基于静态行为特征的恶意软件检测方法与实现

发布时间：2024-02-03 03:53

　　人们在受益于移动手机带来的便携服务的同时,所面临的Android软件安全问题也愈发严峻。目前学术界针对Android恶意软件检测的研究,主要采用动、静态分析两种方法。动态分析方法能够捕获应用程序运行时状态,但其相对耗时且检测成本高;静态分析方法拥有无需实际运行应用程序、代码覆盖率高等优点,但仍存在若干不足,例如需要手动维护庞大的病毒特征库、无法对新型恶意软件做出有效识别。针对静态分析方法存在的问题,本文设计了一种面向静态行为特征建模的Android恶意软件检测方法,并实现了一套基于该方法的完整的检测系统。本系统在提取出函数调用关系图的基础上,抽象出具有更高语义且能有效区分Android恶意软件的概率特征向量,从而提高了检测恶意Android程序的准确度。具体的检测方法与实现内容有:1)本文设计的检测方法主要包括预处理、API调用序列获取、行为特征建模以及行为检测模型构建四个阶段。预处理阶段基于Soot开源框架,利用反编译技术并结合Soot的相关指令,自动、批量化地获取到Android应用程序的函数调用关系图;针对调用图存在的包含较多冗余API调用链等缺点,API调用序列获取阶段可从调用...

【文章页数】：90 页

【学位级别】：硕士

【部分图文】：

图3.18恶意代码片段对应的状态转移图

self-defined，我们对该序列应用马尔可夫链模型建模后得到的状态迁移图如图3.18所示：图3.18恶意代码片段对应的状态转移图通常，一些恶意软件开发者通过在代码中插入一些无意义的API来逃避恶意性检测。但是，由于本文设计的行为模型仅考虑从入口点到任一被调用者AP....

本文编号：3893674