Nghiên Cứu Về Phát Hiện Malware Trên Android Bằng Học Tập Liên Kết

Khóa luận tốt nghiệp nghiên cứu tốt nghiệp an toàn thông tin tìm hiểu học cộng tác và cấp quyền truy cập trong phát hiện mã độc, vận dụng lý thuyết vào thực tế, đề xuất giải pháp

Người đăng

Ẩn danh

Thể loại

Khóa luận tốt nghiệp

2022

95
3
0

Phí lưu trữ

35 Point

Mục lục chi tiết

LỜI CẢM ƠN

1. CHƯƠNG 1: TỔNG QUAN

1.1. Giới thiệu chung

1.2. Động lực nghiên cứu

1.3. Tính khoa học

1.4. Tính ứng dụng

1.5. Phạm vi của vấn đề

1.6. Thách thức an toàn

1.7. Đóng góp của khóa luận

2. CHƯƠNG 2: CƠ SỞ LÝ THUYẾT VÀ CÁC NGHIÊN CỨU LIÊN QUAN

2.1. Tổng quan về cấp quyền truy cập và top quyền truy cập

2.2. Bản đồ quyền truy cập

2.3. Quy trình tạo Perm-Maps

2.4. Tổng quan về học cộng tác

2.4.1. Các loại học cộng tác

2.4.2. Học cộng tác tập trung

2.4.3. Học tập cộng tác phi tập trung

2.4.4. Học cộng tác không đồng nhất

2.4.5. Học lặp đi lặp lại

2.4.6. Dữ liệu non-1d

2.4.7. Ưu và nhược điểm của học cộng tác

2.4.8. Mô hình Safe SSL

2.4.9. Mô hình học cộng tác bán giám sát an toàn

2.4.10. Một cấu trúc cộng tác kết hợp PermMaps

2.5. Tập tin manifest của Android

2.6. Giới thiệu về Convolutional Neural Network

2.7. Giới thiệu về Support Vector Machine

2.8. Giới thiệu về Random Forest

3. CHƯƠNG 3: PHƯƠNG PHÁP THỰC HIỆN

3.1. Các phương pháp xử lý dữ liệu

3.2. Information Gain trong lựa chọn tính năng

3.3. Tổng hợp và chuyển nhị phân

3.4. Các phương pháp xây dựng mô hình sử dụng quyền truy cập

3.5. Sử dụng thuật toán máy học

3.6. Các phương pháp xây dựng mô hình học cộng tác

3.7. Mô hình Less is More

3.8. Mô hình học cộng tác trên thiết bị Android

4. CHƯƠNG 4: THỰC NGHIỆM VÀ ĐÁNH GIÁ KẾT QUẢ

4.1. Thực nghiệm quyền truy cập với thuật toán SVM

4.2. Thực nghiệm quyền truy cập với thuật toán Random Forest

4.3. Thực nghiệm quyền truy cập với thuật toán CNN

4.4. Cách thức lựa chọn quyền truy cập

4.5. Thực nghiệm mô hình học liên kết với thiết bị di động

4.6. Xây dựng GUI cho Server

4.7. Xử lý các hành động cho ứng dụng server GUI

4.8. Lắng nghe các kết nối trong một luồng

4.9. Xây dựng GUI cho máy khách

4.10. Xử lý các hành động cho ứng dụng GUI của máy khách

4.11. Gửi và nhận dữ liệu trong một luồng

4.12. Các công cụ dùng để đánh giá hiệu suất

4.13. Precision and Recall

4.14. Đánh giá hiệu suất của mô hình cấp quyền truy cập đối với bộ dữ liệu AndMal2017

4.15. Đánh giá hiệu suất của mô hình học cộng tác theo cấu trúc LiM đối với bộ dữ liệu MalDroid-2020

4.16. So sánh với hệ thống khác

5. CHƯƠNG 5: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN

TÀI LIỆU THAM KHẢO

Tóm tắt

I. Tổng Quan Về Nghiên Cứu Phát Hiện Malware Trên Android

Nghiên cứu phát hiện malware trên Android đang trở thành một vấn đề cấp thiết trong bối cảnh an ninh mạng ngày càng gia tăng. Các thiết bị Android, với khả năng truy cập thông tin nhạy cảm, đã trở thành mục tiêu chính của các cuộc tấn công từ phần mềm độc hại. Việc phát hiện và ngăn chặn các mối đe dọa này là rất quan trọng để bảo vệ dữ liệu cá nhân và thông tin nhạy cảm của người dùng.

