APK Auditor:Permission-based Android malware detection system, Digital Investigation(SCI,IF=0.986), 2015年6月 [1]
http://www.sciencedirect.com/science/article/pii/S174228761500002X
1.1. 背景
土耳其Abant Izzet Baysal大学和Gazi大学的研究人员针对现有Android权限管理无法动态调整、用户难以理解权限意义等问题,提出了一种基于权限的Android恶意软件检测方法,并实现了其原型系统APK Auditor。APK Auditor的服务器端可以对用户设备中的应用和Google Play应用商店中的应用进行权限分析,并基于概率论方法对每个权限的安全性进行打分,通过公式给出应用为恶意应用的可能性分数,并通过Logistic回归方法确定恶意应用分数临界值。
APK Auditor提供了在线测试的网站:其地址为:http://app.ibu.edu.tr:8080/apkinspectoradmin,用户名、密码为“guest/Guest1”。
1.2. 贡献
本文提出了基于权限的恶意软件检测系统APK Auditor,体系结构如图1所示。APK Auditor由三部分组成:1)Android客户端;2)指纹数据库;3)中心服务器。其中中心服务器负责与Android客户端和指纹数据库进行通信,并执行真正的分析流程。Android客户端通过Web浏览器界面与中心服务器通信,可以提交应用或者获取分析结果。
图1 APK Auditor体系结构
中心服务器一方面会将Android客户端提交的应用样本进行分析,另一方面会在午夜时自动从Google应用商店下载100个应用进行分析。因此APK Auditor是一个能够不断自学习的系统。
1.3. 对比
对比本文,其他现有工作1)APK Auditor全部在服务器端完成分析工作,不需要占用手机资源;2)本文方法时间开销小,分析速度快,并且对APK大小不敏感,不会因为APK尺寸而导致分析时间过长。
1.4. 实验
本文的应用样本共有8762个应用,由两部分组成:1)恶意应用采用公开的contagio mobile、Drebin、Android Malware Genome Project恶意应用数据集,共有6909个恶意应用;2)从谷歌应用商店下载的正常应用,共1853个。
在数据集中,APK Auditor采用70%的数据作为训练集,30%的数据作为测试集,实验结果表明,本文方法恶意应用检测的准确率为88.28%,误报率为0.46%。具体数据如表1所示。
表1 APK Auditor方法恶意应用检测结果
1.5. 专家观点
Symantec公司最新互联网安全报告显示,目前Android平台的应用里有17%是恶意软件,包括恶意扣费、隐私获取、诱骗欺诈、恶意传播等类型,给终端用户带来巨大的安全隐患,因此Android恶意应用检测也一直是一个研究热点。本文提出的方法优势在于比较实用,实时性较好,适合业界公司进行实现和部署。手机公司有自己的手机操作系统和应用商店,面对数量庞大的应用开发者,其应用商店的应用审核完全靠人工去识别不现实,需要类似本文的自动化工具的辅助检测。本文成果利用该成果可用于手机应用商店中,以更好地改善手机生态的安全性。
1.6. 参考文献
[1] Talha, Kabakus Abdullah, Dogru IbrahimAlper, and Cetin Aydin. "APK Auditor: Permission-based Android malwaredetection system." Digital Investigation 13 (2015): 1-14.