超级会员免费看
DroidClassifier:高效的移动恶意软件分类与检测方案
在移动应用安全领域,恶意软件的分类和检测是一项具有挑战性的任务。DroidClassifier 作为一种利用网络流量中多维应用层数据的恶意软件分类和检测方法,为解决这一问题提供了新的思路。本文将深入探讨 DroidClassifier 的原理、评估以及其在实际应用中的表现。
1. 计算分数与阈值设定
- 计算原始分数 :使用特定方法计算每个良性请求的原始分数。
- 计算 zscore 范围 :在计算良性应用的 zscore 范围时,使用之前部分中 20% 恶意软件家族的平均分数和标准差。公式为:$|zscore| = \frac{x - \overline{x} {(malware)}}{s {(malware)}}$。
- 自适应确定阈值 :利用恶意软件 zscore 范围和良性 zscore 范围,为每个恶意软件家族自适应地确定阈值。例如,对于 BaseBridge 家族,使用 20% 恶意软件样本的恶意流量,zscore 的绝对值范围为 1.0 到 1.3;而使用 BaseBridge 数据库的 20% 良性应用,该值范围为 1.5 到 10。因此,可将阈值设定为 (1.3 + 1.5) / 2 = 1.4。
2. 恶意软件检测流程
- 检测过程概述 :检测过程与聚类过程相似,但测试集扩展到包括恶意应用和 5215 个良性应用的流量。
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