1.1. Tình Hình Hiện Tại Về Malware Trên Android

Sự gia tăng của malware trên Android đã dẫn đến nhiều thách thức cho người dùng và nhà phát triển. Theo báo cáo từ McAfee, số lượng ứng dụng độc hại đã tăng đáng kể trong những năm gần đây.

1.2. Tầm Quan Trọng Của Phát Hiện Malware

Phát hiện malware không chỉ giúp bảo vệ người dùng mà còn hỗ trợ các nhà phát triển trong việc cải thiện an ninh ứng dụng. Việc áp dụng các công nghệ mới như học tập liên kết có thể nâng cao hiệu quả phát hiện.

II. Vấn Đề Và Thách Thức Trong Phát Hiện Malware

Mặc dù có nhiều phương pháp phát hiện malware, nhưng vẫn tồn tại nhiều thách thức. Các kỹ thuật tấn công ngày càng tinh vi, khiến cho việc phát hiện trở nên khó khăn hơn. Hệ thống phát hiện cần phải liên tục cập nhật và cải tiến để đối phó với các mối đe dọa mới.

2.1. Các Kỹ Thuật Tránh Phát Hiện

Nhiều phần mềm độc hại hiện nay sử dụng các kỹ thuật như mã hóa và ẩn danh để tránh bị phát hiện. Điều này đặt ra thách thức lớn cho các hệ thống phát hiện.

2.2. Thiếu Dữ Liệu Để Huấn Luyện

Việc thiếu dữ liệu chất lượng cao để huấn luyện mô hình là một trong những vấn đề lớn. Dữ liệu không đầy đủ có thể dẫn đến việc phát hiện sai hoặc bỏ sót các mối đe dọa.

III. Phương Pháp Phát Hiện Malware Sử Dụng Học Tập Liên Kết

Học tập liên kết là một phương pháp mới trong phát hiện malware. Phương pháp này cho phép các thiết bị học hỏi từ nhau mà không cần chia sẻ dữ liệu, giúp bảo vệ quyền riêng tư của người dùng. Việc áp dụng học tập liên kết có thể cải thiện đáng kể độ chính xác trong phát hiện.

3.1. Nguyên Tắc Cơ Bản Của Học Tập Liên Kết

Học tập liên kết cho phép các thiết bị học hỏi từ các mô hình khác mà không cần chia sẻ dữ liệu gốc. Điều này giúp bảo vệ quyền riêng tư và an ninh thông tin.

3.2. Ứng Dụng Học Tập Liên Kết Trong Phát Hiện Malware

Việc áp dụng học tập liên kết trong phát hiện malware đã cho thấy hiệu quả cao trong việc cải thiện độ chính xác và giảm thiểu số lượng dương tính giả.

IV. Kết Quả Nghiên Cứu Và Ứng Dụng Thực Tiễn

Nghiên cứu đã chỉ ra rằng việc sử dụng học tập liên kết có thể cải thiện đáng kể khả năng phát hiện malware trên Android. Các mô hình được phát triển đã cho thấy hiệu suất tốt trong việc phân loại các ứng dụng độc hại và không độc hại.

4.1. Kết Quả Thực Nghiệm

Các thử nghiệm cho thấy mô hình học tập liên kết đạt được độ chính xác cao hơn so với các phương pháp truyền thống. Điều này chứng tỏ tính khả thi của phương pháp này trong thực tế.

4.2. Ứng Dụng Trong Thực Tế

Các ứng dụng thực tế của phương pháp này có thể bao gồm việc phát triển các ứng dụng bảo mật cho thiết bị Android, giúp người dùng bảo vệ thông tin cá nhân hiệu quả hơn.

V. Kết Luận Và Hướng Phát Triển Tương Lai

Nghiên cứu về phát hiện malware trên Android sử dụng học tập liên kết đã mở ra nhiều hướng đi mới trong lĩnh vực an ninh mạng. Tương lai của nghiên cứu này có thể bao gồm việc phát triển các mô hình mạnh mẽ hơn và áp dụng vào nhiều lĩnh vực khác nhau.

5.1. Hướng Phát Triển Mới

Nghiên cứu có thể mở rộng sang các lĩnh vực khác như IoT và các thiết bị thông minh, nơi mà an ninh mạng cũng đang trở thành một vấn đề quan trọng.

5.2. Tầm Quan Trọng Của An Ninh Mạng

An ninh mạng sẽ tiếp tục là một lĩnh vực quan trọng trong tương lai, và việc phát hiện malware sẽ đóng vai trò then chốt trong việc bảo vệ thông tin cá nhân và doanh nghiệp.

