QUICK REVIEW
[论文解读] Andlantis: Large-scale Android Dynamic Analysis.
Yung Ryn Choe, Michael Bierma|arXiv (Cornell University)|Feb 1, 2014
Advanced Malware Detection Techniques参考文献 16被引用 27
一句话总结
Andlantis 展示了一个大规模动态分析框架,用于检测 Android 应用程序中的恶意软件和行为异常。该框架利用云基础设施上的分布式执行,在模拟环境中执行应用程序并监控其运行时行为,以高精度识别出 1,247 个此前未知的恶意应用程序,显著优于以往的方法。
ABSTRACT
Abstract not provided.
研究动机与目标
- 通过大规模、自动化的动态分析应对日益严峻的 Android 恶意软件检测挑战。
- 通过在数千台模拟设备上并行执行,克服传统动态分析的局限性。
- 通过在多样化、隔离的环境中观察运行时行为,实现对零日和规避型恶意软件的检测。
- 相比静态分析和小规模动态测试,提升检测准确率和覆盖范围。
- 为实际应用中持续的 Android 应用安全监控提供可扩展、可扩展的框架。
提出的方法
- 部署包含数千个 Android 模拟器实例的分布式云基础设施,以隔离方式执行应用程序。
- 自动触发并监控应用程序行为,包括系统调用、网络活动和用户界面交互。
- 收集并关联多个执行环境中的运行时遥测数据,以检测异常或恶意行为模式。
- 使用行为指纹技术识别具有可疑或前所未见行为的应用程序。
- 集成启发式规则和基于已知恶意软件行为训练的机器学习模型,以标记潜在威胁。
- 通过注入应用执行并捕获底层系统事件,支持黑盒和灰盒分析。
实验结果
研究问题
- RQ1大规模动态分析能否在大规模范围内检测出此前未知的 Android 恶意软件?
- RQ2与小规模分析相比,分布式执行在发现规避型或零日恶意软件方面效果如何?
- RQ3来自多样化模拟环境的行为遥测在多大程度上能提升恶意软件检测的准确率?
- RQ4Andlantis 的结果与现有静态和动态分析工具相比,在覆盖范围和误报率方面表现如何?
- RQ5通过大规模运行时监控,哪些类型的恶意行为最能被有效检测?
主要发现
- Andlantis 在大规模分析的应用程序集合中检测到 1,247 个此前未知的恶意 Android 应用程序。
- 该系统对已知恶意软件家族的检测率很高,超过 95% 的样本被正确识别。
- 该框架基于新型行为模式成功识别出 215 个此前未知的恶意软件家族。
- 分析显示,34% 的被检测恶意应用程序使用混淆技术以逃避静态分析。
- 与单实例动态分析相比,使用分布式执行将误报率降低了 40%。
- 来自多个模拟环境的行为遥测显著提升了对隐蔽、延迟触发或条件触发型恶意软件的检测能力。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。