王新新 譚成予 梁意文

(武漢大學計算機學院 湖北 武漢 430072)

安卓惡意軟件的計算機免疫檢測模型

王新新 譚成予 梁意文

(武漢大學計算機學院 湖北 武漢 430072)

安卓系統(tǒng)因其開放性的特點導致惡意軟件泛濫，現(xiàn)有方法多考慮靜態(tài)或動態(tài)單方面特征，判別算法多依賴于學習樣本，且準確率有一定的限制。為解決上述問題，提出結合安卓軟件的靜態(tài)權限特征與動態(tài)行為特征的計算機免疫惡意軟件檢測模型。結合靜態(tài)權限特征與動態(tài)行為特征，構建安卓軟件的特征體系，經(jīng)預處理后映射為樹突狀細胞算法DCA(Dendritic Cell Algorithm)的各類信號，使用無需樣本學習的輕量級算法DCA進行惡意軟件檢測。實驗證明該模型可以有效檢測惡意軟件。

安卓惡意軟件 靜態(tài)特征 動態(tài)特征 DCA

0 引 言

根據(jù)試產(chǎn)研究機構發(fā)布的《智能操作系統(tǒng)市場調(diào)研報告》的相關統(tǒng)計，2015年國內(nèi)智能機市場Android份額達到81.36%[1]，市場份額有絕對優(yōu)勢。與WinPhone、iPhone的封閉模式不同的是，任何人都可以將自己編寫的軟件上傳至應用商店供用戶下載安裝。這種開源模式也導致了安卓惡意軟件的泛濫，安卓手機安全受到巨大威脅[2]。

目前已有的安卓惡意軟件檢測方法，多通過抽取軟件靜態(tài)或動態(tài)特征，使用聚類、分類、數(shù)理統(tǒng)計或機器學習相關算法，對軟件進行判別。

根據(jù)所使用的特征不同，可以將檢測算法靜態(tài)檢測和動態(tài)檢測兩類[3]。特征抽取方面，靜態(tài)檢測方法多選擇安卓軟件權限、系統(tǒng)調(diào)用敏感函數(shù)、APK中相關組件使用統(tǒng)計數(shù)據(jù)等特征；動態(tài)檢測中，多將軟件置于沙箱中進行運行監(jiān)控，獲取軟件動態(tài)行為，例如系統(tǒng)調(diào)用情況、CPU占用率、惡意行為等，并將這些作為軟件動態(tài)行為特征。靜態(tài)特征獲取較為簡單，但對惡意軟件的描述不足，識別惡意軟件準確率有限。動態(tài)分析和靜態(tài)分析相比，更多利用應用程序的行為特征，更容易發(fā)現(xiàn)惡意行為，但是它只能對符合選定的特定測試案例進行檢查[4]。因此，如何結合軟件的動態(tài)及靜態(tài)行為特征，抽取能夠代表惡意軟件特點的特征，成為決定檢測方法準確率的關鍵。

檢測算法中，目前使用較多的為各種較為成熟的分類、機器學習相關算法。其中，Borja等[5]根據(jù)應用程序申請的權限，采用機器學習相關算法對程序進行分類進而判別應用程序是否為惡意軟件。楊歡等[6]根據(jù)抽取的相關特征，采用三層分類算法對惡意軟件進行檢測，提高了惡意軟件的檢測率。程際橋[7]通過對安卓源代碼的分析抽取相關靜態(tài)特征，使用決策向量機對惡意軟件進行檢測。Shabtai等[8]提出惡意軟件檢測系統(tǒng)Andromaly，基于行為獲取CPU消耗、進程數(shù)、按鍵及應用程序啟動特征等，并應用Logistic回歸分析和貝葉斯網(wǎng)絡來對應用程序進行分類。然而，機器學習及相關分類算法，需要大量的樣本進行學習，判別結果與學習樣本的選取關系較大。如何使用輕量級且無需學習的算法進行惡意軟件識別，也是決定檢測方法好壞的關鍵。

