安卓恶意软件检测

汇报人：钱提鹰
 目录
CONTENTS

论文总结 数据集分析

恶意家族分析 未来计划
 01
论文总结
论文总结
1 、重点关注 evaluation 部分以及 Introduction 部分，大部分论文的最终目的
都是为了力证：
① 自己的方法的创新点的实验效果，例如 Homdroid 中

点击请替换文字内容
DBank 中使用了 TSG 后的检测木马的效率提升 请替换文字内容，添加相关标题，修改文字内
容，也可以直接复制你的内容到此。
② 自己的方法与一到两个较为先进的同领域的相关工作的对比
③ 自己的方法与 baseline 的比较（最常用的为 Drebin ， MAMADROID
等）
点击请替换文字内容 点击请替换文字内容

④ 自己的方法中，对创新点最为有利的特征空间
⑤ 准确性、性能分析等
论文总结
2 、论文的出发点

① 对某一类恶意行为有了新的检测方法
（ 1 ）以往的检测内容重点针对静态，现在假如动态互动检测
（ FraudDroid ）
（ 2 ）开发了新的特征空间（大多数是根据 API 调用），提出新的检测方法 点击请替换文字内容
请替换文字内容，添加相关标题，修改文字内
（很多时候会基于图论知识）（ DBank ） 容，也可以直接复制你的内容到此。

② 对某一类新的（没有太多关注的）恶意行为有了研究（ HomDroid ）
③ 做一般性的恶意检测系统，但是有创新点
点击请替换文字内容 点击请替换文字内容
（ 1 ）结合最新技术（ SEALANT ）
（ 2 ）使用自己的新方法（很多也是基于图论知识）（ Graph Embedding
based Familial Analysis of Android Malware using Unsupervised
Learning ）

总结：需要注重的点①恶意家族、行为②特征空间的开发③机器学习方法不需
 02
数据集分析
数据集分析
大部分论文会在评测部分给出研究领域先进的例子，并与之对比，下面给出几个比较
感兴趣的例子 :
(1) 一般方法的实现

点击请替换文字内容
请替换文字内容，添加相关标题，修改文字内
容，也可以直接复制你的内容到此。
数据集分析
大部分论文会在评测部分给出研究领域先进的例子，并与之对比，下面给出几个比较
感兴趣的例子 :
(2) 新型恶意行为检测

点击请替换文字内容
请替换文字内容，添加相关标题，修改文字内
容，也可以直接复制你的内容到此。
数据集分析
大部分论文会在评测部分给出研究领域先进的例子，并与之对比，下面给出几个比较
感兴趣的例子 :
(3) 对某一现有的，相对已经有一些研究工作的恶意行为 / 家族

点击请替换文字内容
请替换文字内容，添加相关标题，修改文字内
容，也可以直接复制你的内容到此。

总结：
（ 1 ）一些较好的 baseline: Drebin,mamadroid,geonproject( 有提供下载数据 )
（ 2 ） Androzoo, virustotal 也是常客
（ 3 ）有不少知名工作已经停止提供检测方法与数据集，可能需要协调（可以参考近两年顶会内容）
 03
恶意家族分析
恶意家族分析

现状：
HomDroid: Detecting Android Covert Malware by Social-Network
Homophily Analysis 一文是发现了新型恶意软件（ covert 恶意软件），这种
方向较为困难，而现有的 baseline 方法大多较为完善，因此考虑 DBank 或是 点击请替换文字内容
FraudDroid 这类模型，对某一类型的已有的恶意家族进行研究。

首先，对这两类工作进行简单的对比：
（ 1 ）寻找新的恶意行为 / 家族：创新要求高，但是文章不需要进行太多额外
的测试，难度较高，但是文章构建较为简单，说明清楚方法以及实验即可
（ 2 ）对已有的恶意家族进行检测：要求更高的精度，或者在一些数据集上比
baseline 更好，最好有新的特征空间以及鲁棒性测试
恶意家族分析
Drebin 数据集恶意家族分析：

点击请替换文字内容
请替换文字内容，添加相关标题，修改文字内
容，也可以直接复制你的内容到此。
恶意家族分析

Drebin 数据集恶意家族分析（ 1 ）—— DBank 的思考

DBank 中对于 ABT 拥有五个分类，但是在 Drebin 中这五类是没有分类出来的，那么
DBank 的五类家族（ FakeToken 、 Svpeng 、 Asacub 、 BankBot 和 Marcher ）应当是
从一些其他同领域文献中获取的。这可以作为参考方向，选择某一个家族之后搜索相关文
献，查看是否有相关家族文献。 点击请替换文字内容

其次，对于同领域、同一恶意家族的分析可以不局限于 Andorid ，例如 DBank 中还与桌面

应用上的 BANKING TROJAN 应用检测进行了对比。
恶意家族分析

Drebin 数据集恶意家族分析（ 2 ）——对于高频出现的恶意家族已有的研究？

为何相关研究这么少？

猜想：由于出现频率过高，所有一般方法可能都对它进行了检测，且达到相当高的检测准确
率，因此研究价值不高，例如 DBank 中的 ABT ，虽然在 DREBIN 的数据集中并不多，但
仅仅在 DREBIN 中也存在四类
恶意家族分析

Drebin 数据集恶意家族分析（ 2 ）——对于高频出现的恶意家族已有的研究？

事实上，根据家族名来搜索相关的文献时，几乎很难搜索到相关文献

领域内较为火热的关键词：
（ 1 ） malware family
（ 2 ） permission
（ 3 ） trojan
（ 4 ） ad fraud
（ 5 ） frame
 04
未来计划
未来计划
几种可能可行的方案
（ 1 ） 继 续 寻 找 类 似 FraudDroid 和 DBank 的 可 挖 掘 的 单 一 方 向 （ AD-FRAUD ， BANKING
TROJAN ）
优点：流程相对清晰，可以有较多的文献参考，进行对比工作更有说服力，且相关工作并不特别多
（相比于一般方法，以及 api 调用、权限等工作）
点击请替换文字内容
缺点：可能较难寻找（ SMS ？ : 从恶意家族角度出发解决 SMS 安全威胁？）
（ 2 ）针对高频出现的恶意家族下手，备选有 fakeintaller 、 droidkungfu 、 plankton ，恶意家族
前十均可，直接将其作为研究命题
（ 3 ）轻量级、针对高频恶意家族的恶意检测分类方法（对于最热门的 TOP10 恶意家族可以进行快
速分类，由于它们出现最多，因此相对最为重要，也应该较为容易分析）【针对 TOP10 恶意家族的
轻量级高效恶意检测模型】
（ 4 ）考虑权限、 API 调用、 INTENT 与 family 的关系，是否可以开发出更加轻量级的 family 分类
方法？这种为一般方法的开发，但是可能相关工作较多 (Significant Permission Identification for
Machine-Learning-Based Android Malware Detection.IEEE T RANSACTIONS ON
INDUSTRIAL INFORMATICS)