14、嵌入式系统中安卓恶意软件家族分类的机器学习方法

嵌入式系统中安卓恶意软件家族分类的机器学习方法

1. 引言

嵌入式系统因缺乏执行安全应用所需的计算资源，易受网络攻击。且市场对嵌入式系统需求激增，厂商为缩短上市时间常忽视安全要求。安卓智能手机作为广泛使用的嵌入式系统，多数设备运行旧版本系统，这使其成为恶意软件作者的目标。如今，大部分移动恶意软件针对安卓设备，如2018年安卓勒索软件感染率较上一年增长33%。

基于签名的杀毒软件难以检测使用逃避和混淆技术的移动恶意软件，这些技术包括代码和资源混淆以及虚拟环境检测。混淆技术的使用促进了已知恶意软件变种的传播，将常见混淆技术结合可使反恶意软件产品的检测率从95%降至40%。

为应对恶意软件的发展，恶意软件分析领域也在不断进步，除了恶意软件检测，恶意软件家族分类成为一个重要的研究方向。同一家族的恶意软件样本具有相似行为、利用相同漏洞和有相同目标，通过家族分类可快速判断未知样本是否为已知恶意软件的变种。这有助于分析师聚焦全新恶意应用，避免在分析类似样本上浪费时间。

恶意软件分析主要有静态和动态两种方法。静态方法不执行样本，但对混淆技术效果不佳，无法跟踪运行时的自我修改和网络流量；动态方法通过在受控环境中执行样本来克服这些限制。

本文聚焦安卓恶意软件家族分类，提出了AndroDFA方法，该方法基于动态分析，自动执行安卓应用并模拟用户输入，收集资源消耗指标，经过处理后用于家族分类。

2. AndroDFA与DroidScribe对比

目前基于动态分析的安卓恶意软件家族分类的重要工作是DroidScribe，将AndroDFA与DroidScribe在相同数据集上进行广泛实验评估，结果显示AndroDFA具有以下