MADLIRA para detección de malware

Detección de malware mediante aprendizaje y recuperación de información para Android

Visión de conjunto

MADLIRA es una herramienta para la detección de malware de Android. De a cuerdo a los especialistas en seguridad cibernética, la herramienta consiste en dos componentes: el componente TFIDF y el componente de aprendizaje SVM. En general, se necesita un conjunto de malwares y benwares para luego extraer los comportamientos maliciosos (componente TFIDF) o el modelo de entrenamiento (clasificador SVM). Luego, usa este conocimiento para detectar comportamientos maliciosos en la aplicación de Android.

Instalación

Descargue el archivo MADLIRA.7z y descomprímalo.

Datos instalados:

MADLIRA.jar es la aplicación principal.

noAPI.txt declara el prefijo de las API.

family.txt enumera malwares por familia.

Folder TrainData contiene la configuración de entrenamiento y el modelo de entrenamiento.

Folder Samples contiene datos de muestra.

Carpeta TempData contiene datos para el cálculo de kernel.

TFIDF

Command: MADLIRA TFIDF

 

Para este componente, el profesional de seguridad de datos nos comenta que hay dos funciones: la función de entrenamiento (extracción de comportamiento malicioso) y la función de prueba (detección de comportamiento malicioso)

Extracción de comportamiento malicioso

Reúna aplicaciones benignas y aplicaciones maliciosas y elíjelos en carpetas denominadas benginAPKFolder y maliciousApkFolder, respectivamente.

Prepare los datos de entrenamiento y empaquételos en dos archivos llamados benignPack y maliciousPack utilizando el comando:

MADLIRA TFIDF packAPK -PB benignApkFolder -B benignPack -PM maliciousApkFolder -M maliciousPack

Extraer comportamientos maliciosos de dos archivos empaquetados (benignPack y maliciousPack) utilizando el comando:

MADLIRA TFIDF train -B benignPack -M maliciousPack

Detección de comportamiento malicioso

Recoge nuevas aplicaciones y colócalas en una carpeta llamada checkApk.

Detecte comportamientos maliciosos de aplicaciones en la carpeta checkApk usando el comando:

MADLIRA TFIDF check -S checkApk

MADLIRA 1

MADLIRA 2

SMV

Command: MADLIRA SVM

De acuerdo al experto en seguridad de datos, para este componente también existen dos funciones: la función de entrenamiento y la función de prueba.

Fase de entrenamiento

Reúna aplicaciones benignas en una carpeta llamada benignApkFolder y aplicaciones maliciosas en una carpeta llamada maliciousApkFolder.

Prepare los datos de entrenamiento usando los comandos:

MADLIRA SVM packAPK -PB benignApkFolder -B benignPack -PM maliciousApkFolder -M maliciousPack

Calcule el modelo de entrenamiento con este comando:

MADLIRA SVM train -B benignPack -M maliciousPack

Detección de comportamiento malicioso

Recoge nuevas aplicaciones y colócalas en una carpeta llamada checkApk

Detecte comportamientos maliciosos de aplicaciones en la carpeta checkApk usando el comando:

MADLIRA SVM check -S checkApk

MADLIRA 3

Paquetes:

Esta herramienta usa los siguientes paquetes:

apktool-2.2.1 (https://ibotpeaches.github.io/Apktool/)

ojalgo-41.0.0 (https://github.com/optimatika/ojAlgo)

libsvm (http://www.csie.ntu.edu.tw/~cjlin/libsvm/)

Tags: