文摘
智能手机是不可或缺的组件移动边缘计算(MEC)框架。确保数据存储在移动设备上非常保证云服务的顺利运作的关键。越来越多的恶意Android应用程序需求深入调查剖析他们的恶意设计有效的恶意软件检测技术。当代最先进的模型表明,混合特性基于机器学习(ML)技术可以在android恶意软件检测发挥重要作用。选择应用程序的功能起着非常重要的作用来捕捉适当的行为模式的恶意软件实例移动应用程序的一个有用的分类。在这项研究中,我们提出一种新颖的混合方法来检测android恶意软件,在静态特性与动态特性的智能手机应用程序使用。我们收集这些混合功能使用权限,意图和运行时特性(如信息泄漏、密码学的剥削,网络操作)来分析恶意软件的使用技术检测的有效性。我们使用5000多个实际应用进行实验。这项研究的结果表明,提出的一组特征成功地检测到恶意软件威胁F-measure结果为97%。
1。介绍
物联网(物联网),连同边计算,已经彻底改变了工业过程的帮助下移动设备如平板电脑、智能手机、smartwatches和pda。如今,移动设备可以充分呈现高级功能高效、可靠和可伸缩的云服务,利用移动边缘计算(MEC)。广泛使用Android的移动设备吸引了malwares MEC做服务的数量。最近出现了越来越多的安全威胁,被用来窃取私人用户信息,引导银行欺诈和其他社会经济犯罪1]。逃避这样的威胁,造成的损害不同的恶意软件检测系统(2- - - - - -4]。安卓系统安全漏洞评估解决方案和恶意软件分析可分为两大类:(1)静态和(2)动态分析方法。在静态技术,分析了应用程序代码不执行它。动态技术着重于分析应用程序执行期间和监控其与其他系统的交互模块和网络(5- - - - - -7]。然而,大多数现有的恶意软件分析技术不考虑权限和意图分析Android恶意软件。
在静态分析相比,大多数动态技术(8,9只有专注于分析系统和API调用。现有的动态恶意软件分析技术不专注于重要的动态特性,如数据泄漏、网络连接操作,执行特殊权限。使用多个动态特性可以加强运行时分析来检测各种恶意活动和应用安全威胁。全面动态方法可以检测到的大部分漏洞和安全威胁的执行开销。有效地应对这些问题,应该有一个全面的恶意软件分析方法,利用已知的轻量级静态分析恶意软件和一个全面的动态方法分析零日恶意软件的威胁。在这项工作中,我们提出一个全面的框架,包含了静态和动态分析利用权限和意图和认为重要的动态特性,比如数据泄漏,网络连接操作,执行特殊权限。本研究的主要贡献包括以下:(1)一种新颖的基于机器学习框架分析Android应用程序使用分层方法(应用的静态和动态分析)来检测和零日恶意软件,(2)一个基于机器学习全面的静态分析模型,其中包括应用程序的权限和意图,(3)一个动态分析模型,包括调查系统调用(如网络活动、文件访问短信活动,并调用活动),外部DexClass使用,密码活动,运行时执行权限,改作检测已知和零日恶意软件,(4)hyper-tuning恶意软件分类器使用基于树的管道优化技术来提高恶意软件检测的准确性。
2。文献综述
本节包含的关键分析现有最先进的方法相关的恶意软件分析如表所示1。
2.1。使用静态分析恶意软件检测
Arora et al。22)提出了一个静态方法分析使用清单文件权限。提出了一种轻量级的恶意软件检测技术,并通过实验证明了其有效性使用真实的Android恶意软件样本。它的权限清单文件中提取并与一个预定义的关键字列表。设计模型只考虑一个方面的脆弱性,但忽略了其他方面,例如,意图和API调用。另一项研究[10]认为意图(显式和隐式)语义丰富的功能编码恶意意图的恶意软件,尤其是当结合权限使用的意图。提出系统进行编码和提取的显式和隐式意图,意图过滤器,和权限。Almin和Chatterjee5)利用k - means聚类算法分类的应用程序利用许可授权的恶意活动。与著名的防病毒解决方案的比较研究表明,该技术能够检测仍未被发现的恶意软件大部分杀毒软件。MalDozer [18)是一个系统依靠人工神经网络,输入原始序列的API方法调用的顺序出现在.dex文件为android恶意软件检测和家人的认可。在培训期间,MalDozer可以自动识别恶意的模式只使用原始方法调用序列的汇编代码。一个框架(17使用几个特性,反映了对恶意软件Android应用程序有用的多维特征检测算法。作者选择一个多通道深神经网络选择具有不同特点的特性。他们专注于静态特性,比如操作码,API,权限,组件和环境和字符串功能。实验中使用的数据集从VirusShare Malgenome项目。该系统获得良好的准确性高达98%。尽管他们许多静态特性研究,作者使用动态特性有助于检测零日和混淆恶意软件。王等人。16)推荐深上优于混合模型使用autoencoder(即。