基于SVM的Android惡意代碼檢測研究.pdf

1、隨著移動互聯(lián)網(wǎng)大時代的到來，各種智能手機的發(fā)展非常迅猛，Android作為當(dāng)前市場占有率最高的智能手機操作系統(tǒng)，其相應(yīng)的應(yīng)用程序也是數(shù)量驚人。而由于其開源的特性，導(dǎo)致應(yīng)用程序開發(fā)的門檻降低，同時開發(fā)者擁有更大的自由開發(fā)空間，另外，一些應(yīng)用市場對應(yīng)用程序的審核不到位，因而產(chǎn)生了大量在Android架構(gòu)下的惡意應(yīng)用程序。在未來幾年間，應(yīng)用程序數(shù)量預(yù)計將爆炸式增長，惡意代碼的對抗手段也越來越高。而與爆炸式發(fā)展的移動應(yīng)用技術(shù)及層出不窮快速翻新的

2、惡意攻擊手段相比，傳統(tǒng)的惡意代碼檢測技術(shù)反應(yīng)略顯滯后，常常在危害發(fā)生之后才研究出應(yīng)對措施，而無法主動監(jiān)測新的惡意代碼。面對這些威脅，本課題設(shè)計了一種基于后驗概率SVM的惡意代碼分類模型，這是一種基于統(tǒng)計學(xué)的自動發(fā)掘數(shù)據(jù)規(guī)律的方法，能通過分析海量樣本的統(tǒng)計規(guī)律建立判別模型，從而讓攻擊者難以掌握免殺的規(guī)律，同時具有較強的泛化能力，對新的未知應(yīng)用有較強的檢測能力。本模型目前已在安天實驗室正式上線使用，為安全分析人員提供參考，實現(xiàn)智能化的查殺手

3、段。
　　本課題以SVM為技術(shù)基礎(chǔ)，以惡意代碼檢測為目的，實現(xiàn)對惡意代碼家族粒度的判別模型。本文的主要內(nèi)容包括數(shù)據(jù)預(yù)處理、行為規(guī)則庫的構(gòu)建以及分類模型的訓(xùn)練三個過程。首先介紹了Android操作系統(tǒng)的基本架構(gòu)，并分析了應(yīng)用程序的構(gòu)成，其中包括META-INF目錄、res目錄、AndroidManifest.xml文件，并詳細(xì)介紹了classes.dex文件的基本結(jié)構(gòu)和特征提取方法。其次，通過實驗對比了信息增益、卡方統(tǒng)計量、文檔頻率

4、三種特征選擇算法，發(fā)現(xiàn)信息增益的效果最好。本模型選擇信息增益值前5000名的特征項，通過TF-IDF計算這5000個特征項的權(quán)值，并構(gòu)建特征字典，通過特征字典，可將任一APK的classes.dex文件映射為數(shù)值型特征向量。最后針對85個活躍家族樣本，基于后驗概率的SVM模型構(gòu)建了85個二分類模型，并根據(jù)應(yīng)用場景增加了閾值調(diào)控模塊。另外，為提高模型的可靠性，分別利用樣本的權(quán)限和行為信息的頻繁項集構(gòu)建了規(guī)則庫。最后，投入真實場景使用，并根