项目名称: 基于APP网络行为追踪和特征学习的移动恶意程序风险评估方法
项目编号: No.61472189
项目类型: 面上项目
立项/批准年度: 2015
项目学科: 自动化技术、计算机技术
项目作者: 魏松杰
作者单位: 南京理工大学
项目金额: 84万元
中文摘要: 随着移动互联网发展和移动设备的普及,移动应用平台在丰富手机功能、方便应用开发的同时,也滋养了众多恶意应用程序。当前移动恶意检测技术过分依赖分析代码本身,局限于应用代码所展现的权限需求、系统调用、资源访问等程序特征和行为,无法应对零日攻击和复杂代码的恶意程序。典型移动应用的恶意行为和破坏活动,大多借助移动互联网连接和服务来加以实施,可以通过监控单个移动应用程序的网络行为和网络资源使用情况发现。据此本项目提出在互联网通讯的多层次针对移动应用进行网络行为的动态连续监控、单独建档和特征提取。层次网络行为特征之间相互考证,采用数据挖掘的技术对应用程序的网络行为进行聚类,归纳出典型性恶意行为作为检测标准,对未知应用通过比对恶意行为特征匹配度来估算运行风险。本项目探求移动应用恶意属性和分层异常网络行为之间的理论相关性,据此设计并实现一个基于移动应用网络行为特征提取和深度学习的应用程序恶意检测和风险评估系统。
中文关键词: 计算机网络安全;异常检测;软件网络行为;移动互联网;恶意软件
英文摘要: With the evolving mobile internet and the prevailing smart mobile devices, typical mobile application platform and SDK such as Android extraordinarily simplify the development procedure of new application to extend device functionalities. However, they also facilitate the occurrence of mobile malware. Current Android malware detection mostly rely on apk code analysis to reveal permission request, API calls, and system resource visit, which are unreliable for zero-day malware detection, or detection of sophisticatedly coded malware. Typical mobile malware cannot conduct harmful operations without using network connections and services, which inspire us to detect mobile malware by monitoring application's network behaviors. We propose to profile and analyze mobile application behaviors on multiple layers of the Internet protocol stack. Cross-layer network behavior profiles are further refined and summarized by using the data mining clustering technique. Typical network behaviors of mobile malwares can be used to train classifiers to evaluate and detect risks of unknown new applications. This project targets to both prove and specify the correlation between mobile malware and their anomaly network behaviors, and based on the theory, design and implement an application's maliciousness and risk evaluation system based on application's cross-layer network behaviors.
英文关键词: Network Security;Anomaly Detection;Network Behavior;Mobile Internet;Malware
成为VIP会员查看完整内容
相关内容
在数据挖掘中,异常检测(英语:anomaly detection)对不符合预期模式或数据集中其他项目的项目、事件或观测值的识别。通常异常项目会转变成银行欺诈、结构缺陷、医疗问题、文本错误等类型的问题。异常也被称为离群值、新奇、噪声、偏差和例外。
特别是在检测滥用与网络入侵时,有趣性对象往往不是罕见对象,但却是超出预料的突发活动。这种模式不遵循通常统计定义中把异常点看作是罕见对象,于是许多异常检测方法(特别是无监督的方法)将对此类数据失效,除非进行了合适的聚集。相反,聚类分析算法可能可以检测出这些模式形成的微聚类。
有三大类异常检测方法。[1] 在假设数据集中大多数实例都是正常的前提下,无监督异常检测方法能通过寻找与其他数据最不匹配的实例来检测出未标记测试数据的异常。监督式异常检测方法需要一个已经被标记“正常”与“异常”的数据集,并涉及到训练分类器(与许多其他的统计分类问题的关键区别是异常检测的内在不均衡性)。半监督式异常检测方法根据一个给定的正常训练数据集创建一个表示正常行为的模型,然后检测由学习模型生成的测试实例的可能性。
Arxiv
0+阅读 · 2022年4月15日
Arxiv
0+阅读 · 2022年4月15日
相关VIP内容
相关资讯
相关论文
Arxiv
0+阅读 · 2022年4月15日
Arxiv
0+阅读 · 2022年4月15日
微信扫码咨询专知VIP会员