,DAE) and convolutional neural network (CNN) to improve the accuracy of malware detection. Reconstruction of the multiple features of android application performed and multiple CNN were employed for effective malware detection. To boost feature extraction proficiency, several pretraining procedures were accomplished, and customized combination of the deep autoencoder and CNN model (i.e., DAE-CNN) was employed that various learned ranges of patterns in a short time. The empirical test was performed on a data set comprises 23,000 Android applications with the attained 99.8% accuracy.
2.2。恶意软件检测使用动态分析
动态分析技术是基于观察在执行期间应用程序行为。2012年,谷歌推出了一个叫保镖的动态分析安全基础设施由王et al。16Android平台)。据谷歌官员(16),每一个应用程序上传谷歌玩商店第一模拟谷歌云基础设施(使用软件叫保镖)。保安旨在保护谷歌玩商店对恶意软件的威胁。
Canfora et al。8]介绍了一种检测方法来识别恶意软件攻击利用系统调用。作者认为,恶意行为实现的系统调用序列。研究采用机器学习分类器支持向量机(23)来识别特定的系统调用序列相关的恶意软件。作者利用序列识别新的恶意软件的家庭。尽管这项研究工作的结果产生一个有前途的准确性高达97%,更多的功能像API调用和网络统计应该探索综合动态分析和较高的检测率。一个名叫IntelliDroid技术,介绍了黄和谎言(4),在运行时捕获恶意活动的应用程序。IntelliDroid记录特定的API调用的实例。该系统生成的输入触发不同事件监测应用程序行为。在[11),作者提出了一个API序列分析的动态机制。监控一个新程序,连接过程(实现工具的一部分)监控和跟踪程序的API调用序列。提取API调用序列后,提出了系统与API调用序列参考数据库。如果匹配,对潜在的恶意软件生成警报。
Alzaylaee et al。2)提出了一个系统命名DynaLog提取许多特性(如日志记录的高级行为和API调用)。提取的特征进一步分析来检测恶意应用程序。DynaLog利用现有的开源工具,如Droidbox [24)能够检测多种Android恶意软件。DynaLog基本上是基于猴子工具(25Android应用程序)由谷歌提供的测试。应用程序无法运行在模拟环境中通过该系统仍然不受控制。此外,DynaLog是无法从本机代码在Android应用程序记录事件。
2.3。混合的恶意软件分析技术
混合的恶意软件分析技术结合特性的静态和动态方法检测广泛的Android的安全威胁。赵et al。12)提出了一个混合名为AMDetector的恶意软件分析技术,采用修改攻击树模型(26恶意软件分析。的静态部分提出技术检测可能的攻击和使用这些知识分类为良性和恶意软件类的应用程序。应用程序行为引发了不同的代码组件在运行时的一部分提出了动态分析。组织规则(攻击树)呈现良好的代码覆盖率原型模型。该系统的主要缺点是手动的形成规则和time-costly动态分析。
布拉斯特区et al。27]建议应用程序沙箱(Sandbox)系统,它能够使用混合分析来识别恶意应用程序。该分析仪的静态部分提取的类(即。,。dex files) and decompiled these files into human-readable format. Furthermore, the code is scanned for suspicious patterns. The proposed system recorded the low-level details of system interactions during the application execution within the sandbox environment. The sandbox environment ensured the security of analysing system and safety of data of the underobservation device. The dynamic part of the proposed technique employs the Monkey tool [25)观察行为产生随机事件的应用程序。它限制系统中观察到的无能来检测未知或新类型的恶意软件。
