基于字符串和函数调用图特征的安卓恶意应用检测方法

作     者：高珍祯 

作者单位：北京交通大学 

学位级别：硕士

导师姓名：王伟

授予年度：2019年

学科分类：08[工学] 0839[工学-网络空间安全] 

主      题：安卓恶意应用检测 静态分析 函数调用图 字符串 

摘      要：随着移动互联网的不断发展,智能手机已经成为了人们日常生活中不可或缺的一部分,给人们的生活带来了极大的便利。用户在享受智能终端应用带来便捷的同时,也面临着日益严重的网络安全问题(个人隐私信息和财产安全的问题)。安卓系统作为当前主流的移动操作系统,毫无疑问成为了恶意应用开发者主要的攻击目标。研究如何有效地检测安卓恶意应用,具有十分重要的现实意义。刻画安卓应用的行为是进行安卓恶意应用检测至关重要的部分。很多现有的静态分析工作主要从安卓应用中提取字符串特征对应用的行为进行刻画,如权限,系统API的调用等特征;也有一部分工作使用安卓应用的结构性特征进行安卓恶意应用检测,如应用的控制流图,数据流图等特征。但是由于安卓恶意应用的行为变得越来越复杂,仅使用一类特征对应用进行检测,可能会造成较多的应用被错分。因此,本文针对字符串和函数调用图两类特征如何进行有效地协作,能达到比单类特征检测效果更好的问题进行研究。主要研究工作如下:(1)本文提取了 6类字符串特征和2类函数调用图特征来共同刻画安卓应用的静态行为。字符串特征包括应用申请的权限、硬件特征、Intent过滤器、受保护的API调用、代码相关特征及应用使用的权限;函数调用图特征包括基于敏感API和基于Dalvik指令编码的函数调用图特征。(2)本文提出将两类异构特征融合后进行安卓恶意应用检测。提出将基于敏感API的函数调用图特征得到的频率关系矩阵转化成向量,与字符串特征放于同一矩阵进行特征融合。提出将字符串与基于Dalvik指令编码的函数调用图特征的预测结果进行融合。两种方法充分地利用两类特征的分类优势,以提高安卓恶意应用检测的准确率。(3)本文使用支持向量机、k近邻、逻辑回归和随机森林4种机器学习算法对本文提取的特征进行分类性能的评估。实验结果显示,基于字符串特征的最优准确率达97.02%,基于函数调用图的最优准确率达91.93%。基于两类特征融合的最优检测率达97.79%,比仅使用字符串特征的检测率高出2.16%。基于两类特征预测结果融合的最优准确率达98.63%,假阳性率达0.72%,与仅使用字符串特征检测相比,假阳性率减少了 0.96%。实验结果证明,基于字符串和函数调用图特征协作的安卓恶意应用检测效果优于仅使用字符串或函数调用图特征进行检测的效果。