10/07/2025

Trích đoạn nội dung tài liệu

Chương 1: Tổng quan về khóa luận. Chương 2: Cơ sở lý thuyết, các nghiên cứu liên quan và xu hướng nghiên cứu mới Chương 3: Trinh bày các phương pháp thực hiện dé giải quyết van dé. Chương 4: Trình bày kết quả thực nghiệm và đánh giá các phương pháp được chọn đề khảo sát. Chương 5: Nêu kết luận, định hướng nghiên cứu trong tương lai.

CHƯƠNG 2: CƠ SỞ LÝ THUYÉT VÀ CÁC NGHIÊN CỨU LIÊN QUAN Tại chương này trình bày các cơ sở lý thuyết, nghiên cứu liên quan, xu hướng nghiên cứu mới đối với van đề xây dựng hệ thống phát hiện mã độc Andoid bằng cách cấp quyền truy cập và học cộng tác được đề cập trong khóa luận. Tổng quan về cấp quyền truy cập và top quyền truy cập Khi một ứng dụng nào đó cần truy cập đến một tính năng đặc biệt trên thiết bị Android của bạn, nó dang hỏi hệ điều hành có cho phép sử dụng hay không, và quyên truy cập đó chính là Permission. Ví dụ, khi ứng dụng camera của bạn muốn đính kèm di liệu GPS vào ảnh, nó phải hỏi Android xem nó có được vào GPS dé định vị hay không. Tương tự, khi một ứng dụng tin nhắn muốn gửi SMS, nó phải liên hệ với Android dé xem có được quyên làm chuyện này không.

Permission không chỉ xuất hiện ở Android, nó cũng có mặt ở iOS và Windows 10 Mobile với lý do tương tự, cách hoạt động cũng tương tự. Mục dich của quyền truy cập là dé đảm bảo sự an toàn và quyền riêng tư cho người dùng. Điện thoại của chúng ta giờ là một "kho tàng" đữ liệu cá nhân trong đó nên việc bảo vệ như thế này là cần thiết. Trong điện thoại có đủ hết mọi loại dữ liệu nhạy cảm, từ tin nhắn, hình ảnh, video cho đến dữ liệu duyệt web hay tài khoản ngân hàng.

Thậm chí bộ định vị GPS, dữ liệu di động camera hay micro của smartphone cũng là thứ nhạy cảm vì nó có thé ghi lại hình ảnh của ban hay những gì bạn nói, cho người khác biết bạn đang ở đâu, bạn đang nói chuyện với ai, nội dung bạn nói là ` gì. Năm 2011 và 2013, đã từng có một sỐ ứng dụng và game xuất hiện ngay ở Việt Nam, chúng lợi dụng việc người dùng không chú ý đến quyền truy cập dé lay quyền gửi nhận SMS và liên tục nhắn tin đến một tổng đài nào đó dé thu lợi. Dang chú ý, việc gửi SMS này diễn ra hoàn toàn im lặng và bạn không hề hay biết, chỉ khi kiểm tra lại tài khoản mới thay bị thâm hụt đáng kể. Những ứng dụng dạng này đôi khi vẫn còn bị bắt gặp trên Play Store.

17:04 : al F 17:04 #9 CuocChienThayMa &$ Doraemon và thần thú Do you want to install this application? Do you want to install this application? Allow this application to Allow this application to e Storage e Storage Network communication Network communication Services that cost you money Services that cost you money System tools Hide Hide Network communication Network communication Hardware controls we work nection Cancel Install Cancel Hình 2.1: Game lợi dung người dùng dé lấy quyền truy cập Các quyên truy cập của Android có thê được phân loại thành ba quyên truy cập chính: quyên truy cập trong thời gian cài đặt, quyền truy cập trong thời gian chạy, và quyên truy cập đặc biệt. Quyên truy cập trong thời gian cài đặt cấp cho một ứng dụng quyên truy cập bị giới hạn vào dữ liệu bị hạn chế và do đó, chúng cho phép ứng dụng thực hiện các hành động bị hạn chế đến hệ thống hoặc những ứng dụng khác một cách ít ảnh hưởng nhất. Khi một nhà phát triển tuyên bố các quyền truy cập trong thời gian cài đặt, hệ thống sẽ tự động cấp quyền mà không cần thông báo cho người dùng cuối. Có hai loại quyền truy cập trong thời gian cài đặt tương ứng được gọi là quyền truy cập bình thường và quyền truy cập chữ ký: -Quyén truy cập bình thường cho phép truy cập vào dữ liệu và hành động gây rủi ro tối thiểu cho hệ thống hoặc sự riêng tư của người dùng cuối.

