Luận án: Phân loại mã độc Android sử dụng học sâu - Lê Đức Thuận, ĐH Bách Khoa HN
Phân loại mã độc Android sử dụng học sâu. Xây dựng mô hình nhận diện hiệu quả, tăng cường khả năng bảo vệ thiết bị di động khỏi các mối đe dọa.
Computer Engineering
Luan An
Doctoral Dissertation
Năm xuất bản
Số trang
140
Thời gian đọc
21 phút
Lượt xem
0
Lượt tải
0
Phí lưu trữ
40 Point
Mục lục chi tiết
Tóm tắt nội dung
I.Tổng quan phân loại mã độc Android và các phương pháp cơ bản
Phân loại mã độc Android là lĩnh vực trọng yếu trong an ninh mạng di động. Hệ điều hành Android phổ biến, thu hút sự chú ý của tội phạm mạng. Số lượng phần mềm độc hại gia tăng nhanh chóng. Nghiên cứu này cung cấp cái nhìn tổng quan về các phương pháp phát hiện malware Android hiện có. Các kỹ thuật phân loại được phân tích sâu. Điều này bao gồm phương pháp dựa trên chữ ký và phương pháp dựa trên hành vi bất thường. Mục tiêu là phát triển giải pháp mạnh mẽ chống lại các mối đe dọa. Độ chính xác, độ tin cậy của hệ thống phát hiện là ưu tiên hàng đầu. Tài liệu cũng nêu bật tầm quan trọng của các tập dữ liệu mã độc. Chúng là nền tảng cho việc đào tạo và kiểm thử mô hình học sâu. Phân tích này đặt nền móng cho các kỹ thuật mới. Nó hỗ trợ việc áp dụng học sâu vào việc nhận diện các mối đe dọa. An ninh mạng di động được tăng cường đáng kể. Các phương pháp truyền thống thường gặp hạn chế trước mã độc biến đổi. Nhu cầu về các hệ thống thông minh hơn là rất lớn.
1.1. Tổng quan về mã độc Android và phân loại
Mã độc Android gây ra nhiều mối đe dọa. Chúng bao gồm đánh cắp dữ liệu, kiểm soát thiết bị, và các cuộc tấn công tài chính. Phân loại mã độc Android là quá trình nhận diện và nhóm các mẫu phần mềm độc hại. Hai phương pháp chính được sử dụng: dựa trên chữ ký và dựa trên sự bất thường. Phương pháp dựa trên chữ ký so khớp mã độc với cơ sở dữ liệu đã biết. Phương pháp này nhanh nhưng kém hiệu quả với mã độc biến đổi. Phương pháp dựa trên sự bất thường theo dõi hành vi ứng dụng. Nó tìm kiếm hoạt động khác thường so với các ứng dụng hợp pháp. Kỹ thuật này phát hiện mã độc zero-day tốt hơn. Tuy nhiên, nó có thể tạo ra nhiều lỗi dương tính giả. Đánh giá hiệu suất phân loại sử dụng các chỉ số như Độ chính xác (Accuracy), Độ chính xác (Precision), Độ thu hồi (Recall), và Điểm F1 (F1-score). Các chỉ số này giúp định lượng hiệu quả của mô hình. Chúng đảm bảo khả năng phát hiện malware Android một cách đáng tin cậy. Việc lựa chọn tập dữ liệu phù hợp cũng rất quan trọng. Tập dữ liệu chất lượng cao đảm bảo tính hiệu quả của mô hình học. Các đặc trưng được trích xuất từ mã độc được phân tích cẩn thận. Mục tiêu là xây dựng một hệ thống phòng thủ vững chắc.
