基于智能移動終端的惡意應用檢測研究.pdf

1、近年來，智能移動終端的惡意應用程序的種類和數(shù)量急速增長。智能移動終端的惡意應用的檢測技術研究越來越受關注。傳統(tǒng)的檢測方法是基于先驗特征進行匹配檢測，對于已知類型的變種及新型惡意程序難以進行有效的檢測。利用機器學習方法對惡意應用程序進行分類檢測，不僅可以有效的檢測已知惡意應用程序，對已知惡意應用程序的變種和新型惡意程序也有很好的檢測效果。本文在學習現(xiàn)有惡意應用檢測技術的基礎上，提出一種基于多維特征機器學習的智能移動終端惡意應用檢測方案，從

2、界面組件相對頻度、權限聲明信息和API調用信息這三個特征維度對惡意應用程序進行特征參數(shù)提取及分類，并對分類結果進行加權投票，給出綜合判定結果。
　　本文的主要工作及創(chuàng)新點如下:
　　1、提出了一個基于多維特征機器學習的智能終端惡意應用聯(lián)合檢測方案。對于待檢測的應用程序進行多維度特征提取，并通過構建相互獨立的分類器進行決策。利用集成學習的原理，將分類器的決策結果加權投票后給出判決結果。根據分類器檢測準確率設定權重系數(shù)，充分發(fā)揮

3、單個分類器的優(yōu)勢，用于提升惡意代碼檢測準確率。
　　2、提出了基于不同特征的分類器構建方法:采用基于深度優(yōu)先遍歷算法的遞歸搜索提取各類組件基于界面組件相對頻度特征參數(shù)并構建分類器;采用基于字符串匹配的Boyer-Moore匹配搜索算法提取程序中出現(xiàn)的權限聲明信息頻度特征參數(shù)并構建分類器;基于n-gram算法的文本搜索算法提取信息增益最大的前20個API的調用次數(shù)特征參數(shù)并構建分類器。
　　3、設計并實現(xiàn)了一個基于多個維特征機

4、器學習的智能移動終端惡意應用檢測系統(tǒng)。整個系統(tǒng)分為三個功能模塊:應用程序逆向模塊、特征提取模塊和聯(lián)合檢測模塊。利用應用程序逆向模塊，逆向分析應用程序，獲取程序的源碼文件;利用特征提取模塊從源碼文件提取界面組件相對頻度特征、權限聲明信息特征和API調用信息特征;利用聯(lián)合檢測模塊構建分類器并對待測應用程序進行分類判決，對判決結果加權投票后給出最終的檢測結果。
　　4、從豌豆莢應用市場和惡意應用程序樣本庫中選擇測試樣本進行測試。經測試表