基于APK签名信息反馈的Android恶意应用检测

doi:10.11959/j.issn.1000-436x.2017095

通信学报 ›› 2017, Vol. 38 ›› Issue (5): 190-198.doi: 10.11959/j.issn.1000-436x.2017095

基于APK签名信息反馈的Android恶意应用检测

刘新宇,翁健,张悦,冯丙文,翁嘉思

暨南大学信息科学技术学院，广东广州510632

修回日期:2017-03-09 出版日期:2017-05-01 发布日期:2017-05-28
作者简介:刘新宇（1990-），男，湖南衡阳人，暨南大学硕士生，主要研究方向为智能移动端安全与网络安全。|翁健（1976-），男，广东茂名人，博士，暨南大学教授、博士生导师，主要研究方向为密码学与信息安全。|张悦（1990-），男，陕西榆林人，暨南大学博士生，主要研究方向为信息安全与智能移动端安全。|冯丙文（1985-），男，山东东营人，博士，暨南大学讲师，主要研究方向为多媒体安全与数字取证。|翁嘉思（1994-），女，广东汕尾人，暨南大学硕士生，主要研究方向为密码学与云安全。
基金资助:
国家自然科学基金资助项目(61133014);国家自然科学基金资助项目(61272413);国家自然科学基金资助项目(61373158);国家自然科学基金资助项目(61472165);广东省应用型科技研发专项基金资助项目(2016B010124009)

Android malware detection based on APK signature information feedback

Xin-yu LIU,Jian WENG,Yue ZHANG,Bing-wen FENG,Jia-si WENG

College of Information Science and Technology,Jinan University,Guangzhou 510632,China

Revised:2017-03-09 Online:2017-05-01 Published:2017-05-28
Supported by:
The National Natural Science Foundation of China(61133014);The National Natural Science Foundation of China(61272413);The National Natural Science Foundation of China(61373158);The National Natural Science Foundation of China(61472165);Key Program for Guangdong Province Applied Science and Technology R&D Special Funds(2016B010124009)

摘要/Abstract

摘要：

提出一种新的基于APK签名信息反馈的Android恶意应用检测方法（SigFeedback）。该方法在SVM分类算法的基础上采用启发式规则学习的方式对特征值进行提取，并对检测集中的 APK 签名信息进行验证筛选，实现了启发式反馈，达到更加准确地检测恶意应用的目的。SigFeedback 检测算法具有检测率高、误报率低的特点。最后通过实验显示SigFeedback算法具有较高的效率，且能使误报率从13%降低到3%。

关键词: 误报率, 恶意应用, 启发式学习, 有效性, 检测率

Abstract:

A new malware detection method based on APK signature of information feedback (SigFeedback) was proposed.Based on SVM classification algorithm,the method of eigenvalue extraction adoped heuristic rule learning to sig APK information verify screening,and it also implemented the heuristic feedback,from which achieved the purpose of more accurate detection of malicious software.SigFeedback detection algorithm enjoyed the advantage of the high detection rate and low false positive rate.Finally the experiment show that the SigFeedback algorithm has high efficiency,making the rate of false positive from 13% down to 3%.

Key words: false positive rate, malicious application, heuristic learning, effectiveness, detection rate

中图分类号:

TP309.1

刘新宇,翁健,张悦,冯丙文,翁嘉思. 基于APK签名信息反馈的Android恶意应用检测[J]. 通信学报, 2017, 38(5): 190-198.

Xin-yu LIU,Jian WENG,Yue ZHANG,Bing-wen FENG,Jia-si WENG. Android malware detection based on APK signature information feedback[J]. Journal on Communications, 2017, 38(5): 190-198.