SAMADroid [19)代表一个混合的恶意软件检测模型,结合三个不同水平的好处:(1)静态和动态分析;(2)主机,本地和远程,(3)机器学习。静态分析是在远程主机上执行考虑属于硬件组件的特性,要求权限,应用程序组件和API调用。动态分析是使用系统调用本地主机上执行,帮助在恶意软件的检测模式。实验结果表明,SAMADroid达到98%的恶意软件检测的准确性。因此,应用程序的检验是统计。然而,采用动态分析仅供系统调用相关的分析。采用动态分析系统调用已经是一个头球进球区域(10),和许多malwares轻易绕过系统调用检查(28使用代码混淆技术)。因此,有必要检查网络活动等动态特性,API调用,可执行的代码。
技术发现最迷人的api的所有流动路径在一个程序中使用静态分析提出了(29日]。他们更喜欢静态分析因为动态分析有时无法完全提取所有重要的api。然后叫DroidDomTree这种技术。他们选择的策略依赖于研究期间主导API被称为应用程序的静态分析。这些主要API调用也被称为(语义签名),和挖掘这些语义的支配树签名是用来检测恶意软件。此外,在支配树中,作者权值分配给各个节点的有效的特征选择。这个权重安排支持选择必要的模块,在特征选择和恶意软件检测进一步帮助。DroidDomTree检测率介于98.1%和99.3%之间。本研究提出了DL-Droid,动态分析Android恶意软件检测方案利用深度学习发现恶意模式在一个特定的应用程序。作者通过一个基于状态的输入生成方法提高他们的技术改进的代码覆盖率。 DL-Droid examined the accomplishment of the stateful input generation method using random input generation as a relational baseline. They obtained higher accuracies with these stateful approaches. This study highlighted the significance of enhanced input generation for Android malware detection systems during dynamic analysis. The authors conducted experiments using real devices and achieved a detection rate of 97.8% with dynamic features [24]。
Chaulagain et al。30.)提出了一个深上优于混合分类器筛选android应用程序的安全。该方法利用自动化特性工程和结合了静态和动态分析的好处。本研究收集不同工件在静态和动态分析和列车深学习者独立的模型。这些单独的模型创建混合分类器相结合,帮助在审查决定。建议的审查系统已被证明有效的针对不平衡数据和取得了99%的准确率。Pektas和Acarman21)提出了一个混合特点分类系统,静态分析请求的权限和隐藏的负载而API调用等动态特性,安装服务和网络连接被认为是恶意软件检测。不同的著名的机器学习算法应用于评估的精度水平的分类不同分类器使用一个数据集的3339个样本。作者获得的测试精度高达92%的Android应用程序。虽然提出了静态分析这项技术利用权限和负载特性,它忽视了意图与权限的关系密切。在大多数情况下,只考虑权限识别恶意软件是不足够的10]。
表1显示了相关的总结工作方法和重要特征,大多数研究者用于静态或动态分析。如表所示1,大部分的研究人员已经连接在静态或动态分析和忽视的一个重要方面的应用程序可以利用的漏洞静态和动态分析。一些研究者认为混合动力分析。然而,他们中的大多数人忽略了意图和权限的关系,这是Android应用程序的一个至关重要的方面。此外,大多数研究人员没有利用重要的系统调用(如网络活动,文件访问,短信,并调用活动),使用外部DexClass,数据泄漏,加密活动,运行权限,执行期间和再处理活动的应用程序。叙述的批判性分析的方法使得我们制定以下研究问题(我)Q1:它的静态特性(例如,权限以及某些意图模式)Android恶意软件检测中发挥至关重要的作用?(2)Q2:组合的系统调用(即等动态特性。,network activity, file access, SMS, and call activity), usage of external DexClass, data leaks, cryptographic activity, run-time permissions, and detection of rehashing activity is important for Android malware identification?(3)第三季度:恶意软件如何检出率提高使用混合动力分析和基于机器学习的分类?