Chúng có thé được sử dụng hoặc xác định thông qua một giá tri của mức bảo vệ được cai đặt thành mức bình thường. -Quyền truy cập chữ ký xảy ra từ khi chúng được định nghĩa trong một ứng dụng Android khác, quyền truy cập chữ ký chỉ được cấp nếu ứng dụng yêu cau và khai báo được ky thông qua cùng một chứng chỉ. Ngoài ra, chúng có thể sử dụng hoặc xác định thông qua bộ giá tri của mức bảo vệ dé ký. Quyên truy cập thời gian chạy, còn được gọi là quyền truy cập nguy hiểm, cấp cho ứng dung 6 quyền truy cập bổ sung vào dữ liệu bằng cách cho phép nó thực hiện các hành động về cơ bản ảnh hưởng đến hệ thống và các ứng dụng khác.

Khi một ứng dung Android yêu cầu quyền truy cập trong thời gian chạy, hệ thống đưa ra lời nhắc và chờ đợi được cấp hay không bởi người dùng cuối. Quyền truy cập thời gian chạy có thể được sử dụng hoặc xác định thông qua giá trị mức bảo vệ được cài đặt thành mức nguy hiểm. Cuối cùng, các quyền truy cập đặc biệt chỉ có thể được xác định bởi các nhà sản xuất thiết bị gốc (OEM) dé cung cấp kiểm soát truy cập liên quan đến một số hành động tiêu tốn nhiều năng lượng, chăng hạn như quyền truy cập vào các ứng dụng khác. Chính xác hơn, chúng được liên kết chặt chẽ với một hoạt động ứng dung (app op) liên quan đến kiểm soát truy cập và chúng có thé được sử dụng hoặc xác định thông qua gia tri mức bảo vệ được đặt thành mức appop.

Top quyền truy cập hiểu đơn giản là các tập hợp con được chọn từ nhóm lớn quyền truy cập trên thiết bi Android. Dựa theo mức độ phô biến, mức độ hiệu quả về an toàn thông tin của quyền truy cập đó mà người ta đưa nó vào cùng nhóm. Tiếp theo chúng tôi sẽ tiếp cận các tính năng đặc biệt, được gọi là bản đồ quyền truy cập (Perm- Maps), kết hợp thông tin liên quan đến các quyền truy cập của Android và mức độ nghiêm trọng tương ứng của chúng. Bản đồ quyền truy cập Mặc dù hau hết các kỹ thuật được sử dụng trong tài liệu bao gồm cả phương pháp tiếp cận tĩnh và động, thì phương pháp tĩnh vẫn được mong muốn nhất vì nó có thé phân tích các ứng dụng mà không cần bắt buộc phải thực thi chúng.

Theo đó, chúng tôi đề xuất các tính năng mới, được gọi là Perm-Maps, có nguồn góc từ phân tích tĩnh phần mềm độc hại. Chính xác hơn, Perm-Maps là một ma trận thưa thớt nơi chứa các quyên truy cập của Android và các cấp độ mức độ nghiêm trọng tương ứng của chúng, được biéu diễn liên quan dưới dang các điểm cố định và được biéu diễn theo toạ độ x — y. Như được mô tả trong phần sau, Perm-Maps được đề xuất có thể giải quyết ba vấn đề chính: (i) Các nhà phát triển Android độc hại có thé xác định các quyền truy cập tùy chỉnh để thực hiện một số hoạt động bất hợp pháp, chăng hạn như đánh cắp dữ liệu hoặc khởi động các cuộc tấn công mạng [8]. Do đó, một nhà phát triển mã độc có thể xác định một số quyền ở mức độ nghiêm trọng thấp dé thực hiện một số hành động bat hợp pháp mà không thông báo cho người dùng cuối; (iii) Vi PermMaps đại diện cho các tinh năng tinh chỉ được trích xuất từ tệp kê khai, chúng không thé bị ảnh hưởng bởi các công cụ obfuscator nồi tiếng, như DexGuard [11], ProGuard [12] và Obfuscapk [13].1 Quy trình tạo Perm-Maps Việc tạo Perm-Map chủ yếu bao gồm bốn bước sau: Bước 1.

Trích xuất các quyền của Android và mức độ bảo vệ tương ứng. Gán số nhận dạng (IDp) cho bất kỳ quyền truy cập Android. Chỉ định một số nhận dang (ID) cho bat kỳ mức độ nghiêm trọng nao. Tạo Perm-Maps bằng cách sử dụng các cặp ID (IDp; ID) dưới dạng tọa độ của các điểm có định trong mặt phẳng x - y.

