动静结合的Android恶意代码行为检测提升准确率

本文主要探讨了基于动静结合的Android恶意代码行为相似性检测方法。针对恶意软件家族间常见的行为相似性现象，研究人员提出了一个创新的检测策略，该策略将静态分析和动态运行程序相结合，以提高软件行为相似性度量的效率和准确性。 首先，静态分析部分通过反编译和Soot代码转换框架，对恶意代码进行处理，提取程序的控制流图（Control Flow Graph，CFG）。控制流图是程序执行流程的一种可视化表示，它描绘了程序中各个基本块之间的控制转移关系。通过分析行为子图，即控制流图中的子结构，可以量化程序执行路径的相似性，从而在不运行代码的情况下初步评估其行为特征。 然后，动态运行阶段利用自动化测试框架来实际执行恶意代码，同时捕获其运行时行为，如API调用和系统调用等。为了减少数据量并提高效率，采用了文本无关压缩算法对捕获的trace文件进行压缩。这些trace文件记录了程序执行过程中关键操作的序列，通过比较不同程序的压缩后的trace，可以进一步测量它们在执行过程中的行为一致性。 这种方法的优势在于兼顾了静态分析的执行效率，因为它不需要实际运行，以及动态检测的准确性，因为它能够反映实际的运行行为。实验结果显示，该检测技术在衡量程序行为相似性方面表现出色，相比于传统的Androguard等工具，其准确率有显著提升。这对于恶意代码的识别、家族分类和潜在威胁评估具有重要的实践价值。 研究团队由多位专家组成，包括陈鹏、赵荣彩、单征和韩金等，他们分别在信息安全、高性能计算、网络安全和恶意代码检测等领域有着深厚的学术背景和实践经验。他们的合作为Android恶意代码行为相似性检测领域的研究带来了新的视角和方法。 本文的研究成果不仅对恶意软件防御具有重要意义，也为其他领域的软件行为分析提供了参考。此外，文中还提到了国家自然科学基金的资助，这进一步证明了该研究的学术价值和实用价值。这篇论文通过细致的技术实施和实证分析，深化了我们对恶意代码行为相似性检测的理解，并展示了其在保障移动设备安全方面的潜力。