图/表 7

图1

图2

表1

图3

图4

图5

表2

参考文献 19

[1]	WEI F , ROY S , OU X ,et al. Amandroid:a precise and general inter-component data flow analysis framework for security vetting of Android apps[C]// ACM SIGSAC Conference on Computer and Communications Security. ACM, 2014: 1329-1341.
[2]	WU S , WANG P , LI X ,et al. Effective detection of Android malware based on the usage of data flow APIs and machine learning[J]. Information & Software Technology, 2016,75(C): 17-25.
[3]	CAO Y , FRATANTONIO Y , BIANCHI A ,et al. EdgeMiner:Automatically detecting implicit control flow transitions through the Android framework[C]// Network and Distributed System Security Symposium. 2015.
[4]	QIAN Q , CAI J , XIE M ,et al. Malicious behavior analysis for Android applications[J]. International Journal of Network Security, 2016,18(1): 182-192.
[5]	文伟平, 梅瑞, 宁戈 ,等. Android恶意软件检测技术分析和应用研究[J]. 通信学报, 2014,35(8): 78-86.
	WEN W P , MEI R , NING G ,et al. Malware detection technology analysis and applied research of Android platform[J]. Journal on Communications, 2014,35(8): 78-86.
[6]	ZHENG M , SUN M , LUI J C S . Droid analytics:a signature based analytic system to collect,extract,analyze and associate Android malware[C]// IEEE International Conference on Trust,Security and Privacy in Computing and Communications. IEEE Computer Society, 2013: 163-171.
[7]	秦中元, 王志远, 吴伏宝 ,等. 基于多级签名匹配算法的 Android恶意应用检测[J]. 计算机应用研究, 2016,33(3): 891-895.
	QIN Z Y , WANG Z Y , WU F B ,et al. Android malware detection base on muti-level signature matching[J]. Application Research of Computer, 2016,33(3): 891-895.
[8]	卿斯汉 . Android安全研究进展[J]. 软件学报, 2016,27(1): 45-71.
	QING S H . Research progress on Android security[J]. Journal of Software, 2016,27(1): 45-71.
[9]	ARP D , SPREITZENBARTH M , HUBNER M ,et al. DREBIN:effective and explainable detection of Android malware in your pocket[C]// Network and Distributed System Security Symposium. 2014.
[10]	FAN R E , CHANG K W , HSIEH C J ,et al. LIBLINEAR:a library for large linear classification[J]. Journal of Machine Learning Research, 2008,9(9): 1871-1874.
[11]	JOACHIMS T , . Text categorization with support vector machines:learning with many relevant features[C]// European Conference on Machine Learning. Berlin Heidelberg, 1998: 137-142.
[12]	苗夺谦, 胡桂荣 . 知识约简的一种启发式算法[J]. 计算机研究与发展, 1999,36(6): 681-684.
	MIAO D Q , HU G R . A heuristic algorithm for deduction of knowledge[J]. Journal of Computer Research & Development, 1999,36(6): 681-684.
[13]	HART P E , NILSSON N J , RAPHAEL B . A formal basis for the heuristic determination of minimum cost paths[J]. IEEE Transactions on Systems Science & Cybernetics, 1968,4(2): 100-107.
[14]	PEARL J . Heuristics:intelligent search strategies for computer problem solving[M]. Addison-Wesley Pub. Co, 1984.
[15]	杨文 . 基于支持向量机的Android恶意软件方法研究[D]. 南京:南京理工大学, 2015.
	YANG W . Research of malware detection on Android based on support vector machine[D]. Nanjing:Nanjing University of Science and Technology, 2015.
[16]	ZHANG M , DUAN Y , YIN H ,et al. Semantics-aware Android malware classification using weighted contextual API dependency Graphs[C]// Computer and Communications Security. ACM, 2014: 1105-1116.
[17]	MAESSCHALCK R D , JOUAN-RIMBAUD D , MASSART D L . The Mahalanobis distance[J]. Chemometrics & Intelligent Laboratory Systems, 2000,50(1): 1-18.
[18]	杨欢, 张玉清, 胡予濮 ,等. 基于多类特征的 Android 应用恶意行为检测系统[J]. 计算机学报, 2014,37(1): 12-27.
	YANG H , ZHANG Y Q , HU Y P ,et al. A malware behavior detection system of Android applications based on multi-class features[J]. Chinese Journal of Computers, 2014,37(1): 12-27.
[19]	HANG A , DE LUCA A , HUSSMANN H . I know what you did last week! do you?:dynamic security questions for fallback authentication on smartphones[C]// Conference on Human Factors in Computing Systems. 2015: 1383-1392.

权限属性/敏感API	说明	类型	权重倍数
INTERNET	访问互联网	系统权限	10
READ_PHONE_STATE	访问电话状态	隐私权限	20
ACCESS_WIFI_STATE	访问Wi-Fi网络信息	隐私权限	20
READ_SMS	访问手机或SIM卡中的SMS信息	隐私权限	20
WRITE_SMS	编辑短信或彩信	隐私权限	20
SEND_SMS	发送SMS短信	付费/隐私API	20
RECEIVE_SMS	接收SMS短信	隐私权限	20
ACCESS_COARSE_LOCATION	访问CellID或Wi-Fi获取粗略位置	隐私权限	20
GET_LAST_KNOWN_LOCATION	获取最近位置	隐私API	10
READ_CONTACTS	访问用户手机所有联系人信息	隐私权限	20
ACCESS_FINEE_LOCATION	访问精度的（GPS）位置	隐私权限	20
CALL_PHONE	直接拨打电话号码	付费	10
CHANGE_WIFI_STATE	改变Wi-Fi连接状态	付费	10
WRITE_CONTACTS	写入用户联系人数据	隐私权限	20
WRITE_APN_SETTINGS	写入API设置	隐私权限	20
RESTART_PACKAGES	重新启动其他程序	隐私权限	20
PROCESS_OUTGOING_CALLS	允许其他程序监听和控制电话	付费	10
GET_DEVICEID	获取设备号	隐私API	10
GET_SIM_SERIAL_NUMBER	获取SIM卡的序列号	隐私API	10

算法	总测试APK/个	检测率	准确率	误报率
SVM分类	1 049	91.29%	88.94%	13.79%
SigFeedback	1 049	96.44%	96.56%	3.29%

基于APK签名信息反馈的Android恶意应用检测

Android malware detection based on APK signature information feedback

在线阅读

PDF下载

可视化

被引次数

摘要/Abstract

引用本文

使用本文

图/表 7

参考文献 19

相关文章 12

Metrics

推荐阅读 0

[1]	田有亮,吴雨龙,李秋贤. 基于信息论的入侵检测最佳响应方案[J]. 通信学报, 2020, 41(7): 121-130.
[2]	马学彬,李爱丽,张晓娟. 基于多目标优化的固定中继节点唤醒策略[J]. 通信学报, 2017, 38(10): 47-59.
[3]	肖如良,姜军,倪友聪,杜欣,谢国庆,蔡声镇. 基于虚拟机自省的运行时内存泄漏检测模型[J]. 通信学报, 2013, 34(Z1): 21-30.
[4]	杨欢1，张玉清1, 2，胡予濮1，刘奇旭2. 基于权限频繁模式挖掘算法的Android恶意应用检测方法[J]. 通信学报, 2013, 34(Z1): 14-115.
[5]	肖如良，姜军，倪友聪，杜欣，谢国庆，蔡声镇. 基于虚拟机自省的运行时内存泄漏检测模型[J]. 通信学报, 2013, 34(Z1): 4-30.
[6]	杨欢,张玉清,胡予濮,刘奇旭. 基于权限频繁模式挖掘算法的Android恶意应用检测方法[J]. 通信学报, 2013, 34(Z1): 106-115.
[7]	丁洪伟,赵东风,黄毛毛. 新型随机多址接入无线传感器网络MAC控制协议与能量有效性分析[J]. 通信学报, 2010, 31(2): 51-57.
[8]	郑国强,李建东,李红艳,周志立. 多跳无线传感器网络的高效中继节点快速选择算法[J]. 通信学报, 2010, 31(11): 158-170.
[9]	姜正涛,怀进鹏,王育民. RSA推广循环攻击实效性与弱模问题的研究与分析[J]. 通信学报, 2009, 30(6): 70-74.
[10]	杨望,龚俭,吴雄. 基于同步点的IDS评估评分方法[J]. 通信学报, 2008, 29(9): 1-9.
[11]	肖百龙,郭伟,刘军,祝思路. 移动自组织网络基于链路稳定性的伪流言路由算法[J]. 通信学报, 2008, 29(6): 26-33.
[12]	季薇,郑宝玉. 无线传感器网络中协作通信的能量有效性分析[J]. 通信学报, 2008, 29(3A): 35-39.