1.2. Phương pháp phân loại mã độc dựa trên học máy
Học máy cung cấp cách tiếp cận mạnh mẽ để phân loại mã độc Android. Phương pháp này dựa vào việc trích xuất đặc trưng từ các ứng dụng. Đặc trưng có thể là phân tích tĩnh hoặc phân tích động. Phân tích tĩnh bao gồm quyền yêu cầu (permissions), lời gọi API (API calls), và chuỗi mã lệnh (opcode sequences). Phân tích động ghi lại hành vi ứng dụng khi chạy trong môi trường sandbox. Sau khi trích xuất, các đặc trưng được xử lý. Quá trình này bao gồm tăng cường đặc trưng và chọn lọc đặc trưng. Tăng cường đặc trưng tạo ra các đặc trưng mới từ những đặc trưng hiện có. Chọn lọc đặc trưng loại bỏ các đặc trưng không cần thiết. Điều này giúp giảm nhiễu và cải thiện hiệu suất mô hình. Nhiều thuật toán học máy đã được áp dụng. Chúng bao gồm Rừng ngẫu nhiên (Random Forest), Máy véc-tơ hỗ trợ (Support Vector Machine), và K-hàng xóm gần nhất (K-Nearest Neighbor). Mạng nơ-ron nhân tạo cũng bắt đầu được sử dụng. Mỗi thuật toán có ưu điểm và nhược điểm riêng. Việc lựa chọn thuật toán phù hợp phụ thuộc vào loại dữ liệu và mục tiêu phân loại. Các phương pháp này đã cải thiện đáng kể khả năng phát hiện malware Android. Chúng giúp đối phó hiệu quả hơn với các mối đe dọa ngày càng phức tạp.
II.Kỹ thuật trích xuất đặc trưng mới cho phát hiện mã độc Android
Trích xuất đặc trưng là bước cốt lõi trong phân loại mã độc Android. Đặc trưng chất lượng cao cải thiện đáng kể hiệu suất của mô hình học sâu. Nghiên cứu này đề xuất các kỹ thuật mới để tăng cường và chọn lọc đặc trưng. Mục tiêu là khắc phục hạn chế của các phương pháp truyền thống. Các kỹ thuật này tập trung vào việc tạo ra các biểu diễn dữ liệu mạnh mẽ hơn. Chúng giúp mô hình phát hiện malware Android nhận diện các mẫu phức tạp. Ma trận đồng xuất hiện và thuật toán Apriori được sử dụng để tăng cường đặc trưng. Đồng thời, một phương pháp chọn lọc đặc trưng đa mục tiêu được giới thiệu. Các kỹ thuật này không chỉ tăng cường số lượng đặc trưng. Chúng còn cải thiện chất lượng thông tin chứa trong mỗi đặc trưng. Điều này rất quan trọng để đối phó với mã độc di động. Các phần mềm độc hại ngày càng tinh vi. Chúng sử dụng các kỹ thuật che giấu phức tạp. Việc áp dụng những kỹ thuật mới này giúp xây dựng hệ thống phòng thủ vững chắc hơn. Các phương pháp này cũng góp phần nâng cao sự hiểu biết về hành vi mã độc.
2.1. Tăng cường đặc trưng qua ma trận đồng xuất hiện
Ma trận đồng xuất hiện là một kỹ thuật mới để tăng cường đặc trưng. Nó phân tích mối quan hệ giữa các đặc trưng thô. Các đặc trưng thô bao gồm lời gọi API, quyền, và ý định (intents). Một ma trận đồng xuất hiện ghi lại tần suất hai đặc trưng xuất hiện cùng nhau. Từ ma trận này, các đặc trưng mới được tạo ra. Những đặc trưng mới này biểu thị mối liên hệ ngữ cảnh giữa các đặc trưng ban đầu. Ví dụ, một tập hợp quyền cụ thể thường xuất hiện cùng một số lời gọi API nhất định. Điều này có thể chỉ ra hành vi độc hại. Kỹ thuật này giúp mô hình học sâu nắm bắt các mẫu phức tạp hơn. Việc này nâng cao khả năng phân loại mã độc Android. Ma trận đồng xuất hiện chuyển đổi dữ liệu thành định dạng phong phú hơn. Điều này giúp phát hiện malware Android hiệu quả hơn. Kết quả thực nghiệm cho thấy sự cải thiện đáng kể. Nó vượt trội so với chỉ sử dụng đặc trưng thô. Phương pháp này mang lại một cái nhìn sâu sắc về cấu trúc bên trong của mã độc.
