实验室的最新成果“MassVet”被USENIX Security 2015录用

我们的恶意软件检测平台——MassVet。它已检测超过10万个潜在的恶意应用(PHA),其中有1000个PHAs被VirusTotal所漏报。MassVet检测速度超快,效率高,适用于大规模的应用检测,可以在数秒之间完成数以百万计的应用程序的检测。想了解更多细节,请参阅我们的论文,同时你也可以使用基于MassVet的Android 恶意应用检测平台来分析Android应用。

演示视频


媒体报道

英文媒体(超过200家媒体报道)

中文媒体

工作介绍

应用市场审核机制应该具有可扩展性和有效性。然而,现有的应用市场审核机制运行速度慢,无法应对新的威胁。本文的研究发现,恶意应用通常将合法的应用与类似的恶意组件重新打包来进行创建与传播,通过探索安卓恶意应用的创建与传播方式,可以找到一种更加有效的应用市场审核机制。因此,这些攻击的“有效负荷”通常会暴露在相同的重新打包源中,并且也会暴露在相互之间不应该有联系的应用程序中。

基于以上的发现,本文开发了一个新颖的(审核)技术——MassVet,无需了解恶意应用的目的及运行模式,直接可以审核大量的应用。与经常使用重量级程序分析技术的现有检测机制不同,本文的方法简单比较了已提交、待审核的应用程序与已审核、发布在市场上的所有程序的差别。该方法重点关注共享了相似UI结构应用程序之间的差异(可能存在重新打包的关系),以及看似无关的应用程序之间的共性。一旦重复使用的公共库函数和其他合法的代码被移除,那么,这些不同或相同的程序组件就会变得高度可疑。本文在一个高效的相似度比较算法上创建了“Diff-Com”分析算法,该算法可以把一个应用程序UI结构的显著特征或者一个方法的控制流图映射为一个值,该值将用于快速比较。本文对一个流处理引擎运用了MassVet,并对来自世界各地的33个Android应用市场、超过120万Android应用程序进行了检测分析,检测规模与谷歌应用市场相当。

特点总结

  • 发现未知潜在的恶意应用(PHAs),特别是有未知行为的PHAs。

测试结果表明,MassVet检测出了超过10万个恶意应用程序,其中包括超过20个可能的“zero-day”恶意应用和已经被安装过数百万次的恶意应用。同时,MassVet在检测范围方面优于VirusTotal所提供的54种扫描服务(例如NOD32,赛门铁克,McAfee等)。

  • 检测速度非常快。

MassVet能够在10秒的时间内识别一个恶意程序,并且误报率很低,效率高。

  • 帮助定位应用程序的可疑行为。

MassVet可以找到可疑的函数(method),从而帮助定位潜在恶意行为。

Leave a Reply