法的惡
6、意app��,提取的API調用就是那些能夠使他們暴露出來的惡意行為不被記錄��,Methodologyandexperiments(方法和實驗)本部分描述實驗方法(被用來評估檢測和提取特征的環(huán)境有效性)以及機器學習算法在手機和仿真器上的分析性能Dataset(數據集)實驗所用數據集包含2444個Androidapp�,其中1222個惡意樣本(來自49種類型,Androidgenomeproject)�,剩余1222個良性樣本(來自InterSecurity,McAfeeLabs)Environmentconfigurations(環(huán)境配置)Phone:ElephoneP6000,Android5.0L
7�、ollipop,1.3GHzCPU,16GBinternalmemory,32GofexternalSDcardstorage.Emulator:SantokuLinuxVirtualBox(Andriod虛擬設備),2GB內存�����,8GB外部SD卡�����,4.1.2JellyBean(APIlevel16)特征使由app決定的��,不受Andriod版本的影響Featuresextraction(特征提取)特征表示成向量輸出、每個特