2.2. Tăng cường đặc trưng sử dụng thuật toán Apriori
Thuật toán Apriori được ứng dụng để tăng cường đặc trưng. Apriori là thuật toán khai thác luật kết hợp. Nó xác định các tập hợp mục thường xuyên xuất hiện cùng nhau trong một tập dữ liệu. Trong ngữ cảnh phân loại mã độc, các 'mục' là các đặc trưng thô. Ví dụ, các quyền hoặc lời gọi API cụ thể. Thuật toán Apriori phát hiện các 'luật' như 'nếu ứng dụng yêu cầu quyền X và quyền Y, thì nó cũng thường gọi API Z'. Những tập hợp đặc trưng thường xuyên này được coi là các đặc trưng mới. Chúng cung cấp thông tin tổng hợp về hành vi ứng dụng. Điều này giúp mô hình học sâu hiểu rõ hơn về mã độc di động. Bộ đặc trưng được tạo ra bao gồm cả đặc trưng thô và các đặc trưng Apriori. Sau đó, các đặc trưng này được chuẩn hóa. Việc chuẩn hóa đảm bảo tất cả đặc trưng có cùng phạm vi giá trị. Điều này ngăn chặn một số đặc trưng chi phối quá trình học. Kỹ thuật này cải thiện đáng kể khả năng phát hiện malware Android. Nó cung cấp một cách tiếp cận mạnh mẽ để tạo ra các đặc trưng có ý nghĩa.
2.3. Chọn lọc đặc trưng đa mục tiêu
Chọn lọc đặc trưng là quá trình giảm số lượng đặc trưng đầu vào. Mục tiêu là loại bỏ nhiễu và tăng cường hiệu suất của mô hình. Nghiên cứu này đề xuất một phương pháp chọn lọc đặc trưng dựa trên độ phổ biến và giá trị tương phản. Độ phổ biến đo lường tần suất xuất hiện của một đặc trưng. Giá trị tương phản đánh giá mức độ đặc trưng đó khác biệt giữa các lớp mã độc và ứng dụng hợp pháp. Các đặc trưng có độ phổ biến cao và giá trị tương phản lớn thường mang lại nhiều thông tin hơn. Phương pháp tối ưu hóa đa mục tiêu Pareto được sử dụng. Nó giúp cân bằng giữa các mục tiêu khác nhau. Ví dụ, tối đa hóa độ chính xác đồng thời giảm thiểu số lượng đặc trưng. Một hàm chọn lọc được định nghĩa để lựa chọn tập con đặc trưng tối ưu. Tập con này giúp mô hình phân loại mã độc Android hoạt động hiệu quả nhất. Kỹ thuật này giảm độ phức tạp tính toán. Nó cũng cải thiện khả năng tổng quát hóa của mô hình. Điều này rất quan trọng để phát hiện malware Android trong môi trường thực tế.
III.Học sâu trong phân loại mã độc Android CNN DBN WDCNN
Học sâu là một kỹ thuật mới đầy hứa hẹn trong phân loại mã độc Android. Khả năng tự động học đặc trưng từ dữ liệu thô của nó vượt trội. Nó khắc phục nhược điểm của các phương pháp học máy truyền thống. Nghiên cứu này khám phá ứng dụng của nhiều mô hình học sâu. Các mô hình này bao gồm Mạng niềm tin sâu (DBN), Mạng nơ-ron tích chập (CNN) và Mạng nơ-ron tích chập sâu rộng (WDCNN). Mục tiêu là nâng cao độ chính xác và hiệu quả của hệ thống phát hiện malware Android. Các mô hình này có khả năng xử lý lượng lớn dữ liệu. Chúng phát hiện các mẫu phức tạp mà con người khó nhận ra. Mỗi mô hình được thử nghiệm với các tập dữ liệu khác nhau. Kết quả cho thấy học sâu mang lại hiệu suất vượt trội. Đặc biệt là trong việc nhận diện các biến thể của mã độc di động. Việc tối ưu hóa kiến trúc mạng cũng là một phần quan trọng. Nó giúp đạt được kết quả tốt nhất. Các mô hình này đại diện cho sự tiến bộ đáng kể trong lĩnh vực an ninh ứng dụng di động.