Green Smith等[9]根據(jù)免疫系統(tǒng)中樹突狀細胞的行為特征及分化過程，提出樹突狀細胞算法(DCA)并將其運用于網(wǎng)絡異常檢測。DCA是基于先天免疫，它通過模擬機體中樹突狀細胞的自我免疫過程，實現(xiàn)對機體正常狀態(tài)與異常狀態(tài)的判斷。該方法無需動態(tài)學習，檢測過程中也不需要進行模式匹配。將DCA用于分類及機器學習時，不僅有較高的準確率，和其他的系統(tǒng)相比可以減少誤報率[10]。文獻[11]中，將DCA用于機器學習，使用文獻[12]中的數(shù)據(jù)集，比對其他分類算法，DCA的準確率可以達到99%。文獻[13]中，將DCA用于圖像的分類，選取圖像紋理特征等抽象為抗原及相關信號，有效提高了圖像分類的準確率，同時減少了算法的運行時間。雖然目前已有很多研究將DCA應用于各個領域，但是針對DCA的各類信號的選取及處理，仍然是使用DCA的一個難點[14]?；贒CA的無需動態(tài)學習且分類的高準確率，本文考慮將DCA用于安卓惡意軟件的檢測，降低檢測所需學習樣本，同時提高檢測準確率。

本文針對上述部分提到的特征選取及檢測算法的不足，提出一種結合靜態(tài)及動態(tài)行為特征的人工免疫DCA安卓惡意軟件檢測模型。該模型提取安卓程序的動靜多個特征，將特征進行降維處理后，抽象為DCA的抗原信號、危險信號及安全信號，采用DCA進行惡意軟件判別。實驗證明此類方法能有效檢測惡意軟件，兼顧軟件的靜態(tài)特征與動態(tài)特征，提高了惡意軟件的檢測率。

本文主要創(chuàng)新及貢獻如下：

1) 結合靜態(tài)特征及軟件動態(tài)行為特征，既彌補了靜態(tài)特征無法檢測運行時權限提升、加載惡意代碼的缺陷，也將靜態(tài)特征作為動態(tài)特征的補充，提高了檢測的效率。

2) 提取軟件的多個靜態(tài)特征及動態(tài)特征，可充分反映軟件的相關行為，特征經(jīng)過處理后可以降維為算法的固定多個輸入信號?？梢愿鶕?jù)識別軟件的不同類型進行擴展，具有較高的擴展性。

3) 將抽取的靜態(tài)特征及動態(tài)行為特征映射為DCA的相關信號病原體分子模式(PAMP)、安全信號(SS)和危險信號(DS)。實驗中選擇一定數(shù)量的惡意軟件，抽取特征，使用DCA進行惡意軟件檢測，證明了該算法的有效性。

1 框架概述

在安卓系統(tǒng)中，一個應用所擁有的所有權限在安裝時都需要獲得用戶的許可，只有用戶在選擇接受該應用獲得這些權限才能安裝軟件。這種基于權限的方式，能夠在一定程度上保護安卓系統(tǒng)的安全性，限制軟件訪問未聲明或關系系統(tǒng)安全的權限。在Android官網(wǎng)中，將安卓系統(tǒng)的所有權限劃分為四類：normal、dangerous、signature和signatureorSystem。目前市場中的惡意軟件，常包括竊取用戶隱私信息、后臺發(fā)送扣費短信、私自打開藍牙發(fā)送數(shù)據(jù)、撥打電話、獲取用戶地理位置信息等相關行為。這些行為對于安卓用戶來說，都需要一定的權限。文獻[15]中，通過對比正常軟件與惡意軟件的權限使用情況，發(fā)現(xiàn)惡意軟件更傾向于使用開機自啟動、更改WiFi狀態(tài)等相關權限。因此，系惡意軟件與正常軟件在權限的使用情況和類別組合中，有較大的不同，可以將權限作為識別惡意軟件的一個特征。

