الكشف عن البرمجيات الخبيثة المتخفية في تطبيقات الأندرويد باستخدام التحليل الديناميكي

الملخص

مع الانتشار الواسع لأجهزة الأندرويد، أصبحت هدفاً رئيسياً لأنواع متعددة من البرمجيات الخبيثة مثل الفيروسات وأحصنة طروادة وبرامج التجسس والفدية، مما يشكل تهديداً لأمن الأجهزة وسلامة بياناتها. ورغم أن التحليل الساكن يتميز بسرعته وكفاءته، إلا أنه قد يعجز عن كشف السلوكيات الخبيثة غير الظاهرة في الكود، بينما يوفر التحليل الديناميكي فعالية أعلى في اكتشاف البرمجيات الخبيثة غير المعروفة أو المشوشة.

قمنا في هذا البحث بتقييم أداء خوارزميات كشف الهجمات على تطبيقات أندرويد بالاعتماد على تحليل سلوك الذاكرة أثناء التشغيل باستخدام بيانات CIC-AndMal2020، وذلك من خلال ثلاث تجارب رئيسية: الأولى لتقييم أداء المصنفات باستخدام مجموعة البيانات الأصلية بدون اختزال السمات، والثانية بعد اختزال السمات باستخدام تقنية اختيار السمات، والثالثة بعد دمج السمات السلوكية المستخرجة من ملفات الذاكرة (HPROF) بواسطة الأدوات Android Studio Profiler وMemory Analyzer Tool (MAT) مع البيانات الأصلية.

أظهرت النتائج أن دمج السمات السلوكية المستخرجة من الذاكرة مع البيانات الأصلية ساهم في تحسين طفيف في دقة بعض المصنفات مثلExtra Trees  (من ‎98.02%‎ إلى ( ‎98.57%‎ وRandom Forest  (من ‎97.91%‎ إلى ‎98.09%‎ )، في حين حافظ كل من SVM وKNN على نفس مستوى الدقة تقريباً. ويُلاحظ أن نموذج Extra Trees  حقق أفضل أداء إجمالي، مع تقليل ملحوظ في زمن التدريب مقارنة بباقي النماذج.