安卓应用变换对在线恶意软件检测的影响:测量与解释

本研究通过数据驱动方法测量安卓应用变换对恶意软件检测的影响,并解释反病毒引擎的检测机制。研究生成17.9万个应用,收集97.1万份检测报告,分析基于签名、静态和动态分析的检测技术,揭示引擎内部工作机制和恶意软件检测中的妥协指标。

测量与解释安卓应用变换在在线恶意软件检测中的影响

众所周知,反病毒引擎容易受到逃避技术(如混淆)的影响,这些技术可以将恶意软件转换为其变体。然而,这不一定归因于这些逃避技术的有效性,引擎的局限性也可能导致这种不令人满意的结果。在本研究中,我们提出了一种数据驱动的方法来测量应用变换对恶意软件检测的影响,并进一步解释为什么这些引擎会产生检测结果。

首先,我们为反病毒引擎开发了一个交互模型,说明它们如何根据不同的输入响应不同的检测结果。我们实现了六种应用变换技术,以生成大量具有可追踪变化的安卓应用。然后,我们对多个反病毒引擎的应用检测结果进行了一个月的跟踪,通过VirusTotal获得了超过97.1万份检测报告,涉及总共17.9万个应用。最后,我们从基于签名、基于静态分析和基于动态分析的检测技术的角度,基于这些报告对反病毒引擎进行了全面分析。结果以及7个突出发现,识别了反病毒引擎内部发生的一些密封工作机制,以及在恶意软件检测过程中应用中的妥协指标是什么。

评论:
12页,已被Internetware 2025接受。

主题:
密码学与安全(cs.CR)

引用为:
arXiv:2507.20361 [cs.CR]
(或此版本的 arXiv:2507.20361v1 [cs.CR])
https://doi.org/10.48550/arXiv.2507.20361

提交历史:
来自:Guozhu Meng [查看电子邮件] [v1]
2025年7月27日星期日 17:26:50 UTC(780 KB)

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次