دانلود ترجمه مقاله تشخیص برنامه مخرب Android مبتنی بر مجوز (آی تریپل ای 2019)

تشخیص برنامه مخرب Android مبتنی بر مجوز با استفاده از یادگیری ماشین

Permission based Android Malicious Application Detection using Machine Learning

چکیده

1- مقدمه

2- پیش‌زمینه و کارهای مربوطه

3- متدلوژی مورد استفاده

4- نتایج تجربی

5- نتیجه‌گیری‌ها و امتیاز ویژگی

منابع

چکیده

از زمان راه‌اندازی تلفن‌های هوشمند، استفاده از آن‌ها به صورت تصاعدی در حال افزایش است. این تلفن‌ها تبدیل به بخش مهمی از زندگی ما شده‌اند. زندگی روزمره ما بسیار وابسته به تلفن‌های هوشمند است و ما از برنامه‌های مختلفی هم از فروشگاه بازی  و هم از برنامه‌های شخص ثالث استفاده می‌کنیم. اغلب اوقات، برنامه‌های دانلود شده از برنامه‌های غیر رسمی تهدید کننده هستند زیرا کنترل‌ها یا مکانیسم‌های لازم برای تایید اعتبار این برنامه‌ها وجود ندارند و ممکن است آلوده به بدافزار باشند. برنامه‌های آلوده شده توسط بدافزارها می‌توانند منجر به نشت اطلاعات شخصی کاربر شوند. ابزارهای ضد ویروس از روش‌های مبتنی بر امضا برای تشخیص بدافزارها استفاده می‌کنند اما پایگاه‌های داده آن‌ها نیاز به بروزرسانی‌های منظم دارند. در این مقاله، سیستمی را برای رده‌بندی برنامه‌های اندروید بر اساس مکانیسم‌های مورد استفاده توسط این برنامه‌ها ارائه می‌دهیم. ما از شش الگوریتم یادگیری ماشین برای رده‌بندی این برنامه‌ها در برنامه‌ّای بدخیم و خوش‌خیم استفاده کردیم. با مقایسه نتایج، کشف کردیم که الگوریتم رگرسیون لجستیک،  بهترین ابزار برای مجموع داده‌های ما است و دقت ۳۴/۹۹ درصد را فراهم می‌کند. 

2- پیش‌زمینه و کارهای مربوطه
     روش‌های مختلفی برای تشخیص بدافزار وجود دارند. رایج‌ترین روش، روش مبتنی بر امضا است. امضای نمونه‌های مخرب در یک پایگاه داده ذخیره می‌شود و این پایگاه داده سپس برای تشخیص بدافزار مورد استفاده قرار می‌گیرد. این روش تنها برای تشخیص بدافزارهای شناخته شده موثر واقع می‌شود. الگوریتم ML برای تشخیص بدافزار روز صفر معرفی شده است [۲، ۴]. با توجه به افزایش فعالیت‌های بدافزاری در جامعه اندروید، اقدامات پژوهشی زیادی توسط محققان در جهت تشخیص نمونه‌های بدافزاری اندروید انجام شده است. محققان از سراسر جهان از رویکردهای مختلفی برای رفع این مساله استفاده کرده‌اند. پیشرفت‌های بسیار و همچنین پویایی در این حوزه وجود داشته‌اند. تجزیه و تحلیل ایستای بدافزار شامل بررسی کد نمونه بدافزار بدون اجرای آن است. از سوی دیگر، تجزیه و تحلیل دینامیک بدافزار در واقع نظارت رفتار بدافزار در حین اجرای آن در محیط جعبه شنی است [۳]. بسیاری از رویکردهای تجزیه و تحلیل ایستای ارائه شده در [۵، ۶، ۷] بر اساس بدافزارهای از پیش شناخته شده بوده و برنامه‌ها را از طریق مهندسی معکوس محاسبه می‌کنند که به تجزیه برنامه‌های بسته‌بندی شده کمک کرده و جستجوی امضاها یا سایر اکتشافات نوشته شده در کد برنامه را ساده‌تر می‌سازد. برخی از محققان، از رویکردهای متفاوتی مانند [۸، ۹، ۱۰] پیروی می‌کنند که استفاده از توان توسط هر برنامه را کنترل کرده و مصرفی ناشناخته را به کاربر یا توسعه دهنده گزارش می‌دهند.

     بسیاری از رویکردهای تجزیه و تحلیل پویای مورد استفاده در [۱۱، ۱۲، ۱۳]، به طور پیوسته الگوی تماس‌های سیستم را کنترل می‌کنند. سایر رویکردها مانند [۱۵، ۱۶]، رویکرد روش‌های مبتنی بر امضای جهانی را اجرا کرده‌اند که قادر به مقایسه برنامه مورد بررسی با بسیاری از بدافزارهای شناخته شده یا سایر اکتشافات کرده‌اند. به تازگی محققان شروع به استفاده از داده‌کاوی و یادگیری ماشین (ML) برای رده‌بندی و تشخیص بدافزارها کرده‌اند [۱۷، ۱۸، ۱۹، ۲۰]. این روش‌ها قادر به تشخیص بدافزار روز صفر هستند.

     در [۱۲]، چارچوبی بر اساس ML با عنوان Crowdroid ارائه می‌شود که قادر به تشخیص بدافزارهای روی تلفن‌های هوشمند اندروید بر اساس تماس‌های سیستم و فرکانس آن‌ها است. به طور مشابه، در [۲۱]، یک سیستم تشخیص نفوذ بر اساس یادگیری ماشین ارائه می‌شود. این سیستم به طور پیوسته رفتار کاربر و همچنین رفتار تلفن هوشمند را با مشاهده پارامترهای خاص، با دامنه از فعالیت‌های حسگر تا استفاده از CPU، کنترل می‌کند. این مدل از ۸۸ ویژگی استفاده می‌کند که همراه باهم رفتارهای سیستم را در راستای ریشه‌یابی سیستم و استفاده خارجی از سیستم لینکوس توصیف می‌کنند. یک مدل خوشه‌بندی مبتنی بر یادگیری ماشین در [۲۲] استفاده شده است که تماس‌های کارکردی ایستا از موانع را برای تشخیص ناهنجاری‌ها تجزیه و تحلیل می‌کند. سیستم عامل Symbian از این نوع تکنیک استفاده کرده است. این چارچوب از یک مشتری، یعنی سیستم تشخیص ناهنجاری از راه دور ، استفاده می‌کند که قطعه را نظارت و متجسم‌سازی می‌کند.