3.1. Ứng dụng mô hình DBN và CNN truyền thống
Mạng niềm tin sâu (DBN) là một mô hình học sâu được sử dụng. DBN bao gồm nhiều Máy Boltzmann hạn chế (RBM) xếp chồng lên nhau. RBM có khả năng học các biểu diễn đặc trưng phân cấp từ dữ liệu đầu vào. Sau khi đào tạo RBM từng lớp, mạng được tinh chỉnh bằng thuật toán lan truyền ngược. DBN có khả năng trích xuất đặc trưng mạnh mẽ. Nó cải thiện hiệu suất phân loại mã độc Android. Mạng nơ-ron tích chập (CNN) cũng được áp dụng rộng rãi. CNN hiệu quả trong việc xử lý dữ liệu có cấu trúc lưới. Dữ liệu đặc trưng mã độc có thể được biểu diễn dưới dạng hình ảnh. Các lớp tích chập và lớp gộp trong CNN tự động học các đặc trưng quan trọng. CNN đã chứng tỏ hiệu quả cao trong phát hiện malware Android. Nó nhận diện các mẫu trong dữ liệu thô. Cả DBN và CNN đều cung cấp các giải pháp mạnh mẽ. Chúng giúp xây dựng các hệ thống phát hiện mã độc di động tự động và chính xác.
3.2. Mô hình WDCNN đề xuất cho phân loại mã độc
Nghiên cứu đề xuất một mô hình học sâu mới: Mạng nơ-ron tích chập sâu rộng (WDCNN). WDCNN kết hợp các ưu điểm của mạng rộng và mạng sâu. Mạng rộng có khả năng học các mối quan hệ đơn giản giữa các đặc trưng. Mạng sâu có khả năng học các mối quan hệ phức tạp, phi tuyến tính. Kiến trúc WDCNN được thiết kế đặc biệt cho phân loại mã độc Android. Nó bao gồm nhiều lớp tích chập với các kích thước bộ lọc khác nhau. Điều này cho phép mạng nắm bắt các đặc trưng ở nhiều quy mô. WDCNN có khả năng xử lý hiệu quả các bộ đặc trưng lớn. Nó cũng có thể nhận diện các mẫu tinh vi của mã độc di động. Kết quả thực nghiệm cho thấy WDCNN vượt trội so với các mô hình CNN truyền thống. Nó đạt được độ chính xác cao hơn. Đồng thời, WDCNN giảm tỷ lệ lỗi dương tính giả. Mô hình này là một bước tiến đáng kể trong việc phát hiện malware Android hiệu quả. Nó cung cấp một công cụ mạnh mẽ để chống lại các phần mềm độc hại biến đổi.
IV.Phát hiện malware Android hiệu quả Mô hình học liên kết tiên tiến
Bảo mật dữ liệu và quyền riêng tư là những thách thức lớn trong phân tích mã độc. Đặc biệt khi dữ liệu nhạy cảm được thu thập từ nhiều nguồn. Học liên kết (Federated Learning) cung cấp một giải pháp đột phá. Kỹ thuật mới này cho phép đào tạo mô hình học sâu phân loại mã độc Android. Việc này diễn ra trên các thiết bị cục bộ mà không cần tập trung dữ liệu. Điều này giải quyết hiệu quả vấn đề bảo mật. Đồng thời, nó tận dụng được sức mạnh tính toán phân tán. Học liên kết là một phương pháp hứa hẹn cho phát hiện malware Android. Nó cho phép các tổ chức chia sẻ kinh nghiệm học tập. Việc này diễn ra mà không tiết lộ thông tin nhạy cảm của người dùng hoặc các mẫu mã độc cụ thể. Mô hình này tăng cường khả năng phản ứng. Nó giúp đối phó với các mối đe dọa mã độc di động mới nổi. Sự hợp tác giữa các bên được khuyến khích. Đồng thời, quyền riêng tư của dữ liệu vẫn được bảo vệ nghiêm ngặt.
