超级会员免费看
结合权限和 API 特征的安卓恶意软件分类器研究
1. 研究概述
在安卓恶意软件检测领域,机器学习技术被广泛应用,但随着安卓应用的不断变化,模型的检测能力往往会随时间下降。为解决这一问题,研究人员计划构建两个使用相同机器学习分类算法的模型,并采用软投票(Soft Voting)来判断 APK 是否为恶意软件。其主要贡献包括:
- 开发一个安卓恶意软件检测系统,以权限和 API 作为特征,通过两者之间的关系将它们结合起来,并使用线性模型学习组合的权重。
- 利用 2012 年至 2019 年的样本测试原始 API、权限以及该研究检测能力的可持续性。实验结果表明,与仅使用 API、仅使用权限或其他相关研究相比,该研究总体上具有更高的 F1 - Score 和 AUT。
2. 相关研究
2.1 MaMaDroid
MaMaDroid 通过抽象 API 来减少新旧样本特征之间的变化。它有两种不同抽象程度的操作模式:
- 家族模式(Family Mode):将 API 抽象为 API 家族,例如“java.lang.Throwable: String getMessage()”会变成“java”。
- 包模式(Package Mode):将 API 抽象到包级别,例如“java.lang.Throwable: String getMessage()”会变成“java.lang”。
在特征处理方面,MaMaDroid 首先从 APK 文件中获取函数调用图(FCG),然后将 FCG 中的 API 抽象为家族或包,接着使用马尔可夫链计算每个抽象 API 转换到另一个抽象 API 的概率,这个概率就是特征值。作
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
