基于混合模型的Android恶意行为检测技术研究

作     者：丛远东 

作者单位：哈尔滨工程大学 

学位级别：硕士

导师姓名：张国印

授予年度：2016年

学科分类：08[工学] 0839[工学-网络空间安全] 0835[工学-软件工程] 081201[工学-计算机系统结构] 081202[工学-计算机软件与理论] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：Android 机器学习 静态分析 动态分析 混合模型 

摘      要：Android操作系统是目前市场占有率最高的移动操作系统,随着用户的积累,各类Android应用不断丰富。但由于用户安全意识的薄弱和应用分发市场的混乱,恶意应用的数量也开始日益剧增。传统的恶意软件检测技术一般基于特征码匹配,不能有效的检测未知的Android应用,对Android未知应用的检测问题已经成为移动安全领域研究的热点。目前针对未知的Android应用可以通过提取特征数据采用数据挖掘算法进行检测,但单一的机器学习算法无法应对Android特征数据的多样性,也无法预知每类特征数据最适宜的分类统计算法。基于这些问题,本文设计了基于混合算法的检测模型MDHM。本文所做的主要工作如下:(1)对Android系统安全机制和恶意攻击检测技术进行了深入的研究。详细阐述了 Android系统自身的安全机制,包括进程安全、权限安全、通信安全等方面。同时还分析了常见的恶意应用攻击技术,并介绍了已有的恶意行为检测技术,对各自的优缺点进行了总结。(2)详细阐述了基于静态分析与动态分析相结合的Android应用特征数据提取方法,静态方法可以提取权限、第三方库等特征数据,并为动态分析提供运行参数;动态方法可以绕过代码混淆问题,检测运行时释放的恶意行为。本文还基于UI布局流提升了动态分析效率。(3)本文提出了基于混合算法的检测模型MDHM,针对不同类型的应用特征数据自动选择最优的机器学习算法,生成最终的恶意行为判定模型。可以有效了避免单一数据挖掘算法在解决多类特征数据时的局限性。本文还为检测模型了设计了多个扩展接口,可以通过系统迭代不断提升检测效果。本文使用动静结合的方式提取应用特征数据,基于混合算法构建了 Android恶意应用检测模型MDHM,使用Python语言、Scikit-learn机器学习库等工具加以实现,并通过实验数据验证了该检测模型的有效性。