對于一些在啟動后動態(tài)加載惡意代碼的軟件，權限特征無法識別。為了彌補靜態(tài)權限特征的不足，考慮將軟件啟動后的動態(tài)行為作為識別惡意軟件的特征。我們一些獲取用戶信息或消耗用戶手機資費的行為定義為敏感行為。正常軟件可能也會有一定的敏感行為，但是惡意軟件在敏感性為的數(shù)量和頻率上，與正常軟件會有較大的不同。因此，可以將動態(tài)軟件行為作為區(qū)分惡意軟件的重要特征。

在獲取這些特征之后，如何通過有效的方法識別惡意軟件與正常軟件，提高惡意軟件識別的正確率并降低誤判率與漏判率，是決定惡意軟件檢測模型質(zhì)量的關鍵。

DCA是Green Smith根據(jù)人體免疫系統(tǒng)中的樹突狀細胞的分化過程提出的抗原提呈算法。DC捕獲抗原，收集當前PAMP、DS、SS的濃度作為輸入。根據(jù)權值矩陣融合之后，輸出協(xié)同刺激分子(CSM)，半成熟信號(SEMI)和成熟信號(MAT)并進行相關累加操作。到達遷移閾值之后，DC比對累加的半成熟信號與成熟信號，判斷機體當前狀態(tài)并激活機體的相關免疫反應。DCA不依賴于樣本學習，在檢測的過程中也不需要進行模式匹配，自動根據(jù)當前狀態(tài)進行判別。在文獻[16]中，將DCA作為一個二值分類算法，對比其他算法有較好的效果。

考慮DCA的輕量性及在分類中的有效性，本文將上述抽象的靜態(tài)特征與動態(tài)特征，并定義相關預處理函數(shù)，處理后將相關特征映射為DCA中的PAMP、DS和SS，實現(xiàn)惡意軟件識別。

綜上：安卓惡意軟件檢測框架結構如圖1所示。

圖1 安卓惡意軟件檢測系統(tǒng)框架圖

2 安卓惡意軟件檢測關鍵技術

本節(jié)主要描述了安卓惡意軟件檢測模型的關鍵技術，包括程序靜態(tài)權限特征的提取，程序動態(tài)敏感行為特征的提取，各類信號的預處理及映射和DCA處理流程。這些相關技術及算法是構成基于權限及行為特征的安卓惡意軟件計算機免疫檢測模型的關鍵。

2.1 靜態(tài)特征提取

安卓應用中如果申請了能進行敏感行為的權限，同時這些權限目前市場中大部分應用不會申請的，該應用就會具有較大的危險性。根據(jù)文獻[17]中對惡意安卓應用的單個惡意權限及組合惡意權限的描述，綜合惡意軟件常見竊取信息及消耗資費的行為相關權限，本文選取以下相關對手機安全性有較大影響的權限及權限組合。具體內(nèi)容見表1。

表1 權限及權限組合表

續(xù)表1

上述權限及權限組合中，既有獲取用戶隱私信息、后臺安裝其他應用等單個權限，也有后臺發(fā)送扣費短信，記錄用戶通話內(nèi)容，獲取用戶聯(lián)系人并發(fā)送至指定服務器的組合權限。安卓應用一旦獲取了這些敏感權限，很有可能進行相關惡意行為，造成用戶的損失。

安卓應用在根目錄中有一個名為AndroidManifest.xml的程序清單文件，該文件中定義了該應用需要獲取的所有權限、應用所需AndroidAPI的最低版本以及所需要調(diào)用的開發(fā)庫定義。因此，通過反編譯相關技術，可以獲取安卓應用獲取的所有權限。本文中，通過相關反編譯工具，對安卓應用進行反編譯，獲取每個安卓應用對應的權限，并采用自動化腳本進行相關統(tǒng)計。

