静的検出技術:
利点:テスト環境をより安全かつ迅速に提供することができます。
短所:脆弱なラッパーと悪意のあるコード難読化技術、抗解体技術の一部に影響を与える無効な静的メソッドで得られます。
主な方法:
悪意のある実行可能ファイルを検出するためのバイト・コード・フィールドのようなnグラム機能;(NG発現は、N個の隣接要素の配列を意味し、これらの要素はバイト、命令またはソフトウェア機能に関するその他の情報であってもよいです)
構造的特徴の窓に実行可能ファイルをマイニング。
画像処理技術と可視化分類マルウェアを使用してグレースケール画像として視覚化悪意のあるソフトウェア・バイナリ、。
関数呼び出し属性図のように悪意のあるソフトウェアプログラムから設定情報を抽出するサンプルを分解し、そしてサンプルのコールグラフは、各機能のためのアセンブリコードから生成され、特徴抽出の6種類ら(コング。それぞれについてクラス特性は、判別距離尺度クラスタ学習アルゴリズムを用いて、重みの組み合わせは、悪意のあるコードの検出方法の最終モデルは、静的ラッパーと悪意のあるコード難読化技術の影響を受けやすい使用して得られた、分解のセグメントは、無効な静的メソッドを引き起こしました)。
動的な検出技術:
利点:テスト環境をより安全かつ迅速に提供することができます。
短所:包装および難読化技術の影響に対して脆弱では、通常、分析前にハウジングを解読するために必要な、正規化されています。
主な方法:
オペコードnグラム
APIコールシーケンス [18]によって(Nairさんらと悪意のあるコードそれらの変異体はAPI呼び出しの動的解析を配列、悪意のあるコードが署名としてこの短い配列の共有APIの呼び出しから抽出され、同様の検出は、悪意のあるコードのために実現することができる.Chen悪意のあるコードの動的解析によるフー[19] API呼び出しのシーケンスを得るために、APIは、20 [悪意のあるコード署名.Firdausiらのように、ベクター内にAPIの同じ長さの短い配列を横断コール、およびこれらの短い配列を呼び出し】システムコールを変換する2つの方法を使用して、ベクトル空間モデル特徴抽出方法として報告され、サンプル監視システムコールの悪質なコードの検出方法の動的挙動を提案し、(1)バイナリ1又は0特徴を表します値は、(2)は、2つの機能を処理するための機械学習分類アルゴリズムの様々なを使用して、システムコールを示す周波数特性値を用いて、システムコールは、わずかに良い効果.Ahmedら動的API呼び出しシーケンスによって表さ周波数特性を得るために悪質なコードの検出に、時空間情報をマイニング。空間情報は、正方形、API呼び出しパラメータを参照し、平均値などの統計量の値を返します 違い、エントロピー、最小値と最大時刻情報は、システムコールの固定長配列を使用して、動的検出方法上記送信確率API呼び出しシーケンスを指し、短い配列の長さを決定することは困難であってもため、合理的です最適な長さ値)、すなわち、他の配列の長さセマンティック大量の情報を、失うことになります
なぜなら彼らの悪意あるコードを達成する必要のAPI呼び出しシーケンスは、悪意のあるコードや関連する意味情報の振る舞いを表現することができますが、オペレーティングシステムが提供するAPI関数を用いて行われる必要があります。APIの呼び出しシーケンスを呼び出し、静的呼び出しシーケンスのインポートテーブルまたは逆アセンブルファイルAPIの呼び出しシーケンス、デバッグプログラムを使用して、仮想マシン内で実行するために必要とされる動的呼び出しシーケンスなどを必要としないプログラムを実行する前提の下で文書へのアクセスの静的および動的なシーケンスに分割されシステムと対話するAPIへの呼び出しのシーケンスを得るための技術。APIコールは、テストのための分類アルゴリズムを使用して、機能などの情報を取得し、最終的に高精度に達しています。