基于混合特征的Android恶意代码行为相似性检测技术

来源 :解放军信息工程大学 | 被引量 : 1次 | 上传用户:ososxx
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
同族恶意软件在行为上表现出趋同性和一致性,因此针对同族软件行为具有相似性的特点,我们可以利用已知行为模式评估软件的恶意性和可能产生的危害。基于行为相似的代码检测又划分为动态和静态两种方法。动态检测方法通过在真实或者模拟环境中运行软件,但是检测效率低且不易全面触发恶意行为,很难进行自动化测试;静态检测方法不需要执行程序,通过反编译技术对汇编代码进行控制流和数据流分析,但是无法完全还原经过加密混淆过的代码,无法检测在运行过程中释放的恶意行为,因此静态检测准确率较低。针对上述问题,本文综合当前恶意代码检测技术的研究成果,提出了基于混合特征的Android恶意代码行为相似性检测技术,综合了静态检测执行效率高和动态检测准确率高的优点,论文的研究内容和创新点如下:1.提出了基于程序行为子图的图同构行为判别方式,从静态方面对程序行为的相似性进行度量。首先利用代码转换框架将反编译得到的高级语言代码转换成统一的中间语言代码表示,优化了程序内部的指令格式,进而绘制出程序的行为子图;其次利用子图过滤算法筛除掉与行为相似性度量无关的子图,解决了图匹配为NP问题将会消耗大量的计算资源和占用大量内存的问题,提高了系统运行效率;最终利用图同构算法完成程序静态特征的行为相似性度量。2.设计了Android应用程序动态运行的完整事件流,利用静态检测出的可疑组件作为动态检测运行的指导路径,完善了应用程序内以及应用程序与系统间交互的事件流,解决了动态运行程序覆盖率较低的问题,提高了应用程序执行路径的覆盖率。3.改进了基于文本无关的压缩算法,根据程序运行时的局部性原理对原始的系统调用序列进行压缩处理,压缩后结果集形成不定长的行为序列片段,它们完整地保存了程序行为语义,解决了动态运行程序时产生巨量trace记录带来度量困难的难题,通过对软件行为序列片段的相似性度量,最终完成程序动态特征的行为相似性检测。
其他文献
并行程序在科学计算、金融股票、国防安全等领域应用日益广泛,其执行周期往往以月为单位。为了应对随机错误、蓄意攻击等威胁,并行程序必须具有容错机制以确保其正确运行至结
实际工程系统中的控制输入大部分都属于饱和输入形式,并且是非对称和非光滑的,而且大部分的参数都是不确定的,系统长期运行中也不可避免会出现执行器的故障问题。考虑到大多
近年来,关于不确定非线性系统跟踪问题的研究与应用越来越受人关注。在设计控制器时,假若忽略了非线性系统的不确定因素(可能包括未知参数、外界扰动,测量误差等等),很有可能
该论文是一篇基于译者翻译实践项目的翻译报告,原文文本约11000字。所译文本原标题为RetailNext Advanced Analytics Playbook,是零售商客流分析服务商RetailNext所做的关于
随着移动互联网的发展和Android移动设备的普及,针对Android系统的各种恶意软件也迅速发展和扩散,对用户的隐私和财产安全造成极大的影响。面对数量快速增长的Android恶意软
随着互联网和推荐技术的快速发展,推荐系统逐渐呈现出许多新的特性,这为推荐系统带来了新的挑战。Web服务推荐作为具有智能化特征,以满足潜在用户需求、主动推荐为手段的方法
随着数据中心的数据呈指数级增长,为了保障系统的高吞吐率、高重删率和负载平衡,分布式重复数据删除存储系统面临巨大挑战。分布式重复数据删除存储系统主要通过改进路由方法
近几年来,在智能家居的领域中行为识别技术逐渐成为学者们研究的热点。一个良好的特征提取方法在行为识别中扮演着重要的角色。在现今的行为识别研究中,主要的难点在于:人类
现在的动漫制作技术需要实时捕捉动态目标的质心坐标,来制作动画。要求捕捉系统实时性好,计算速度快。本文设计了一种空间标志物动态坐标实时捕捉相机,从不同的方位对多个动
杂志在供人们娱乐消遣的同时,也为人们了解相关领域的知识打开了一扇窗户,乐器类杂志也是如此。原声吉他在中国的发展远不及欧美及日本,为提升中国爱好者对吉他相关知识及业