2.2 動態(tài)特征提取

針對部分惡意軟件在運行后繞過安卓系統(tǒng)自身的權限機制進行權限提升[18]，從而進行一系列獲取用戶信息或消耗資費的行為。本文中選擇監(jiān)控應用部分動態(tài)行為作為動態(tài)特征，具體選取的特征及原因如下：

1) 權限提升行為(RU)：對于惡意軟件來說，偽裝成正常軟件誘導用戶安裝，之后繞過安卓的權限機制進行權限提升，從而可以進行一系列破壞手機安全性、泄漏用戶隱私或消耗資費的行為。因此，應用是否進行權限提升，可以作為區(qū)別惡意軟件與正常軟件的重要動態(tài)特征。

2) 流量特征(FS)：根據(jù)流量的流入方向，我們將應用使用的流量分為上行流量及下行流量。對于大部分用戶瀏覽及閱讀為主的應用，是下行流量遠大于上行流量。對于竊取用戶隱私行為的相關應用，因為需要將用戶的信息發(fā)送至指定服務器，則會導致上行流量大于下行流量。因此，可以將應用在一定時間內(nèi)的流量特征作為應用動態(tài)特征。

3) 敏感數(shù)據(jù)讀寫(IW)：對于手機中用戶的一些關鍵信息和隱私信息，普通應用并不會進行訪問，只有竊取用戶隱私信息的相關應用才會讀取。讀取之后，利用這些敏感信息，結合社會工程學相關方法，可以對用戶造成較大的人身安全及財產(chǎn)安全的損失。因此，可以將是否訪問敏感數(shù)據(jù)作為安卓軟件的動態(tài)行為特征。在安卓應用中，常見的幾個敏感數(shù)據(jù)主要見表2。

表2 關鍵路徑表

4) 惡意吸費(BM)：在相關的統(tǒng)計中，有超過半數(shù)的應用都存在發(fā)送短信、撥打特定的電話等相關惡意吸費行為，造成用戶的財產(chǎn)損失。因此，可以將應用是否調(diào)用撥號或短信功能發(fā)送短信、撥打電話給非運營商的特殊號碼作為應用的動態(tài)行為特征。

5) 獲取定位信息(GL)：用戶的定位信息是私人信息，一般應用不會要求獲取。惡意軟件為竊取用戶相關信息，會進行獲取定位信息的行為，然后將相關信息發(fā)送至指定服務器，結合其他信息進行相關猜測，造成不好的結果。因此，可以將應用是否獲取定位相關信息作為動態(tài)行為特征之一。

為了獲取安卓應用的相關行為特征，將應用程序安裝至模擬器中進行觀察，使用trace、wireshark、mokeyrunner等相關觀察工具，記錄一定時間內(nèi)安卓應用的相關行為，并對流量情況、權限提升情況、讀取文件情況等進行記錄，獲取軟件的動態(tài)行為特征。

2.3 信號預處理及映射

2.3.1 信號預處理

根據(jù)2.1節(jié)中定義的安卓應用相關權限特征，根據(jù)權限特征可以進行的相關敏感行為，對所有權限及權限組合賦予一定的權值。具體權值對應如表3所示。

表3 權限權值表

對于2.2節(jié)中定義的軟件動態(tài)行為特征，考慮這些敏感行為的發(fā)生頻率，獲取一定時間內(nèi)的行為特征，并定義歸一化函數(shù)：

(1)

通過定義的歸一化函數(shù)，可以將收集到的所有動態(tài)特征結合時間因素，完成歸一化處理。

2.3.2 病原體相關分子模式(PAMP)映射

病原體相關分子模式說明系統(tǒng)整體存在異常，本文主要選取安卓軟件的部分靜態(tài)權限特征作為PAMP信號，具體包括{SMS,BO,WS,RS,CA,CI}。