4.1. Giới thiệu mô hình học liên kết Federated Learning
Học liên kết là một kỹ thuật mới trong học máy. Nó cho phép nhiều thực thể (ví dụ: điện thoại di động, tổ chức) cùng đào tạo một mô hình. Điều này diễn ra mà dữ liệu của chúng không bao giờ rời khỏi thiết bị cục bộ. Thay vào đó, mỗi thiết bị đào tạo một phiên bản cục bộ của mô hình. Sau đó, chỉ các cập nhật trọng số (weights) của mô hình được gửi về máy chủ trung tâm. Máy chủ tổng hợp các cập nhật này để cải thiện mô hình toàn cục. Quá trình này lặp lại nhiều lần. Nó tạo ra một mô hình mạnh mẽ và toàn diện. Học liên kết giải quyết các vấn đề về quyền riêng tư và băng thông. Đây là những yếu tố quan trọng khi phân tích mã độc di động. Nó cho phép xây dựng các hệ thống phát hiện malware Android hiệu quả. Việc này diễn ra mà không xâm phạm dữ liệu nhạy cảm của người dùng. Mô hình này đặc biệt phù hợp với các kịch bản thực tế. Ở đó, dữ liệu mã độc được phân tán trên nhiều thiết bị.
4.2. Triển khai và tổng hợp trọng số trong Federated Learning
Việc triển khai mô hình học liên kết cho phân loại mã độc Android bao gồm nhiều bước. Đầu tiên, một mô hình học sâu ban đầu được khởi tạo trên máy chủ. Các bản sao của mô hình này được phân phối đến các thiết bị khách (client devices). Mỗi thiết bị khách đào tạo mô hình cục bộ bằng tập dữ liệu mã độc riêng. Sau một số vòng lặp đào tạo, các thiết bị khách gửi các cập nhật trọng số của mô hình về máy chủ. Máy chủ trung tâm thu thập các cập nhật trọng số này. Sau đó, nó sử dụng một thuật toán tổng hợp (ví dụ: Federated Averaging) để kết hợp chúng. Điều này tạo ra một mô hình toàn cục đã được cải thiện. Mô hình toàn cục này sau đó được gửi lại cho các thiết bị khách. Quá trình này lặp lại cho đến khi mô hình hội tụ. Kỹ thuật mới này đảm bảo rằng dữ liệu thô không bao giờ rời khỏi thiết bị nguồn. Nó bảo vệ quyền riêng tư người dùng. Đồng thời, nó vẫn tận dụng được sự đa dạng của dữ liệu phân tán. Mô hình này nâng cao đáng kể khả năng phát hiện malware Android. Nó cung cấp một giải pháp mạnh mẽ cho an ninh mạng di động.
Tải xuống file đầy đủ để xem toàn bộ nội dung
Tải đầy đủ (140 trang)Trích đoạn nội dung luận án
Tải xuống để đọc toàn bộMINISTRY OF EDUCATION AND TRAINING HANOI UNIVERSITY OF SCIENCE AND TECHNOLOGY LE DUC THUAN ANDROID MALWARE CLASSIFICATION USING DEEP LEARNING DOCTORAL DISSERTATION OF COMPUTER ENGINEERING Hanoi−2024 MINISTRY OF EDUCATION AND TRAINING HANOI UNIVERSITY OF SCIENCE AND TECHNOLOGY LE DUC THUAN ANDROID MALWARE CLASSIFICATION USING DEEP LEARNING Major: Computer Engineering Code: 9480106 DOCTORAL DISSERTATION OF COMPUTER ENGINEERING SUPERVISORS Dr. Nguyen Kim Khanh Dr. Hoang Van Hiep Hanoi−2024 DECLARATION I certify that this is my research work under the guidance of my supervisor and scientists. References used in the Dissertation have been fully cited.
The data and results in the Dissertation are truthful and have never been published by other authors. Hanoi, July, 2024 Supervisors Dissertation Author Dr. Nguyen Kim Khanh Le Duc Thuan Dr. Hoang Van Hiep HANOI UNIVERSITY OF SCIENCE AND TECHNOLOGY ON BEHALF OF THE PRESIDENT P.