要研究解决这些问题,我们提出一个混合基于机器学习的恶意软件检测框架HybriDroidAndroid平台。
3所示。提出了混合的恶意软件分析
分析杂交的影响,我们建议两个机器上优于混合的恶意软件分析程序,分别命名HybriDroid和cHybriDroid。的HybriDroid框架利用静态以及动态特性为恶意软件分析使用分层机制。首先,应用程序只使用静态特性分析,然后动态特性是用来检查可疑(静态分析)应用程序标记为干净的应用程序。此外,调查分析相结合的影响(使用静态和动态特性),我们建议cHybriDroid框架。
3.1。HybriDroid架构
本节描述的整体方法论提出了Android恶意软件分析框架,也就是说,HybriDroid(如图1)。提出的基于混合方法由一个等级系统两个阶段:(1)静态和动态阶段(如图(2)1)。在静态分析阶段,APK文件的应用程序首先被分解成XML和Java文件。之后,检查XML文件中的提取应用程序相关的权限和意图。
然后提供这些特性提出了基于机器学习的静态分析器。通过使用提供的静态特性,基于机器学习分析仪分类应用程序如恶意软件或可疑。进一步检查可疑程序,动态分析阶段开始。应用列为可疑然后提供给动态分析仪分析运行时行为。
动态分析,首先,每个应用程序在仿真环境中执行(使用DroidBox [24]仿真工具)来记录观察到的动态特性(如系统调用,使用外部DexClass,数据泄漏,加密活动,再处理活动和检测)。然后提供给基于机器学习的动态特性动态分析仪分类的目的。基于机器学习的动态分析仪分类这些可疑的应用程序为良性或恶意软件。列为恶意软件的应用程序添加到恶意软件的数据集,而应用程序声明为良性的被添加到清洁应用程序数据集。
3.2。cHybriDroid架构
调查的影响,综合分析(使用静态和动态特性),我们提出一个cHybriDroid框架(如图2)。的cHybriDroid探讨了Android应用程序同时使用静态和动态特性(见的体系结构cHybriDroid在图2)。每个Android应用程序都提供的静态和动态特征提取和基于机器学习分析仪的分类(如恶意软件或良性)。提取(即静态特性。,intents and permissions), the application is disassembled into APK and manifest files. Moreover, the application is executed in the virtual environment (interactively by tapping and using sample inputs), and the dynamic features are logged. Afterwards, the static (i.e., intents and permissions) and dynamic (such as data leakage, network usage, and use of DexClass) features are provided for the developedcHybriDroid分析应用程序(如图2)。
3.3。分类器训练HybriDroid cHybriDroid
图3(一个)描述了完整的训练过程HybriDroid恶意软件分析器。训练数据集包含50%良性的(即。,clean Android applications) and 50% malware (as mentioned in Table2)。随着HybriDroid机制是基于层次模型,因此,机器学习的静态和动态分析程序单独训练。火车静态分析器,Android应用程序分解成Java和XML文件(示例见图4),以便提取特征向量相关许可和意图。拆卸的Java、XML和manifest文件获取静态特性,比如使用意图和权限。这些意图和权限与每个应用程序的数据集。如果应用程序意图或与提取的权限,权限匹配的价值目的或权限设置为1;否则,它被设置为0。同样,一个特征向量是基于407个不同的值。这些特征向量的(即应用程序类别或标签。,malware or benign) are provided to the static machine learning analyzer. Similarly, for the training of the dynamic analyzer (in theHybriDroid良性的框架),50%和50%的恶意软件的基于应用训练数据集在一个虚拟环境(即被处决。,DroidBox [24])。总共15个不同的动态特性收集和提供应用程序类别(即。恶意软件或良性),动态分析仪(HybriDroid)。此外,K-fold交叉验证方法与网格搜索机制,用于hyperparameter调优(如表所示3)。
(一)
(b)
