Scribd Logo
Upload

Welcome to Scribd!

  • 安卓恶意软件检测

    Uploaded by

    qtiying
    1 views16 pages

    Copyright

    © © All Rights Reserved

    Available Formats

    PPTX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    1 views16 pages

    安卓恶意软件检测

    Uploaded by

    qtiying

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 16

    安卓恶意软件检测

    汇报人:钱提鹰
    目录
    CONTENTS

    项目概述 项目进展

    项目难点 未来计划
    01
    项目概述
    项目概述

    基于安卓市场大量恶意软件涌现的情况,提出一种较为先进的恶意软
    件检测方法。该检测方法对比目前市面上已有的检测方法具有以下特点中的一
    条或多条:
    1 、检测效率更高(对于同样数量的 APK ,检测速度更快,并且检测准确率差点击请替换文字内容
    请替换文字内容,添加相关标题,修改文字内
    距在可以接受范围内) 容,也可以直接复制你的内容到此。

    2 、针对特定类型的攻击检测准确率更高(可能整体的准确率不如市面上好的
    检测方法,但是针对特定的攻击,例如 SMS 攻击、电话窃听等恶意行为检测效
    点击请替换文字内容 点击请替换文字内容
    果更好)
    3 、精准识别出 APK 的恶意家族及其恶意行为(应该属于较为新兴的方向,可
    以继续深挖,提高恶意家族检测的准确性等)
    02
    项目进展
    项目进展

    1 、现有项目:对于原先的项目进行了改进与推进,准确率较为平庸,且检测
    效率可能受到硬件以及版本的限制并不高;根据 2019 的 ICSE 上的文章,该文
    章的检测效率已经达到:
    点击请替换文字内容
    请替换文字内容,添加相关标题,修改文字内
    容,也可以直接复制你的内容到此。

    想要在此基础上提高效率或许较为困难。
    2 、对于一些较好的、较有参考价值的论文,仍然较难获取其代码(包括在原
    文中搜索链接,或者在 github 上搜索),最终仅有近期找到的一两份源码,准
    备进行测试与研究。一些较老的论文的网站已经失效,但是在寻找源代码的过
    程中,找到了一些较好的工具网站,以及一个具有大量恶意样本的网站,但是
    需要向该网站申请注册权限( https://virusshare.com/ )。
    03
    项目难点
    项目难点

    1 、如上一节所说,在现有的学术环境下继续追求效率的提高或许意义并不
    大,因为目前较为先进的工作的准确率和效率都是相当高的(准确率至少都在
    95 以上,而检测时间都在 10 秒以内。如果说我对于某一类特定的恶意行为检
    测效率能够缩短 1-2 秒,是否具有研究价值? 点击请替换文字内容
    请替换文字内容,添加相关标题,修改文字内
    2 、许多具有研究价值的论文的源码获取有些困难 容,也可以直接复制你的内容到此。

    3 、如果按照原先的思路,即针对已有的工作,改进准确率或效率,那么仅仅
    是对特征进行降维可能欠缺技术性,需要寻找新的突破点(从准确率和效率出
    发或许不太可靠)
    04
    未来计划
    未来计划
    1 、阅读恶意家族相关论文,从恶意家族入手,将恶意攻击细化分析。例如
    2019 论文 DBank ,专门设计了一款检测 APK 是否是银行木马的系统,发表于
    TDSC 上。则在此基础上,需要进行的工作有:
    ① 阅读恶意家族相关的论文
    ② 寻找恶意家族相关数据集 点击请替换文字内容

    ③ 复现 1-2 个恶意家族细粒度检测的代码 请替换文字内容,添加相关标题,修改文字内


    容,也可以直接复制你的内容到此。

    ④ 寻找现有恶意家族相关工作的不足,提出创新点
    2 、结合已有的代码材料,修改部分代码使其更加具有独特性,而非仅仅只是
    由提取的特征进行判断良性恶意的普通系统。

    我认为目前安卓恶意检测部分仍然具有挖掘价值的部分有:恶意家族(综合恶
    意家族分析或特定恶意攻击检测)、细粒度分析、重打包(不是特别了解)、
    抗混淆能力
    论文及数据集研究
    DBank 论文分析:

    1.DBank 是什么?
    利用一个新的 Android 银行木马 (abt) 、其他 Android 恶意软件和商品的数据
    集,我们开发了 DBank 系统来预测给定的 Android APK 是否为银行木马。 点击请替换文字内容
    请替换文字内容,添加相关标题,修改文字内
    容,也可以直接复制你的内容到此。

    2 、主要创新点?
    TSG ( tradic suspicion graph )三元组,开发出新的特征空间。

    3 、效果?
    DBank 预测 APK 是否为银行木马的总体准确率高达 99.9% 的 AUC 和 0.3% 的
    假阳性率。(另外, DBank 有能力在其他现有供应商之前在野外发现新的东
    西)
    论文及数据集研究
    TSG:
    B: 银行木马
    G: 良性软件
    w: 权重(根据公式
    边上的权值计算) 点击请替换文字内容
    请替换文字内容,添加相关标题,修改文字内
    容,也可以直接复制你的内容到此。
    论文及数据集研究
    TSG 窗口特征生成
    根据 TSG 以及计算公式生成了怀疑分数和怀疑等级,然后进行去噪处理。

    点击请替换文字内容
    请替换文字内容,添加相关标题,修改文字内
    容,也可以直接复制你的内容到此。

    右图为使用特征与各类机器
    学习方法结合进行的实验结

    论文及数据集研究
    DBank 论文总结以及感想

    1 、如何进行恶意家族,以及更加粒度更高的恶意检测?

    2 、证明了以下的检测活动过程的可行性: 点击请替换文字内容

    ① 搜集数据集 请替换文字内容,添加相关标题,修改文字内
    容,也可以直接复制你的内容到此。

    ② 分析特征( AndroidManifest,API 包, API 类,动态特征【不考虑】,以及


    自己定义新的可行的特征空间)
    ③ 与一些流行的机器学习方法结合,进行恶意检测
    ④ 研究对抗性(难点)
    ⑤ 研究特定恶意家族的特征分析(例如,进行某一特定恶意家族的最主要的恶
    意特征与良性软件的比较?)
    论文及数据集研究
    数据集研究发现:
    1.virusshare 网站(已申请权限,数据量较大,下载分析中)

    2.virustotal ( DBank 使用,较为权威,且提供 APK 恶意分析检测,但是似乎需要高级会员才能下


    载) 点击请替换文字内容
    请替换文字内容,添加相关标题,修改文字内
    容,也可以直接复制你的内容到此。
    论文及数据集研究
    数据集研究发现:
    3.debrin 数据集(较为权威,需要发送邮件)

    4.Androzoo( 待开发与研究,几个 link 已挂 )


    点击请替换文字内容

    主要选择前三类: virusshare 、 virustotal 、 debrin 数据集 请替换文字内容,添加相关标题,修改文字内


    容,也可以直接复制你的内容到此。

    未来工作:
    ①DBank 源码研究
    ② 新特征空间探索
    (可以根据 virustotal 上的
    新变种发现来寻找灵感)
    ③ 数据集下载与分类

    You might also like