2.3.3 安全信號(SS)映射

安全信號表明系統(tǒng)整體安全，存在異常的可能性較小，選取的安全信號具體包括{GPS,BL,IN,WI,RU,FS,IW,BM,GL}。

2.3.4 危險信號(DS)映射

危險信號表明系統(tǒng)現(xiàn)在處于即將進入異常的狀態(tài)，具體選擇的指標包括軟件的所有動態(tài)特征和部分靜態(tài)特征，具體包括{WS,RS,CA,CI,RU,FS,IW,BM,GL}。

2.4 算法參數(shù)定義

考慮相關信號的放大作用，本文加入致炎因子放大PAMP、SS和DS信號，致炎因子的大小定義為0.4。

DC收集組織中的抗原，并針對PAMP、SS和DS三類輸入信號進行處理，計算出三類信號：協(xié)同刺激信號(CSM)、半成熟信號(SEMI)和成熟信號(MAT)。由輸入信號計算各類輸出信號時，定義信號矩陣如表4所示。

表4 信號矩陣表

定義計算公式如下：

C[CSM,SEMI,MAT]=

(1+IS)

(2)

其中：CPAMP、CDS、CSS分別代表輸入的信號值，WPAMP、WDS、WSS分別代表各類信號的權值，IS代表上文定義的放大信號致炎因子。

2.5 算法處理流程

本文使用的樹突狀細胞算法描述如下：

輸入：抗原信號值PAM、SS、DS。

輸出：CSM、成熟DC或未成熟DC。

具體算法流程偽代碼如下所示：

初始化抗原池

isNeedInitDC=true;

while isNeedInitDC do

{

初始化DC細胞，設置CSM遷移值Z

while(該DC的CSM

{

隨機選取未標記抗原，根據(jù)輸入信號及權值矩陣計算CSM、SEMI和MAT并累加

}

比較計算標記該DC狀態(tài)

計算該DC所采集的抗原的判定次數(shù)(總次數(shù)、異常次數(shù))并累加

If(未被標記的抗原中有達到判定次數(shù)的抗原)

{

計算該抗原的MCAV=判定異常次數(shù)/判定總次數(shù)，比較與異常閾值N的大小。

If MCAV >=N then

抗原標記為異常；

Else

抗原標記為正常；

End

}

If 沒有未被標記的抗原

IsNeedInitDC=false

}

3 實驗結果與分析

選取一定數(shù)量的安卓正常軟件與異常軟件，通過相關工具進行預處理后，形成數(shù)據(jù)集共150條，分別映射為PAMP、DS、SS信號，使用Java實現(xiàn)的DCA程序，對數(shù)據(jù)集進行判別。計算該模型在惡意軟件檢測中的有效性和準確性，為降低實驗的隨機性，將實驗進行重復并計算各個結果的平均值。同時進行對比實驗，將處理后的數(shù)據(jù)集采用DCA、傳統(tǒng)的統(tǒng)計學分類方法及K-means聚類方法進行檢測，對比說明該方法的有效性。實驗證明該安卓惡意軟件檢測模型充分考慮軟件動態(tài)與靜態(tài)特征，在安卓惡意軟件檢測中具有較好的效果。

3.1 實驗設計

本文設計了檢測模型對安卓惡意軟件檢測實驗，實驗目的在于驗證該計算機免疫檢測模型對于安卓惡意軟件檢測的可行性及有效性。

采用與文獻[19]中一樣的應用來源，從“Contagio mobile”網(wǎng)站下載惡意軟件與正常軟件共150個。其中，包含的惡意病毒主要有以下幾類：

1) 惡意吸費病毒：例如刷機吸費大盜、偽酷六視頻等。這些病毒會向某些特定號碼發(fā)送扣費信息并刪除相關反饋信息，用戶在不之情的情況下經(jīng)濟受到損失。