图3 (b)显示了培训cHybriDroid雇佣了一个基于机器学习分析仪同时训练使用的静态和动态特性。每个Android应用程序的静态和动态特性提取和提供应用程序类别(即。、良性或恶意软件)cHybriDroid综合分析仪。合并后的分析仪使用432种不同特征向量训练基于应用程序的静态和动态方面。
4所示。实验结果
实验是在个人电脑上执行。机器的详细规格见表4。评估拟议的框架,HybriDroid和cHybriDroid分别,我们采用五个机器学习分类器随机森林(RF),K星(K∗),朴素贝叶斯(NB),支持向量机(支持向量机)和J48决策树(12- - - - - -14,27,31日]。此外,TPOT [28)技术也用于选择正确的机器学习模型和最佳hyperparameter模型。
4.1。数据集
良性或干净的应用程序的数据集收集从谷歌播放存储(16,第三方应用商店叫Apkpure [16)如表所示5。对于恶意软件样本,我们获得的基准Drebin [3]数据集,由5560 malwares来自179个不同的家庭和他们中的一些人如表所示6。Drebin是广泛使用在研究适用于Android恶意软件检测。Drebin数据集包含恶意软件应用程序从不同的Android市场,获得不同的杀毒引擎,恶意软件论坛、安全的博客,和Androidmalgenome项目(16]。
4.2。特征选择
的权限是一个重要的静态特性必须仔细检查维护的潜在的安全威胁。除了权限,意图在Android应用程序是另一个重要的方面需要仔细分析。意图是Android系统的复杂消息模型的一部分,促进执行不同的应用程序,服务,和操作系统的功能。不同的活动,广播接收器,和一些服务意图用于他们的激活和记录类型的意图在清单文件中使用意图过滤器。一些最近的研究(10,32]表明意图和权限通常利用(如意图欺骗和权限勾结)的恶意软件。因此,他们的关键考试来检测恶意活动是必要的。表7显示收集的功能(使用DroidBox工具)在动态分析步骤的方法。这些特性是执行的结果事件执行期间生成的应用程序(在一个虚拟环境中)。从表8,很显然,互联网是最(即就业。,20%) permission by the applications (by both the malware and benign). Other permissions that are the part of the most requested permission set in malware applications belong to sending and writing SMS, having a collective percentage of 14. Moreover, accessing approximate and exact locations throughACCESS_FINE_LOCATION和ACCESS_COARSE_LOCATION权限是采用11%的恶意软件应用程序。
4.3。功能的排名
使用的动机降低特性集(使用预测模型)是消除冗余数据,减少过度拟合问题,提高分类精度,减少算法的训练时间。动态分析的结果在一个大量的功能;因此,有必要使用机器学习模型的重要特征。为此,我们采用信息增益方法(16)发现某些模式的功能使用应用程序的数据集。每个特性分配有一定成绩突出的特性分类的有效性。的InfoGain是一个著名的特征选择算法,记录类的信息熵的变化前后观察(3]。显示了信息增益公式来衡量 在哪里P表示一组代表模式,样品的数量吗 功能的价值吗 的值是特性 ,和的子集(功能是有价值的 )。在观察熵的特性之前,类定义和显示为 在哪里C显示类集和个人电脑代表的子集P属于类c。信息增益是一个简单和快速排序法,收益率最合适的功能,是帮助识别应用程序类(在我们的例子中恶意软件或良性)。使用InfoGain 172重要的静态特性(包括权限和意图)共有407个功能选择。排名前10名特性和表所示9。这些结果表明,Send_短信和Receive_SMS静态特性达到最高等级值与其他静态特性。
意图,接收机一直意图类别中排名最高。与等级分数排名最高的动态特性如表所示10。如表所示10,sendsms是最动态特性,最高可能揭示了一个Android应用程序的类别(即。恶意软件或良性)。Sendsms通过网络动态特性代表了信息泄漏,短信,或任何文件的活动。Cryptousage,sendsms,enfperm,sendnet是其他顶级特性(即保留最大的信息。,attained higher rank value), and this shows the significance of these features for malware analysis. In this research, we use the top five (out of a total of 15) ranked dynamic features.
