Skip to main content
QUICK REVIEW

[論文レビュー] A Preliminary Study On the Sustainability of Android Malware Detection

Haipeng Cai|arXiv (Cornell University)|Jan 1, 2018
Advanced Malware Detection Techniques参考文献 37被引用数 6
ひとこと要約

本稿では、Android向けの動的マルウェア検出システムDroidSpanを提案する。このシステムは、センシティブなソース、シンク、制御フローのメソッドレベル呼び出しを捉えるための新規行動プロファイル「感受性アクセス分布(SAD)」を用いる。7年間にわたり6,000のアプリを分析した結果、再トレーニングなしで4年間は93%のF1スコアを維持し、5年間は81%を維持するなど、再訓練に依存せず、エビデンス回避に対しても優れた耐性を示し、最先端の手法を上回る持続可能性を実現した。

ABSTRACT

Machine learning-based malware detection dominates current security defense approaches for Android apps. However, due to the evolution of Android platforms and malware, existing such techniques are widely limited by their need for constant retraining that are costly, and reliance on new malware samples that may not be timely available. As a result, new and emerging malware slips through, as seen from the continued surging of malware in the wild. Thus, a more practical detector needs not only to be accurate but, more critically, to be able to sustain its capabilities over time without frequent retraining. In this paper, we study how Android apps evolve as a population over time, in terms of their behaviors related to accesses to sensitive information and operations. We first perform a longitudinal characterization of 6K benign and malicious apps developed across seven years, with focus on these sensitive accesses in app executions. Our study reveals, during the long evolution, a consistent, clear differentiation between malware and benign apps regarding such accesses, measured by relative statistics of relevant method calls. Following these findings, we developed DroidSpan, a novel classification system based on a new behavioral profile for Android apps. Through an extensive evaluation, we showed that DroidSpan can not only effectively detect malware but sustain high detection accuracy (93% F1 measure) for four years (with 81% F1 for five years). Through a dedicated study, we also showed its resiliency to sophisticated evasion schemes. By comparing to a state-of-the-art malware detector, we demonstrated the largely superior sustainability of our approach at reasonable costs.

研究の動機と目的

  • Androidアプリの感受性アクセスパターンにおける長期的行動的進化を調査すること。
  • 機械学習ベースのマルウェア検出において、頻繁な再トレーニングがなければモデルの性能が低下するという持続可能性の課題を解決すること。
  • 継続的な再トレーニングや新たなマルウェアサンプルに依存せずに、長期間にわたり高い精度を維持できる検出システムを開発すること。
  • 提案手法が、制御フローのフラットニングやAPIコールの難読化といった高度な難読化・回避技術に対してどれほど耐性があるかを評価すること。

提案手法

  • 本稿では、アプリ実行中に感受性のあるソース、シンク、制御フローのメソッドレベル呼び出しの度合いと分布を捉える、新規の行動プロファイル「感受性アクセス分布(SAD)」を導入する。
  • SADは、実行時トレース上で軽量なバイトコードインストルメンテーションを用いて計算され、高コストな静的解析を回避する。
  • トレースされたメソッド呼び出しから、感受性操作とそのフローパターンに限定して52の動的特徴を構築する。
  • 7年間にわたり6,000の健全および悪意あるアプリを対象とした縦断的分析により、マルウェアと健全アプリの間でSADプロファイルに一貫した差が示された。
  • DroidSpanは、SADプロファイルでトレーニングされた分類器を用いてマルウェアを検出するが、時間経過に伴い再トレーニングは一切不要である。
  • 本手法は、交差検証および実世界のアプリ(悪意あるサンプルやエミュレータベースの回避テストを含む)を用いた独立テストにより評価された。

実験結果

リサーチクエスチョン

  • RQ1Androidアプリの感受性アクセスパターンは、特に健全アプリとマルウェアの間で、時間経過とともにどのように変化するか?
  • RQ2感受性アクセス分布に基づく動的行動プロファイルは、再トレーニングなしで複数年にわたり高い検出精度を維持できるか?
  • RQ3本手法で提案された検出システムは、制御フローのフラットニングやAPIコールの難読化といった難読化・回避技術に対してどれほど耐性を示すか?
  • RQ4MamaDroidなどの最先端の検出器と比較して、DroidSpanの長期的精度と持続可能性はどのように異なるか?

主な発見

  • SADプロファイルは、Androidプラットフォームの進化にもかかわらず、7年間にわたり健全アプリとマルウェアの間で感受性アクセスパターンにおいて一貫した明確な差を示した。
  • DroidSpanは、再トレーニングなしで4年間は93%のF1スコア、5年間は81%のF1スコアを維持し、既存の手法を著しく上回った。
  • 制御フローの難読化やエミュレータベースの回避攻撃に対しても、性能劣化が最小限に抑えられ、強い耐性を示した。
  • MamaDroidと比較して、DroidSpanはより長期間にわたり高い精度を維持し、計算コストを抑えつつ優れた持続可能性を達成した。
  • 縦断的分析から、健全アプリはマルウェアよりもSADプロファイルにおいてより高い安定性を示しており、本手法の長期的妥当性を裏付けた。
  • 評価結果から、SADによる動的プロファイリングが、実世界のアプリや悪意あるサンプルに対しても効果的で頑健であることが確認された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。