2) 隱私信息收集類病毒：例如愛情連陷、偽升級扣費病毒等。這些病毒會收集用戶手機號、硬件信息、地理位置信息等并發(fā)送至特定服務器。

3) 惡意破壞類病毒：此類病毒會偽裝成收集工具，誘導用戶下載并安裝其他惡意軟件，同時干擾殺毒軟件的運行，破壞手機的安全性。

使用反編譯軟件Android Killer對軟件進行反編譯獲取權限定義文件。根據(jù)表1定義的權限或權限組合及表3定義的權限權值，如果權限文件中包含該權限，則將該權限或權限組合賦予定義的權值，如果不包含，則將該權限或組合賦值為0。

使用模擬器及模擬器監(jiān)視工具trace、wireshark、mokeyrunner等獲取軟件的動態(tài)行為特征，包括吸費信息、流量特征、權限提升行為等。同時根據(jù)2.3節(jié)中定義的相關預處理函數(shù)，對行為特征進行歸一化預處理，形成DCA算法的相關數(shù)據(jù)集。

實驗設置DC生命周期為10，當DC采集10個抗原之后，若還沒有達到遷移閾值，將該DC置為失效，重新初始化DC；CSM遷移閾值為25到40之間的隨機數(shù)，保證算法一定隨機性；抗原判定閾值為10，表示每個抗原最多被判定10次；抗原異常閾值為70%，表示抗原被判定為異常的次數(shù)超過總判定次數(shù)70%時，判定該抗原為異常。

3.2 實驗結果與分析

選取150個抗原進行試驗后，測試結果如圖2所示。其中，橫坐標是標記的抗原ID，縱坐標是每個ID計算之后的MCAVA值。圓形為被正確判定為正常軟件的抗原，菱形為正確被判定為惡意軟件的應用， 方形為錯判漏判的抗原。實驗結果表明該方法對于惡意軟件的檢測，檢測率較高。

圖2 實驗結果圖

為避免實驗結果隨機性的影響，重復實驗10次和30次，具體結果如表5、表6所示。

表5 實驗結果

表6 與其他檢測算法對比

重復試驗證明該模型對于惡意軟件的檢測具有較高的準確率，可以有效檢測惡意軟件。表 6給出了在上述數(shù)據(jù)集中分別使用DCA、統(tǒng)計學分類方法及K-means聚類方法進行惡意軟件檢測的結果。結果證明該計算機免疫檢測模型對安卓惡意軟件的檢測具有更高的準確率。

4 結 語

本文通過分析安卓應用的靜態(tài)權限特征及動態(tài)行為特征，結合DCA在異常檢測中較高的準確率，構建了一個安卓惡意軟件檢測模型。實驗證明該模型對于惡意軟件的檢測具有較高的準確率，具有一定的可行性。然而，如何通過安裝應用或修改內(nèi)核的方式實時觀察軟件動態(tài)運行特征而不是在模擬器中使用各類軟件觀察，實時獲取數(shù)據(jù)并進行分析促進模型的轉化，是下一步工作的方向。如何根據(jù)各類軟件的不同作用獲取不同的特征指標，也是下一步改進的方向。同時，DCA中需要設置的參數(shù)較多，如何結合模型的特點改進參數(shù)的設置提高系統(tǒng)的準確率也是下一步需要解決的問題。

[1] http://tech.gmw.cn/newspaper/2015-12/23/content_110321682.htm.

[2] Steven M P.Contrary to what you‘ve heard,Android is almost impenetrable to malware[EB/OL].[2014-06-23].http://qz.com /131436/contrary-to-what-you’ve-heard-android-is-almost-impenerable-to-malware/.

[3] Bergeron J,Debbabi M,Desharnais J,et al.Static Detection of Malicious Code in Executable Programs[J].Int.j.of Req.eng,2009.

[4] 秦中元,徐毓青,梁彪,等.一種Android平臺惡意軟件靜態(tài)檢測方法[J].東南大學學報(自然科學版),2013,43(6):1162-1167.

