[论文解读] DroidAnalytics: A Signature Based Analytic System to Collect, Extract, Analyze and Associate Android Malware
DroidAnalytics 是一种基于特征的系统,可自动在指令集级别收集、分析并关联 Android 恶意软件,从而实现对重打包和零日恶意软件的检测。它采用多级特征生成与相似度评分技术,在 150,368 个应用中识别出恶意代码片段,成功检测出 102 个家族的 2,494 个恶意软件样本,包括 342 个零日变种。
Smartphones and mobile devices are rapidly becoming indispensable devices for many users. Unfortunately, they also become fertile grounds for hackers to deploy malware and to spread virus. There is an urgent need to have a "security analytic & forensic system" which can facilitate analysts to examine, dissect, associate and correlate large number of mobile applications. An effective analytic system needs to address the following questions: How to automatically collect and manage a high volume of mobile malware? How to analyze a zero-day suspicious application, and compare or associate it with existing malware families in the database? How to perform information retrieval so to reveal similar malicious logic with existing malware, and to quickly identify the new malicious code segment? In this paper, we present the design and implementation of DroidAnalytics, a signature based analytic system to automatically collect, manage, analyze and extract android malware. The system facilitates analysts to retrieve, associate and reveal malicious logics at the "opcode level". We demonstrate the efficacy of DroidAnalytics using 150,368 Android applications, and successfully determine 2,494 Android malware from 102 different families, with 342 of them being zero-day malware samples from six different families. To the best of our knowledge, this is the first reported case in showing such a large Android malware analysis/detection. The evaluation shows the DroidAnalytics is a valuable tool and is effective in analyzing malware repackaging and mutations.
研究动机与目标
- 解决缺乏自动化大规模 Android 恶意软件收集与分析系统的问题。
- 通过细粒度的指令集级别特征生成,实现对重打包和零日恶意软件的检测。
- 克服基于权限或哈希的恶意软件关联方法的局限性。
- 通过支持方法级别与类级别恶意逻辑关联,支持 Forensic 分析。
- 提供可扩展的自动化平台,用于恶意软件分析与动态载荷分析。
提出的方法
- 基于 Scrapy 构建的可扩展爬虫,系统性地从官方及第三方市场收集 Android 应用。
- 一种多级特征算法,从应用字节码中提取指令集级别的语义特征,提升对混淆攻击的鲁棒性。
- 基于指令集级别模式的相似度评分机制,用于将新恶意软件与已知家族关联。
- 权限递归与类关联技术,用于追踪方法与类之间的权限与恶意行为。
- 支持动态载荷分析与变异检测的特征生成流水线。
- 集成信息检索技术,实现在恶意软件数据库中对恶意逻辑的快速搜索与关联。
实验结果
研究问题
- RQ1如何从多样化的第三方来源大规模系统性地收集 Android 恶意软件?
- RQ2如何在指令集级别生成特征,以抵抗混淆与重打包攻击?
- RQ3如何通过将未知新恶意软件与已知家族关联,实现对新型未知恶意软件(零日)的检测?
- RQ4如何在方法与类级别可靠地关联跨应用的恶意逻辑?
- RQ5指令集级别的特征在多大程度上能提升对变异或重打包恶意软件的检测能力?
主要发现
- DroidAnalytics 收集了 150,368 个 Android 应用,其中 2,494 个被识别为来自 102 个不同家族的恶意软件。
- 该系统成功检测出 6 个不同家族的 342 个零日恶意软件样本,证明其具备对未知威胁的早期检测能力。
- 指令集级别的特征方法对恶意软件作者常用的常见混淆与重打包技术表现出良好的鲁棒性。
- 该系统实现了有效的方法与类级别恶意逻辑关联,其准确率与灵敏度均优于传统的基于权限或哈希的方法。
- 相似度评分机制可高精度地快速识别恶意代码片段,即使在混淆或变异的变体中亦表现良好。
- 评估结果表明,DroidAnalytics 显著提升了恶意软件分析效率,并支持可扩展的自动化取证调查。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。