-
题名条件上下文敏感的安卓恶意虚拟化应用检测方法
- 1
-
-
作者
孟昭逸
黄文超
张威楠
熊焰
-
机构
安徽大学计算机科学与技术学院
中国科学技术大学计算机科学与技术学院
-
出处
《电子学报》
EI
CAS
CSCD
北大核心
2024年第11期3669-3683,共15页
-
基金
国家自然科学基金(No.62102385)
安徽省自然科学基金(No.2108085QF262)。
-
文摘
安卓虚拟化应用作为宿主程序,支持以插件形式动态加载用户所需功能模块.恶意开发者可利用上述应用特性将其真实攻击意图隐藏在插件程序的执行中,以躲避针对宿主程序的检测.然而,插件程序数量众多且难以获取与分析,并且现有基于既定模式的安卓恶意虚拟化应用检测方案存在可检测应用类型有限的问题.本文提出一种条件上下文敏感的安卓恶意虚拟化应用检测方法并实现了原型工具MVFinder.该方法以安卓虚拟化应用代码中触发插件程序加载或调用行为的上下文环境为切入点,挖掘出隐藏的恶意性,避免耗费大量资源去尝试实时获取不同种类的插件程序或逐一解析插件的加载与运行模式.同时,该方法利用异常检测技术,发现与大多数善意应用的条件上下文存在较大差异的数据样本,进而识别出目标恶意应用,避免基于既定规则进行检测的局限性.实验结果表明,本方法对安卓恶意虚拟化应用检测的准确率和F1分数均优于当前学术界的代表性方案VAHunt、Drebin与Difuzer.此外,相较于VAHunt,MVFinder可识别出HummingBad和PluginPhantom恶意应用家族的变种.
-
关键词
移动安全
安卓虚拟化应用
恶意代码
上下文信息
静态分析
异常检测
-
Keywords
mobile security
Android virtualization applications
malicious code
contextual information
static anal⁃ysis
outlier detection
-
分类号
TP309.5
[自动化与计算机技术—计算机系统结构]
-