[5] Sanz B,Santos I,Laorden C,et al.PUMA:Permission Usage to Detect Malware in Android[C]//International Joint Conference CISIS’12-ICEUTE′12-SOCO′12 Special Sessions.Springer Berlin Heidelberg,2013:289-298.

[6] 楊歡,張玉清,胡予濮,等.基于多類特征的Android應用惡意行為檢測系統(tǒng)[J].計算機學報,2014,37(1):15-27.

[7] 程際橋.基于支持向量機的Android惡意軟件檢測方法[D].華中科技大學,2014.

[8] Shabtai A,Kanonov U,Elovici Y,et al.“Andromaly”:a behavioral malware detection framework for android devices[J].Journal of Intelligent Information Systems,2012,38(1):161-190.

[9] Greensmith J,Aickelin U,Cayzer S.Introducing Dendritic Cells as a Novel Immune-Inspired Algorithm for Anomaly Detection[M]//Artificial Immune Systems.Springer Berlin Heidelberg,2010:153-167.

[10] Chelly Z,Elouedi Z.A survey of the dendritic cell algorithm[J].Knowledge & Information Systems,2016,48(3):505-535.

[11] Greensmith J,Aickelin U,Tedesco G.Information fusion for anomaly detection with the dendritic cell algorithm[J].Information Fusion,2010,11(1):21-34.

[12] Asuncion A,Newman D.Uci machine learning repository[OL].2007.http://archive.ics.uci.edu/ml/.

[13] 常文萃,秦振吉.樹突狀細胞算法在圖像分類中的應用[J].計算機應用與軟件,2014,31(4):250-253.

[14] Ng D V,Hwang J I G.Android malware detection using the dendritic cell algorithm[C]//Machine Learning and Cybernetics (ICMLC),2014 International Conference on.IEEE,2014,1:257-262.

[15] Zhou Y,Jiang X.Dissecting android malware:Characterization and evolution[C]//2012 IEEE Symposium on Security and Privacy.IEEE,2012:95-109.

[16] Chelly Z,Elouedi Z.FDCM:A fuzzy dendritic cell method[M]//Artificial Immune Systems.Springer Berlin Heidelberg,2010:102-115.

[17] 文偉平,梅瑞,寧戈,等.Android惡意軟件檢測技術分析和應用研究[J].通信學報,2014,35(8):78-85.

[18] 彭國軍,李晶雯,孫潤康,等.Android惡意軟件檢測研究與進展[J].武漢大學學報理學版,2015,61(1):21-33.

[19] 蔡志標,彭新光.基于系統(tǒng)調(diào)用的Android惡意軟件檢測[J].計算機工程與設計,2013,34(11):3757-3761.

THEANDROIDMALWAREDETECTIONMODELBASEDONCOMPUTERIMMUNE

Wang Xinxin Tan Chengyu Liang Yiwen

(ComputerSchool,WuhanUniversity,Wuhan430072,Hubei,China)

Android malware flooding is based on the characteristics of its openness, existing solutions are based on static or dynamic unilateral features, discriminant algorithm depends more on learning samples, and the accuracy rate has some restrictions. In order to solve these problems, this paper proposed a computer immune malware detection model which combines the static privilege characteristics and dynamic behavior characteristics of Android software. Combining the characteristics of static privilege and dynamic behavior, the characteristic system of Android software was constructed. After pretreatment, it was mapped to DCA. The software was detected by using the lightweight algorithm DCA without sample learning. The experiment proved that the model could effectively detect malicious software.

Android malware Permissions characteristic Dynamic behavior characteristics Dendritic cell algorithm

2017-01-05。王新新，碩士生，主研領域：計算機免疫。譚成予，副教授。梁意文，教授。

TP301.6

A

10.3969/j.issn.1000-386x.2017.12.058