DIRECTOR OF DEPARTMENT OF ACADEMIC AFFAIRS ASSOCIATE DIRECTOR OF DEPARTMENT OF ACADEMIC AFFAIRS Assoc. Duong Ngoc Khanh ACKNOWLEDGEMENT My dissertation was realized during my doctoral course at the School of Information and Communications Technology (SoICT), Hanoi University of Science and Technology (HUST). HUST is a special place where I accumulated immense knowledge in my Ph. process is not a one-man process.
Therefore, I am heartily thankful to my supervisors, Dr. Nguyen Kim Khanh and Dr. Hoang Van Hiep, whose encouragement, guidance, and support from start to finish enabled me to develop my research skills and understanding of the subject. I have learned countless things from them.
This dissertation would not have been possible without their precious support. I would like to thank the Executive Board and all members of the Computer Engi- neering Department, SoICT, and HUST for their frequent support in my Ph. I thank my colleagues at the Academy of Cryptography Techniques for their help. Last but not least, I would like to thank my family: my parents, my wife, and my friends, who have supported me spiritually throughout my life.
They were always there to cheer me up and stand by me through good and bad times. Hanoi, July, 2024 Dissertation Author LE DUC THUAN CONTENTS CONTENTS i ABBREVIATIONS v LIST OF TABLES vi LIST OF FIGURES viii INTRODUCTION 1 1 OVERVIEW OF ANDROID MALWARE CLASSIFICATION BASED ON MACHINE LEARNING 6 1.2 Overview of Android Malware .2 Android Malware Classification Methods .1 Signature-based Method .2 Anomaly-based Method .3 Android Malware Classification Evaluation Metrics .1 Metrics for the Binary Classification Problem .2 Metrics for Multi-labelled Classification Problem .4 Android Malware Dataset .3 Machine Learning-based Method for Android Malware Classification .1 Related Works on Feature Extraction .1 Features Extraction Methods .2 Feature Augmentation Methods .3 Feature Selection Methods .2 Related Works on Machine Learning-based Methods .1 Random Forest Algorithm .2 Support Vector Machine .3 K-Nearest Neighbor Algorithm .4 Deep Belief Network .5 Convolutional Neural Network .6 Some Other Models. 47 2 PROPOSED METHODS FOR FEATURE EXTRACTION 49 2.1 Feature Augmentation based on Co-occurrence matrix .2 Raw Feature Extraction .3 Co-occurrence Matrix Feature Computation .3 Malware Classification based on CNN Model .4 Summary of Experimental Results .2 Feature Augmentation based on Apriori Algorithm .1 Introduction to Apriori Algorithm .3 Feature Set Creation .1 Raw Android Feature Set .2 The Feature Augmentation Set .3 Input Feature Normalization .4 Feature Augmentation Set .1 Experimental Dataset and Scenario .2 Experiment based on CNN Model .3 Summary of Experimental Results .3 Feature Selection Based on Popularity and Contrast Value in a Multi- objective Approach .2 Popularity and Contrast Computation .3 Pareto Multi-objective Optimization Method .4 Selection Function and Implementation .3 Summary of Experimental Results. 72 ii 3 DEEP LEARNING-BASED ANDROID MALWARE CLASSIFICA- TION 75 3.1 Applying DBN Model .2 Boltzmann Machine and Deep Belief Network .1 Restricted Boltzmann Machine .2 Deep Belief Network .3 Summary of Experimental Results .2 Applying CNN Model .2 Raw Feature Dataset .3 Malware Classification using CNN Model .4 Summary of Experimental Results .3 Proposed Method using WDCNN Model for Android Malware Classifi- cation .2 Building Components in the WDCNN Model .4 Summary of Experimental Results .4 Applying Federated Learning Model .1 Federated Learning Model .2 Implement Federated Learning Model .2 The Process of Synthesizing Weight Set .3 Summary of Experimental Results.
