基于多源软件行为表征的Android恶意软件特征构建与家族识别方法

基本信息
批准号:61902306
项目类别:青年科学基金项目
资助金额:29.00
负责人:范铭
学科分类:
依托单位:西安交通大学
批准年份:2019
结题年份:2022
起止时间:2020-01-01 - 2022-12-31
项目状态: 已结题
项目参与者:
关键词:
安卓恶意软件特征构建家族识别软件安全行为表征
结项摘要

Family identification is a hot topic due to the rapid growth of Android malware. However, existing methods are facing two major challenges: the diversity of malicious code and the feature selection of unknown malware family. For the diversified challenge of malicious code, we propose a multi-source software heterogeneous behavior feature fusion method with resilience ability to obfuscation techniques. We first extract multi-dimensional, multi-modal and multi-semantic software behavior through dynamic and static program analysis. Then, we map the heterogeneous behavior into the isomorphic space with PCA and graph embedding techniques, thus improving the resilience ability to obfuscation techniques and reducing the feature dimension. To solve the challenge of feature selection for unknown malware family, we propose a feature selection method for malware family based on the analysis of representative malware samples. We first select the representative malware samples through the construction of a malware link network and the community detection of malware family. Then, we mine the common behavior of representative samples to represent the family feature. Based on the above theoretical methods, we design and implement the prototype that can effectively characterize the software behavior and correctly identify the family labels of Android malware.

Android恶意软件的快速增长使得家族识别成为了热点问题,然而现有方法面临着恶意代码形态多样化以及未知恶意家族特征选择两个主要挑战。针对恶意代码形态多样化挑战,本项目拟提出一种具备抗混淆能力的多源软件异构行为特征融合表征方法,通过动静结合的程序分析技术抽取多维度、多模态、多语义的软件行为集合,然后采用主成分分析、图表征等技术,将异构行为映射到同构空间中,从而提高特征的抗混淆能力并降低其特征维度。针对未知恶意家族特征选择挑战,本项目拟提出一种基于代表性样本分析的恶意家族特征选择方法,通过恶意软件相似关系网络构建以及社团发现算法选择恶意家族中代表性样本,然后挖掘代表性样本共性行为来有效表征其家族特征。最终基于上述理论方法设计实现家族识别原型系统,有效表征软件行为特征并准确识别恶意软件家族信息。

项目摘要

针对安卓恶意软件分析领域现有方法面临着恶意代码形态多样化、未知恶意家族特征选择以及可解释性不足等问题,本项目首先提出了一种多源软件异构行为特征融合表征方法,通过动静结合的程序分析技术实现不同维度、不同模态、不同语义的依赖关系抽取,然后借助图表征技术将异构的软件行为映射到同构空间中;然后提出了一个结合家族信息的通用集成框架,基于恶意软件家族信息设置不同权重,构建了七个通用基础分类器和三个集成分类器,有效提高样本检测精度。除此之外,本项目针对恶意代码分析场景中现有机器学习模型面临的不可解释问题,提出了一套关键的评价准则,包含三种不同指标,对现有的可解释方法进行了可靠性评估;然后针对安卓对抗攻击问题提出了一种基于图可解释技术的对抗防御方法,高效的检测对抗样本并删除其添加的修改,使得对抗样本被成功检测为恶意软件,有效提高模型的鲁棒性。最后,针对恶意代码中出现的隐私数据泄露现象,本项目通过数据流分析技术以及自然语言处理技术相结合的方式提出了一种隐私数据一致性检测方法,可以对移动应用的数据泄露风险进行有效检测。项目共发表论文14篇,授权国家发明专利3项。项目的实施完善了现有移动应用安全领域的理论方法体系,提出的检测方法和原型系统可以为该领域提供直接的技术支撑,且有望将技术推广应用到隐私合规分析等相关领域。

项目成果
{{index+1}}

{{i.achievement_title}}

{{i.achievement_title}}

DOI:{{i.doi}}
发表时间:{{i.publish_year}}

暂无此项成果

数据更新时间:2023-05-31

其他相关文献

1

硬件木马:关键问题研究进展及新动向

硬件木马:关键问题研究进展及新动向

DOI:
发表时间:2018
2

面向云工作流安全的任务调度方法

面向云工作流安全的任务调度方法

DOI:10.7544/issn1000-1239.2018.20170425
发表时间:2018
3

居住环境多维剥夺的地理识别及类型划分——以郑州主城区为例

居住环境多维剥夺的地理识别及类型划分——以郑州主城区为例

DOI:10.11821/dlyj201810008
发表时间:2018
4

基于细粒度词表示的命名实体识别研究

基于细粒度词表示的命名实体识别研究

DOI:10.3969/j.issn.1003-0077.2018.11.009
发表时间:2018
5

桂林岩溶石山青冈群落植物功能性状的种间和种内变异研究

桂林岩溶石山青冈群落植物功能性状的种间和种内变异研究

DOI:10.5846/stxb202009292521
发表时间:2021

范铭的其他基金

相似国自然基金

1

基于Android的IoT恶意软件智能识别方法研究

批准号:61902262
批准年份:2019
负责人:牛伟纳
学科分类:F0205
资助金额:28.00
项目类别:青年科学基金项目
2

基于深度学习的恶意软件早期特征识别方法研究

批准号:61802154
批准年份:2018
负责人:朱会娟
学科分类:F0205
资助金额:24.00
项目类别:青年科学基金项目
3

移动恶意软件规避检测行为的机理与检测方法研究

批准号:61602121
批准年份:2016
负责人:杨哲慜
学科分类:F0205
资助金额:20.00
项目类别:青年科学基金项目
4

基于动态加固的Android软件安全保护建模方法与决策控制研究

批准号:61672534
批准年份:2016
负责人:徐君锋
学科分类:F0206
资助金额:63.00
项目类别:面上项目