的dataleaks动态特性保留最大的信息InfoGain应用(如表所示10)。这对准确的恶意软件分类信息是必要的。类似地,READ_SMS的意图准确地分类类别最高潜力恶意软件比其他使用功能。的android.provider.Telephony.SMS_RECEIVED在许可的类别是排名最高的前十名的许可(如表所示11)。在这个研究中,我们选择了前20名(422)混合特性。完整的排名和信息增益特征都提到过https://bit.ly/2GduUEt。
4.4。结果的讨论
在表12,交叉验证网格搜索结果相关实验。当特征选择不执行之后,TPOT F-measure产生最高的0.91。然而,朴素贝叶斯产生0.98精度,TPOT产生0.91召回。在表12,当进行特征选择,TPOT F-measure从0.91下降到0.87。随机森林生产0.88 F-measure和0.88的最好结果的精度。减少模型的结果表明,删除特征对分类器性能的影响最小。在表12,交叉验证网格搜索实验相关数据基于动态特性有或没有特征选择。当特征选择不执行之后,TPOT产生0.94 F-measure最高,0.03%的改善与表中提到的静态特性13。然而,朴素贝叶斯产生0.99精度和支持向量机生产0.92召回。在表12,当采用特征选择,TPOT F-measure从0.94下降到0.91。产生的TPOT F-measure 0.91和0.88的最好结果精度,同时减少的数量特征从15 - 5(一滴F-measure 0.03)。表13显示的最佳分类器基于动态特性的分析。在表12,交叉验证网格搜索实验进行混合特性(20所选特征)和没有(总计422功能)特征选择。当特征选择不执行那么朴素贝叶斯产生最高F-measure(即。,0.99)和动态特性相比提高0.05%改进的结果与表中提到的静态特性13,分别。朴素贝叶斯产生的精度1.00和0.99的回忆。在表14,当进行特征选择,TPOT F-measure导致0.97和朴素贝叶斯F-measure却降低了从0.99到0.96。TPOT产生最好的结果,也就是说,0.97 F-measure,精度1.00,和0.94召回,同时减少的特性从422年到20,一滴F-measure上涨至0.02。
表13显示每一个褶皱的结果TPOT(没有特征选择)和随机森林(特征选择)。由于随机森林是在不同的样本数据训练减少方差,它获得了更好的性能。此外,随机森林使用一个随机的特征子集也有助于减少过度拟合。基于动态特性的TPOT技术如表所示13描绘最执行分类器(使用和不使用特征选择)。的原因extratree分类器获得改进的结果与其他分类器是随机值选择功能的考虑。额外的随机分裂树有助于创造更多多元化的树木和更少分割。表13显示了最佳分类器使用混合特性。的混合特性,朴素贝叶斯分类器导致的最佳分类器没有特征选择和TPOT-based技术导致最佳分类器功能降低。基于朴素贝叶斯概率分类器,所以它不需要任何调优参数的选择。然而,TPOT需要hypertuning,我们使用进化算法优化参数。TPOT模型的调优参数StackingEstimator(估计量=LogisticRegression (C=0.1,双=真的,罚款=“l2")),GaussianNB ())。之所以TPOT技术得到了改进的结果与其他分类器相比,它使用一个堆栈的一代技术来改善其性能。输出高斯分类器的metalearner使得最终的预测。表中给出的结果13表明TPOT朴素贝叶斯优于其他机器学习模型和更有效的恶意软件检测。的获得F-measure值TPOT模型显示的显著的性能模型。很明显,TPOT模型,观察到的真阳性率是相当高的,假阳性率极低。因此,我们提出使用TPOT分类技术cHybriDroid框架。
