71、DroidClassifier：高效的移动恶意软件分类与检测系统

DroidClassifier：高效的移动恶意软件分类与检测系统

1. 引言

在移动应用安全领域，恶意软件的检测和分类是至关重要的工作。为了应对恶意软件家族内的变体问题并提高测试效率，我们提出了DroidClassifier系统。该系统旨在区分良性和恶意流量，并能根据HTTP流量信息自动将恶意软件分类到不同家族。

2. 相关工作

网络流量分析在监控应用程序运行时行为方面发挥着重要作用。通过执行目标应用程序来观察其活动并收集相关数据，可用于分析运行时行为。收集到的流量信息可用于敏感信息泄漏分析、基于网络行为的分类或自动检测恶意软件。以下是一些相关的恶意软件检测方法：
- Shabtai等人 ：提出了基于主机的Android机器学习恶意软件检测系统，主要针对重新打包攻击，认为某些良性行为的偏差可视为恶意行为。
- Narudin等人 ：开发了基于TCP/HTTP的恶意软件检测系统，提取基本信息（如IP地址）、基于内容、基于时间和基于连接的特征来构建检测系统，但只能判断应用是否恶意，无法对恶意软件进行家族分类。
- FIRMA ：根据网络跟踪对未标记的恶意软件样本进行聚类，为每个恶意软件家族生成网络签名用于检测。
- Anshul等人 ：提出使用网络流量的恶意软件检测系统，提取恶意软件流量的统计特征，并选择决策树作为分类器构建系统，同样只能判断应用是否恶意。
- Aresu等人 ：使用流量创建恶意软件簇并从中提取签名来检测恶意软件。

我们的D