106 CONCLUSIONS 110 PUBLICATIONS 112 BIBLIOGRAPHY 114 iv ABBREVIATIONS No. Abbreviation Meaning 1 Acc Accuracy 2 API Application Programming Interface 3 CNN Convolutional Neural Network 4 DBN Deep Belief Network 5 DNN Deep Neural Network 6 FN False Negative 7 FP False Positive 8 GA Genetic Algorithm 9 GAN Generative Adversarial Network 10 GRB Red-Green-Blue 11 IG Information Gain 12 KNN K-Nearest Neighbors 13 LSTM Long Short-Term Memory 14 PSO Particle Swarm Optimization 15 RF Random Forest 16 RNN Recurrent Neural Network 17 SVM Support Vector Machine 18 TF-IDF Term Frequency – Inverse Document Frequency 19 TN True Negative 20 TP True Positive 21 RBM Restricted Boltzmann Machine 22 WDCNN Wide and Deep CNN 23 XML Androidmanifest.xml 24 DEX Classes.dex v LIST OF TABLES 1.1 Types of malware .2 Summary of Android malware datasets .4 Common API packages .5 Common suspicious API call .6 Some typical traffic flows .1 Details of parameters set in the CNN model .2 Classification with CNN model using accuracy measure (%) .3 Measurements evaluate effectiveness (%) .4 Details of parameters set in the CNN model .5 Classification results by CNN .6 Results of using CNN with measurements (%) .7 Details of parameters set in the CNN model for selection feature .8 Summary of feature evaluation measures selectivity functions (top (10)) – with API set .9 Summary of results with datasets and feature sets .10 Summary of results of proposed feature augmentation methods .1 Result with Acc measure (%) in scenario 1 .2 Result with Acc measure (%) in scenario 2 .3 Results with measures in scenario 3 (%) .4 Experimental results using CNN model .5 The datasets used for the experiment .6 Experimental results of Simple dataset .7 Experimental results of Complex dataset .8 Experimental results when comparing models .9 Accuracy comparison of models Features: Images 128x128 + permission + API .10 Experimental results with scenario 3 (%) .11 Average set of weights (accuracy - %) .12 Set of Weights according to the number of samples (accuracy - %) .13 Our proposed set of weights (accuracy - %) .14 Summary of results of proposed deep learning models and comparison. 107 vi LIST OF FIGURES 1.1 Architecture of Android OS system [37] .2 The increase of malware on Android OS .3 Types of malware on Android OS .4 Anomaly-Based Detection/Classification Technique .5 Overview of the problem of detecting malware on the Android .6 General model of feature extraction methods .7 Statistics of papers using traditional machine learning and deep learning from 2019-2022 on dblp .8 Architecture of the CNN model [118] .1 Evaluation model for Android malware classification using co-occurrence matrix .2 Output matrix with different size .3 Top (10) malware families in Drebin dataset .4 CNN having multi-convolutional networks .5 The process of research and experiment using Apriori .6 Apply the Apriori algorithm to the feature set .7 Architecture of CNN model used in the experiment with Apriori .8 Learning method implementation results .9 Proposing a feature selection model .10 Top (20) family of malware with the most samples in the AMD dataset 67 2.11 Experimental model when applying feature selection algorithm .12 Experimental results when applying feature selection algorithm .1 System development and evaluation process using the DBN .2 Architectural diagram of DBN application in Android malware detection 78 3.3 The overall model of the training and classification of malware using the CNN model .4 Test rate according to the 10-fold .5 WDCNN model operation diagram .6 Structure and parameters of the WDCNN model .7 Top 20 malware family AMD and Drebin .9 Classification of malware depending on the number of labels .10 DEX file size by size in the Drebin dataset .11 Overall model using federated learning .12 Compare the results of the weighted aggregation methods .13 Classification results with influence factor. 106 viii INTRODUCTION In the present day, there is a growing inclination towards the adoption of digital transformation and artificial intelligence in smart device applications across diverse operating systems.
This trend aligns with the advancements of the fourth industrial revolution and is being observed in numerous domains of social and economic activity. According to the statistics [1] in June 2023, Android dominated the market for mobile operating systems with 70. Furthermore, the Android operating system is utilized in a diverse range of smart devices, including but not limited to mobile phones, televi- sions, watches, automobiles, vending machines, and network routers. The rapid growth and variety of devices that use the Android operating system (OS) have contributed to the significant increase in the number, style, and appearance of malware.
