[论文解读] A Preliminary Study On the Sustainability of Android Malware Detection
本文提出 DroidSpan,一种针对 Android 的动态恶意软件检测系统,采用一种新颖的行为特征——敏感访问分布(SAD),以捕捉敏感源、汇点及控制流的细粒度方法调用。通过对七年间 6,000 个应用的分析,作者表明 DroidSpan 在无需再训练的情况下,四年内保持 93% 的 F1 分数,五年内保持 81% 的 F1 分数,其在持续性与抗规避能力方面优于当前最先进的方法。
Machine learning-based malware detection dominates current security defense approaches for Android apps. However, due to the evolution of Android platforms and malware, existing such techniques are widely limited by their need for constant retraining that are costly, and reliance on new malware samples that may not be timely available. As a result, new and emerging malware slips through, as seen from the continued surging of malware in the wild. Thus, a more practical detector needs not only to be accurate but, more critically, to be able to sustain its capabilities over time without frequent retraining. In this paper, we study how Android apps evolve as a population over time, in terms of their behaviors related to accesses to sensitive information and operations. We first perform a longitudinal characterization of 6K benign and malicious apps developed across seven years, with focus on these sensitive accesses in app executions. Our study reveals, during the long evolution, a consistent, clear differentiation between malware and benign apps regarding such accesses, measured by relative statistics of relevant method calls. Following these findings, we developed DroidSpan, a novel classification system based on a new behavioral profile for Android apps. Through an extensive evaluation, we showed that DroidSpan can not only effectively detect malware but sustain high detection accuracy (93% F1 measure) for four years (with 81% F1 for five years). Through a dedicated study, we also showed its resiliency to sophisticated evasion schemes. By comparing to a state-of-the-art malware detector, we demonstrated the largely superior sustainability of our approach at reasonable costs.
研究动机与目标
- 研究 Android 应用在敏感访问模式方面的长期行为演变。
- 解决基于机器学习的恶意软件检测中的可持续性挑战,即模型在未频繁再训练的情况下性能随时间下降的问题。
- 开发一种检测系统,可在无需持续再训练或新增恶意样本的情况下,长期保持高准确率。
- 评估所提方法对复杂混淆与规避技术的抗性。
提出的方法
- 本文提出一种名为敏感访问分布(SAD)的新行为特征,用于捕捉应用执行期间对敏感源、汇点及控制流的细粒度方法调用的范围与分布。
- SAD 通过轻量级字节码插桩在运行时跟踪记录中计算得出,避免了昂贵的静态分析。
- 系统从追踪到的方法调用中构建 52 个动态特征,仅关注敏感操作及其流模式。
- 对七年间 6,000 个良性与恶意应用的纵向分析显示,SAD 特征在恶意与良性应用之间表现出一致的区分性。
- DroidSpan 使用基于 SAD 特征训练的分类器检测恶意软件,且在长时间内无需再训练。
- 该方法通过交叉验证及真实世界应用的独立测试进行评估,包括对抗样本与基于模拟器的规避测试。
实验结果
研究问题
- RQ1Android 应用的敏感访问模式随时间如何演变,尤其是在良性与恶意应用之间?
- RQ2基于敏感访问分布的动态行为特征是否能在无需再训练的情况下,持续多年保持高检测准确率?
- RQ3所提出的检测系统对控制流扁平化与 API 调用混淆等混淆与规避技术的抗性如何?
- RQ4与最先进的检测器(如 MamaDroid)相比,DroidSpan 在长期准确率与可持续性方面的表现如何?
主要发现
- 尽管 Android 平台持续演进,SAD 特征在七年内仍清晰、一致地区分出良性与恶意应用的敏感访问模式。
- DroidSpan 在无需再训练的情况下,四年内保持 93% 的 F1 分数,五年内保持 81% 的 F1 分数,显著优于现有方法。
- 该系统对规避技术表现出强抗性,包括控制流混淆与基于模拟器的规避,性能下降微乎其微。
- 与 MamaDroid 相比,DroidSpan 在更长时间内保持更高准确率,以合理的计算成本实现了更优的可持续性。
- 纵向分析表明,良性应用的 SAD 特征比恶意应用更具稳定性,支持该方法的长期可行性。
- 评估结果证实,通过 SAD 进行动态特征提取在真实世界应用与对抗样本上均有效且稳健。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。