基于SVM的Android惡意代碼檢測研究.pdf

1、隨著移動互聯(lián)網(wǎng)大時代的到來，各種智能手機的發(fā)展非常迅猛，Android作為當前市場占有率最高的智能手機操作系統(tǒng)，其相應的應用程序也是數(shù)量驚人。而由于其開源的特性，導致應用程序開發(fā)的門檻降低，同時開發(fā)者擁有更大的自由開發(fā)空間，另外，一些應用市場對應用程序的審核不到位，因而產生了大量在Android架構下的惡意應用程序。在未來幾年間，應用程序數(shù)量預計將爆炸式增長，惡意代碼的對抗手段也越來越高。而與爆炸式發(fā)展的移動應用技術及層出不窮快速翻新的

2、惡意攻擊手段相比，傳統(tǒng)的惡意代碼檢測技術反應略顯滯后，常常在危害發(fā)生之后才研究出應對措施，而無法主動監(jiān)測新的惡意代碼。面對這些威脅，本課題設計了一種基于后驗概率SVM的惡意代碼分類模型，這是一種基于統(tǒng)計學的自動發(fā)掘數(shù)據(jù)規(guī)律的方法，能通過分析海量樣本的統(tǒng)計規(guī)律建立判別模型，從而讓攻擊者難以掌握免殺的規(guī)律，同時具有較強的泛化能力，對新的未知應用有較強的檢測能力。本模型目前已在安天實驗室正式上線使用，為安全分析人員提供參考，實現(xiàn)智能化的查殺手

3、段。
　　本課題以SVM為技術基礎，以惡意代碼檢測為目的，實現(xiàn)對惡意代碼家族粒度的判別模型。本文的主要內容包括數(shù)據(jù)預處理、行為規(guī)則庫的構建以及分類模型的訓練三個過程。首先介紹了Android操作系統(tǒng)的基本架構，并分析了應用程序的構成，其中包括META-INF目錄、res目錄、AndroidManifest.xml文件，并詳細介紹了classes.dex文件的基本結構和特征提取方法。其次，通過實驗對比了信息增益、卡方統(tǒng)計量、文檔頻率

4、三種特征選擇算法，發(fā)現(xiàn)信息增益的效果最好。本模型選擇信息增益值前5000名的特征項，通過TF-IDF計算這5000個特征項的權值，并構建特征字典，通過特征字典，可將任一APK的classes.dex文件映射為數(shù)值型特征向量。最后針對85個活躍家族樣本，基于后驗概率的SVM模型構建了85個二分類模型，并根據(jù)應用場景增加了閾值調控模塊。另外，為提高模型的可靠性，分別利用樣本的權限和行為信息的頻繁項集構建了規(guī)則庫。最后，投入真實場景使用，并根