Accord- ing to the statistics [2], in 2021, there were a total of 3.36 million malware found in the Android OS market. This situation leads to danger for users of mobile operating systems. Solving the problems of malware detection/classification is, therefore, urgent and necessary. As reported in the DBLP database [3] from 2013 to 2022, there were 1,081 researches on this issue.
Two main approaches are commonly applied to detect Android malware: static and dynamic analysis [4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14]. Static analysis involves inspecting a program’s executable file structure, characteristics, and source code. The advantage of static analysis is that it does not require that the code be executed (of course, it is pretty dangerous to run a malware file on a natural system). By examining the decompiled code, the static analysis can determine the flows and actions of the execution file and thus identify it as either malware or benign.
The disadvantage, however, is that some sophisticated malware can include malicious runtime behavior that can go undetected. On the other hand, dynamic analysis involves executing potentially malicious code in a real or sandbox environment to monitor its behavior. The sandbox environment helps analysts examine potential threats without putting the system at risk of infection. Although dynamic analysis could detect threats that might be ignored by static analy- sis, this approach requires more time and resources than static analysis.
It may not be able to cover all the possible execution paths of the malware. In summary, static analy- sis is said to help find known threats and vulnerabilities. In contrast, dynamic analysis is suitable for finding new types and uncovering threats not previously documented (i., zero-day threats). For the problem of malware detection/classification, dynamic analysis seems recommended for organizations that need a deeper understanding of malware behavior or impact and have the necessary tools and expertise to perform it.
For the problem of malware classification, static analysis is more popular due to 1 its more straightforward implementation. This dissertation uses static analysis as the main method for feature extraction. Malware classification assigns malware samples into specific malware families, in- cluding benign ones. Signature-based and machine learning-based methods have usu- ally been used for this problem.
Signature-based methods have been traditional and widely used [15, 16, 17]. They rely on matching the "signature" of known malware sam- ples with unknown ones. As mentioned in the previous paragraph, static or dynamic analysis can extract the "signature" from samples. Several limitations of signature- based methods exist as follows: (i) they cannot detect new or unknown malware; (ii) they are vulnerable to obfuscation and encryption techniques used by malware authors to evade detection; and (iii) they require constant updates of the signature database.
Machine-learning-based methods are emerging and promising techniques for malware classification. They use various machine learning algorithms to learn from a large set of labeled malware samples and then classify new ones based on their features. Conversely, machine-learning-based methods can overcome some of the challenges of signature-based methods, such as detecting new or unknown malware, handling com- plex or dynamic code features, and reducing human intervention and manual analysis.
Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ
Câu hỏi thường gặp
Luận án "Phân loại mã độc Android sử dụng học sâu và kỹ thuật mới" nghiên cứu về vấn đề gì?
Phân loại mã độc Android sử dụng học sâu. Xây dựng mô hình nhận diện hiệu quả, tăng cường khả năng bảo vệ thiết bị di động khỏi các mối đe dọa.
Luận án "Phân loại mã độc Android sử dụng học sâu và kỹ thuật mới" được bảo vệ tại trường nào?
Luận án này được bảo vệ tại Hanoi University of Science and Technology. Năm bảo vệ: 2024.
Luận án "Phân loại mã độc Android sử dụng học sâu và kỹ thuật mới" thuộc chuyên ngành gì?
Luận án "Phân loại mã độc Android sử dụng học sâu và kỹ thuật mới" thuộc chuyên ngành Computer Engineering. Danh mục: An Toàn Thông Tin.
Luận án "Phân loại mã độc Android sử dụng học sâu và kỹ thuật mới" có bao nhiêu trang?
Luận án "Phân loại mã độc Android sử dụng học sâu và kỹ thuật mới" có 140 trang. Bạn có thể xem trước một phần tài liệu ngay trên trang web trước khi tải về.
Cách tải luận án "Phân loại mã độc Android sử dụng học sâu và kỹ thuật mới" về máy như thế nào?
Để tải luận án về máy, bạn nhấn nút "Tải xuống ngay" trên trang này, sau đó hoàn tất thanh toán phí lưu trữ. File sẽ được tải xuống ngay sau khi thanh toán thành công. Hỗ trợ qua Zalo: 0559 297 239.