基于支持向量机的Android恶意软件检测

Question

我正在尝试开发一个能够使用支持向量机(SVM)检测Android平台恶意应用程序的应用程序。我可以从"logcat“和"strace”工具中获得许多系统信息，但我现在不知道如何检测真正的恶意应用程序。有没有人知道如何使用这些工具来建立/记录设备的正常行为使用，我的意思是，从设备获取信息并设置行为模式。

诚挚的问候

Answer 1

您在确定恶意应用程序行为时总是会遇到问题：Kymie M.C. Tan, Roy A. Maxion, ""Why 6?" Defining the Operational Limits of Stide, an Anomaly-Based Intrusion Detector," sp, pp.188, 2002 IEEE Symposium on Security and Privacy, 2002

但是如果你真的想尝试一下，也许你可以从这里开始："Intrusion Detection Using Sequences of System Calls." S. Hofmeyr, S. Forrest, and A. Somayaji Journal of Computer Security Vol. 6, pp. 151-180 (1998)

Answer 2

我在想，这是不是有可能...

您希望如何评估应用程序的行为是否正常？你是否计划了一个“学习阶段”，在这个阶段，某个应用程序所做的一切都会被记录下来(如果这在没有root访问权限的情况下是可能的话！)然后保存为该应用程序的“正常行为”的“配置文件”？

假设你记录了一个应用程序的任何行为，比如一个在主屏幕上组织图标的工具。现在假设这个应用程序还提供了直接呼叫您喜爱的联系人的功能，它将需要访问您的联系人和拨打电话的权限。如果这个功能很少被使用，你可能不会在这个应用程序的“学习”期间记录它，并在它试图打电话时将其评为恶意。

如果应用程序在“学习阶段”显示出恶意行为，而您无法检测到它，因为您还没有确定“正常行为”，该怎么办？

听起来像是“正常行为”必须保存在某个地方，以便在安装应用程序之前对其进行评级，然后它就会开始表现得很奇怪，或者执行不必要的操作。但话又说回来:一个用户想要的东西对于另一个用户来说可能是完全正常的……

我对人们想出的任何花哨的解决方案都很感兴趣，但我想这将是一个困难的解决方案……

Answer 3

如果你首先在Android中使用恶意调用集，而不是分析正常的调用集，那会怎么样？

另外，请注意，如果您使用的是无监督分类，则它不知道它分类的是哪种数据