4.5。预测模型的开销
的cHybriDroid是离线训练。使用的开销cHybriDroid预测包括选择性特征提取和预测。特征提取的开销可以忽略不计(近似总共1 s)作为特征提取在编译时间。预测模型的训练是执行一次,这是一个一次性的成本。两种模型的训练和测试时间中提到的表15。总之,预测模型的开销可以忽略不计,也就是说,两秒为一个应用程序。
使用混合分析方法,我们尝试用真正的恶意软件和良性的Android应用程序。我们的研究表明,使用静态和动态应用程序特性导致值得称道的恶意软件检测的准确性。排名机制的特性,我们提出进一步优化这两个混合方法的性能和精度。减少的数量和使用只有重要特性导致良好的检测性能和准确性。混合的恶意软件分析,我们采用两种策略:(1)HybriDroid和(2)cHybriDroid。的HybriDroid方法通常用来执行混合的恶意软件分析(采用静态和动态或运行时特性)使用分层机制。与此同时,cHybriDroid机制来分析恶意软件检测的有效性,同时分析了静态和动态特性。我们的结果表现出更高的恶意软件检测的准确性HybriDroid97% F-measure所表16。我们发现TPOT [28()是表现最好的机器学习模型cHybriDroid)与其他使用模型。达到一个更好的性能的洞察力,我们注意到假阳性率(玻璃钢)和真阳性率(TPR)cHybriDroid分类器。结果显示,TPOT [28]机器学习模型达到最高性能TPR高达96%。类似地,值TPOT机器学习模型还指定TPOT检测恶意软件的潜力。总体来看,恶意软件检测精度的分层混合方法(例如,cHybriDroid)略优于混合方法相结合,也就是说,HybriDroid。
4.6。分析
从表13、静态混合和动态模型实现高F-measure得分。我们训练一套全面的数据分析工具,使用机器学习的优化参数。在提出安全机制,我们首先做静态分析部分主要包括清单文件,包括许可标签和应用程序的意图。静态分析的原因是,恶意软件的测试可在提交应用程序的应用程序的执行。如果模型概率很低,机制应该应用动态分类模型和检测控制环境。动态方法接受严格的测试,因此它将花费执行时间。如果模型是不确定的,那么该方法将适用于混合模型。通过这种方式,我们用三种不同的模型测试应用程序。表14回答的研究问题中提到的部分1。的方法可以采用ransomware和敌对攻击。的方法可以应用在一个巨大的数据集大小。我们可以训练这样的合奏机器学习讨论特性分析仪检测ransomware应用和分类成的家庭。
5。结论和未来的工作
如今,Android是视为著名的移动设备的操作系统。随后,Android平台吸引了一些恶意软件专家收集巨大的经济和社会效益。减少恶意软件活动,不同的恶意软件检测系统。然而,这些系统的缺陷使我们提出一种新颖的基于机器学习混合恶意软件检测框架,雇佣了几个重要的静态和动态特性。此外,该研究还分析了不同的恶意软件检测机器学习分类器的角色。本研究强调,在一个强大的基于机器学习的发展恶意软件检测系统,选择数据集的特性的一个重要步骤。特征选择取决于分析方法通过提取它们。是分析技术确定的兼容性特性与分类算法。在实验中,我们F-measure达到97%,训练分类器显示了巨大的效率的值为0.91。TPR也高,0.96,而玻璃钢很低,也就是说,0.04。对未来的工作,我们打算合并代码覆盖率,内存利用率和网络统计方面的执行应用程序(用于动态分析)。此外,分类器将被训练subclassify恶意软件进入家庭。
数据可用性
研究中使用的数据集来自先前发表的研究(Google-play存储[16];Drebin [3])。
的利益冲突
作者宣称没有利益冲突有关的出版。
确认
这项研究部分由西方支持挪威应用科学大学挪威。