しかし、悪意のあるコード隠されたインポート・コール・テーブルAPIのため、それは不可能特徴検出効率悪意のあるコードは高くないような静的API順序で、その結果、すべてのAPIコール情報を取得することが、悪意のあるコードは、タイムリーに隠されたインポートテーブルAPI呼び出しでその機能を完了する必要がありますまた、オペレーティングシステムのAPIの相互作用、従って占GMは[4]動的APIシーケンスを取得し、距離及び通常のファイルAPIシーケンスを計算実行中の仮想マシンで疑わしいファイルが特徴として検出されます。動特性はAPI呼び出しシーケンス検出技術を取得し、あまりにも多くのオーバーヘッドが生じ、悪質なコードを実行する機能を得ることが必要であるが、いくつかのことは、レイヤ関連行動を使用して、ウイルスの存在無力仮想マシン環境、およびいくつかの悪意のあるコードを検出するために動的抽出APIの呼び出しシーケンスが得られ難読化技術は、失敗しました。
図(システムコール、関数呼び出しグラフ、および悪意のあるコードを検出することによって達成される、データマイニングおよび機械学習類似性尺度のソフトウェア制御フローデータフロー図)(26れる Karbalaieらに基づいて呼を提案しました悪質なコードの検出図マイニングシステムの方法とシステムは、図中に前記第一のシーケンスを呼び出し)
関数呼出しをコンパイル図のノードは、関数呼び出しを表し、プログラムの静的記述との間の1人の関係の関数呼び出しであるライブラリとシステムのメインプログラムによって呼び出される関数が決定するので、エッジ機能との関係を示しているので、関数呼び出し効果的な静的な近似を提供することができるプログラムの図実際の動作では、プログラムは、ソフトウェアのソースコードやバイナリコード堅牢、IDAPro高度なインタラクティブ分解によって、コールグラフに基づいて、局所的な変形のために構造化された表現であります世代。
各頂点は、ローカル関数を表す関係を、呼び出しFCGキャプチャプログラム。各ローカル機能のために、我々は最初の中間言語に変換し、次にプロパティの6種類を抽出します。これはI / O読み取りおよび書き込みオペレーションコード(発生の各周波数のオペコード)、API(回のAPIライブラリ数、各関数呼び出し)、メモリ(メモリの数を読み出して、この機能で動作を書き込み)、IO(番号)が含まれ動作)、レジスタ(読み取りおよび書き込み操作の)とフラグに各レジスタ番号()は、各ファイルの回数を変更します。属性の種類ごとに、私たちは地元の機能に関連した特徴ベクトルとして表します。
ハイブリッド検出
生物学的免疫測定法
分類精度を向上させ、FNが減少し、負荷を増加させません。
2014 Drebin有効とあなたのポケットにAndroidのマルウェアのEXPLAIN可能検出:
機能の多くの収集、機械学習手法の分類を使用しました。
CCS(CA)-2014-セマンティクス-AwareのAndroidのマルウェアの分類は、加重コンテキストAPIの依存関係グラフを使用します:
意味論に基づいて、行動グラフ、
Fanら。 - 2016 - Androidのマルウェアの頻繁な部分グラフに基づく家族分類:
TDSC(JA)-2016-MADAM効果的かつ効率的な行動ベースのAndroidマルウェア検知防御:
読みます
DroidDetector:ディープ学習を用いたAndroidのマルウェアの特徴付けおよび検出
マリは、中間言語コードとのDalvik Javaバイトコードとの間に介在しています。多くの学生は、のDalvik仮想マシンの実行に、Javaコンパイラの後にDEXファイルを取得し、Androidアプリ一般的に使用されるJava言語を記述し、知っているかもしれません。Dalvikバイトコードまたは修飾された、中間言語Smaliのすなわち導入の理解を容易にするために、アンドロイドを逆転します。Javaコード、のDalvikバイトコードCコードのようなコードSmali関係、アセンブリコード、マシンコードの関係。Smali文法は通常は修正再パッケージ化、理解しやすい、非常に単純であるAPPもSmali言語のレベルで行われます。ここSmali構文に関する具体的なルールは、あなたが自分で情報を検索することができ、あまりにも多くの説明をしません。私たちは、変換SmaliコードDEXファイルを達成するためにsmali、baksmaliツールを使用することができます。