·172· 智能系统学报 第13卷 表2基于多项式核函数的Droid-Svd实验的平均值 是其安全性、实时性、性能等方面均存在不足，特别 Table 2 The experimental FPR comparison of Polynomial 是在移动端发展迅速的情况下，其检测机制难以满 kernel function 足恶意软件检测需求。本文所提出的框架对以上问 平均误报率 平均漏报率 题给出解决方案，具有应对未知恶意软件和恶意软 0.05 0.110 0.008 0.15 0.265 0.036 件变异的能力。针对静态分析中的特征包含的隐藏 0.10 0.181 0.016 信息，提出一种挖掘数据隐含特征的数据处理方 0.20 0.298 0.025 案，并且将它融入到单分类算法中，进而改进了单 0.30 0.389 0.045 分类算法模型，降低了恶意软件检测的误报率。其 0.40 0.457 0.072 中，多项式核函数的漏报率从11%降低到了0.5%： 0.50 0.550 0.200 0.60 0.676 0.419 RBF核函数的实验也有相应的提高。但是因为静 0.70 0.665 0.365 态分析固有的特性，应对代码混淆需要更好的反编 0.80 0.738 0.534 译技术：另外正常样本往往会不可避免地混人恶意 0.90 0.898 0.831 行为而导致模型偏离现象：这些问题也是以后要研 0.50r Driod-Svd 究的方向。 0.40 -Driod-Saf 号0.30 参考文献： 0.20 [1]微头条.Gartner:2016全球手机出货预计19.59亿部 0.10 [EB/OL].http://www.wtoutiao.com/p/19cnOtt.html 0 5791113151719212325 [2]中文业界资讯站.2015年Android恶意软件样本数量超 230[EB/OL].[2017-05-13].http://www.cnbeta.com/articles/ 图3多项式核函数的实验对比 478843.html. Fig.3 The experimental comparison of Polynomial kernel [3)]杨威，肖旭生，李邓锋，等.移动应用安全解析学：成果与 function 挑战.信息安全学报，2016,1(2)：1-14. 4.5实验总结 YANG Wei,XIAO Xusheng,LI Dengfeng,et al.Security 为了直观对比实验的改进效果，表3给出了 analytics for mobile apps:achievements and challenges[J]. Droid-Svd和Droid-.Saf在核函数分别为多项式和 Journal of cyber security,2016,1(2):1-14. RBF的最好结果。多项式核函数的实验结果在图 [4]AVDIIENKO V.KUZNETSOV K.GORLA A.et al.Min- 2中，误报率在c=0.05、b(1-25)不同时总体上差别 ing apps for abnormal usage of sensitive data[C]//Proceed- 不大，b对应25个实验数据，对这25个实验数据先 ings of 37th IEEE International Conference on Software En- 求和再求平均数；RBF核函数的实验结果在图3 gineering.Florence,Italy,2015:426-436. 中，结果在b(1-25)不同时波动较大，因此取了两条 [5]JUSZCZAK P.Learning to recognise:a study on one-class 曲线上结果最好的数据。 classification and active learning[D].TU Delft,the Nether- 表3实验总结的平均结果 lands:Delft University of Technology,2006. Table 3 The summarized average results of the experi- [6]ZHOU W,ZHOU Y,GRACE M,et al.Fast,scalable detec- ments tion of piggybacked mobile applications[C]//Proceedings of 核函数类型 实验方案 漏报率/% 误报率% the third ACM conference on Data and application security Droid-Svd J 0 and privacy.[s.I.],ACM,2013:185-196. RBF核函数 [7]TAX D M J,DUIN R P W.Support vector data description Droid-Saf 2.3 0 [J].Machine learning,2004,54(1):45-66. Droid-Svd 11 0.8 多项式核函数 [8]ZHOU Wu,ZHOU Yajin,GRACE M,et al.Fast,scalable Droid-Saf 0.5 0 detection of"piggybacked"mobile applications[C]//Pro- 表3证明了改进方法的有效性和适用性，改进 ceedings of the Third ACM Conference on Data and Applic- ation Security and Privacy.San Antonio,Texas,USA,2013: 后的算法舍弃了对实验结果影响敏感的参数℃，调 185-196. 参简单。 [9]GRACE M,ZHOU Yajin,ZHANG Qiang,et al.Riskranker: 5结束语 scalable and accurate zero-day Android malware detection[C]//Proceedings of the 10th International Confer- 传统分类方案虽然实现了恶意软件的检测，但 ence on Mobile Systems,Applications,and Services(MO-表 2 基于多项式核函数的 Droid-Svd 实验的平均值 Table 2 The experimental FPR comparison of Polynomial kernel function c 平均误报率 平均漏报率 0.05 0.110 0.008 0.15 0.265 0.036 0.10 0.181 0.016 0.20 0.298 0.025 0.30 0.389 0.045 0.40 0.457 0.072 0.50 0.550 0.200 0.60 0.676 0.419 0.70 0.665 0.365 0.80 0.738 0.534 0.90 0.898 0.831 1 3 5 7 9 11 13 15 17 19 21 23 25 b 0.50 0.40 0.30 0.20 0.10 0 䄛៑⢳ Driod-Svd Driod-Saf 图 3 多项式核函数的实验对比 Fig. 3 The experimental comparison of Polynomial kernel function 4.5 实验总结 为了直观对比实验的改进效果，表 3 给出了 Droid-Svd 和 Droid-Saf 在核函数分别为多项式和 RBF 的最好结果。多项式核函数的实验结果在图 2 中，误报率在 c=0.05、b(1-25) 不同时总体上差别 不大，b 对应 25 个实验数据，对这 25 个实验数据先 求和再求平均数；RBF 核函数的实验结果在图 3 中，结果在 b(1-25) 不同时波动较大，因此取了两条 曲线上结果最好的数据。 表 3 实验总结的平均结果 Table 3 The summarized average results of the experi￾ments 核函数类型 实验方案 漏报率/% 误报率/% RBF 核函数 Droid-Svd 5 0 Droid-Saf 2.3 0 多项式核函数 Droid-Svd 11 0.8 Droid-Saf 0.5 0 表 3 证明了改进方法的有效性和适用性，改进 后的算法舍弃了对实验结果影响敏感的参数 c，调 参简单。 5 结束语 传统分类方案虽然实现了恶意软件的检测，但 是其安全性、实时性、性能等方面均存在不足，特别 是在移动端发展迅速的情况下，其检测机制难以满 足恶意软件检测需求。本文所提出的框架对以上问 题给出 解决方案，具有应对未知恶意软件和恶意软 件变异的能力。针对静态分析中的特征包含的隐藏 信息，提出一种挖掘数据隐含特征的数据处理方 案，并且将它融入到单分类算法中，进而改进了单 分类算法模型，降低了恶意软件检测的误报率。其 中，多项式核函数的漏报率从 11% 降低到了 0.5%； RBF 核函数的实验也有相应的提高。但是因为静 态分析固有的特性，应对代码混淆需要更好的反编 译技术；另外正常样本往往会不可避免地混入恶意 行为而导致模型偏离现象；这些问题也是以后要研 究的方向。 参考文献： 微头条. Gartner: 2016 全球手机出货预计 19.59 亿部 [EB/OL]. http://www.wtoutiao.com/p/19cnOtt.html. [1] 中文业界资讯站. 2015 年 Android 恶意软件样本数量超 230 万[EB/OL]. [2017-05-13]. http://www.cnbeta.com/articles/ 478843.html. [2] 杨威, 肖旭生, 李邓锋, 等. 移动应用安全解析学: 成果与 挑战[J]. 信息安全学报, 2016, 1(2): 1–14. YANG Wei, XIAO Xusheng, LI Dengfeng, et al. Security analytics for mobile apps: achievements and challenges[J]. Journal of cyber security, 2016, 1(2): 1–14. [3] AVDIIENKO V, KUZNETSOV K, GORLA A, et al. Min￾ing apps for abnormal usage of sensitive data[C]//Proceed￾ings of 37th IEEE International Conference on Software En￾gineering. Florence, Italy, 2015: 426–436. [4] JUSZCZAK P. Learning to recognise: a study on one-class classification and active learning[D]. TU Delft, the Nether￾lands: Delft University of Technology, 2006. [5] ZHOU W, ZHOU Y, GRACE M, et al. Fast, scalable detec￾tion of piggybacked mobile applications[C]//Proceedings of the third ACM conference on Data and application security and privacy. [s.l.], ACM, 2013: 185–196. [6] TAX D M J, DUIN R P W. Support vector data description [J]. Machine learning, 2004, 54(1): 45–66. [7] ZHOU Wu, ZHOU Yajin, GRACE M, et al. Fast, scalable detection of “piggybacked” mobile applications[C]//Pro￾ceedings of the Third ACM Conference on Data and Applic￾ation Security and Privacy. San Antonio, Texas, USA, 2013: 185–196. [8] GRACE M, ZHOU Yajin, ZHANG Qiang, et al. Riskranker: scalable and accurate zero-day Android malware detection[C]//Proceedings of the 10th International Confer￾ence on Mobile Systems, Applications, and Services (MO- [9] ·172· 智 能 系 统 学 报 第 13 卷