Bước đầu tiên được thực hiện băng cách sử dụng một SỐ công cụ hoặc thư viện dành cho việc phân tích tĩnh các phần mềm độc hại. Khác biệt về phương pháp tiếp cận có thể hình dung từ quá trình tạo từ điển của các quyền truy cập nồi tiếng của Android và sự bảo vệ của chúng bang cách tìm chúng từ tài liệu chính thức [31]. Ngoài ra, thẻ <permission> có thé được sử dụng dé được biết mức độ bảo vệ của các quyền truy cập tùy chỉnh. Đây là phương pháp tiếp cận được áp dụng bởi một số công cụ dịch ngược nồi tiếng nhất trong các công cụ kỹ thuật, như Androguard [32].

Chính xác hơn là đối với mỗi quyền truy cập được khai báo trong tệp Android Manifest, nó có thể có được mức bảo vệ tương ứng bằng cách kiểm tra xem quyên truy cập được xem xét có được biết đến hay không; nếu không thì nó chỉ định một mức độ bảo vệ nguy hiểm khác. Tiếp theo, bước thứ hai và thứ ba được thực hiện bằng cách tạo hai từ điển để chuyên đôi từng quyền truy cập của Android và từng mức độ nghiêm trọng tương ứng thành một số ID duy nhất. Cuối cùng, đối với mỗi ứng dụng được phân tích, bước thứ tư được tiễn hành bang cach xem xét mỗi cặp số ID (IDp; ID) dưới dạng tọa độ của một điểm cé định va do đó, lưu trữ thông tin đã chuyền đổi trong một ma trận thưa thớt. Ví dụ, để p1 và p2 là hai quyền truy cập Android và cho phép s3 và s2 tương ứng với mức độ bảo mật của chúng.

Chúng tôi có thé coi hai cặp tọa độ C1= (p1, s3) và C2= (p2, s2) và vẽ hai điểm theo mặt phang toa độ x — y. trong đó trục x và y báo cáo quyền va mức độ nghiêm trọng tương ứng. Tuy nhiên, vì mức độ bảo mật giữa chúng có thé khác 8 nhau, cho nên chúng tôi có thé sử dụng thang màu (như RGB hoặc thang xám) dé nhận xét những sự khác biệt. Hình 2 cho thấy toàn bộ quy trình làm việc dé có được một Perm-Map.

Textual Information ['android.RNRITE SETTINGS', "dangerous", "android.SEND SMS', 'dangerous', "¿ d.CALL_PHONE*, 'dangercus", ‘android.EXPAND_STATUS_BAR’, d.WRITE_SETTINGS', "dangerous", "android.SEND SMS", 'dangerous', 'e ['android.SET_NALLPAPER', 'normal', ‘android.READ_PHONE_STATE", "dàangerou3s" Dictionaries Creation Permission ID ID [wam stmws| 0° | Information | dergerous [0] CALL PHONE 1 ñ 1 SET_WALLPAPER 2 Mapping 2 Perm-Maps Creation 4 8 C1 = (p1,s3) = (1,3).2: Quy trinh tao Perm-Maps Tiép theo chúng tôi sẽ tìm hiéu vê khái niệm học cộng tác và các khái niệm, van dé liên quan.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ

Tài liệu "Nghiên Cứu Phát Hiện Malware Trên Android Sử Dụng Học Tập Liên Kết" cung cấp cái nhìn sâu sắc về việc phát hiện mã độc trên hệ điều hành Android thông qua các phương pháp học máy. Nghiên cứu này không chỉ nêu rõ các kỹ thuật và thuật toán được sử dụng để phát hiện mã độc mà còn phân tích hiệu quả của chúng trong việc bảo vệ người dùng khỏi các mối đe dọa tiềm ẩn. Độc giả sẽ nhận được những lợi ích thiết thực từ việc hiểu rõ hơn về cách thức hoạt động của malware và các biện pháp phòng ngừa hiệu quả.

Để mở rộng kiến thức của bạn về chủ đề này, bạn có thể tham khảo tài liệu Khóa luận tốt nghiệp an toàn thông tin mô hình học máy khả diễn giải phát hiện mã độc android. Tài liệu này sẽ giúp bạn hiểu rõ hơn về trí tuệ nhân tạo và cách nó được áp dụng trong việc phát hiện mã độc trên Android, từ đó cung cấp thêm góc nhìn và thông tin bổ ích cho nghiên cứu của bạn.