Quyền ứng dụng A Risk-level Protection-
level Android.permission.INTERNET 3 2 Android.permission.WRITE_SMS 5 2 Android.permission.ACCES_NETWORK_STA TE 4 1 Android.permission.WAKE_LOCK 1 1
Dễ nhận thấy, trong những quyền mà ứng dụng A sử dụng: “android.permission.WRITE_SMS” là điều khoản rất nhạy cảm khi cho phép ứng dụng chứa nó có thể tự ý soạn thảo một tin nhắn với bất cứ nội dụng gì. Ngoài ra, ứng dựng còn có thể truy cập và lấy thông tin mạng ngay trên máy người dùng với “android.permission.INTERNET” và “android.permission.ACCESS_NETWORK_STATE”. Với mỗi nội dung phân tích như để trình bày, ứng dụng A sẽ có điểm Risk- score như sau:
3.1.2 Thực nghiệm
Một bộ mẫu bao gồm 604 mẫu ứng dụng Android sẽ được đưa vào thử nghiệm và đánh giá. Trong đó, phần mềm mã độc được thu thập từ một trang web chuyên cung cấp mẫu phục vụ cho mục đích nghiên cứu [8]. Trước khi được tải về, tất cả mẫu độc này sẽ được quét qua VirusTotal [9]để đảm bảo độ chính xác cho bộ mẫu. Còn lại, những mẫu lành tính được thu về thông qua trang web chính thức Google Play [10] với độ tin tưởng cao.
Các bước tiến hành thực nghiệm được mô tả chi tiết như sau: 1. Thu thập mẫu
Mẫu lành tính: download tập tin apk thông qua https://play.google.com/store ( để đảm bảo đây là những mẫu lành, các file apk được down về sẽ được kiểm tra thông qua trang web kiểm duyệt
https://www.virustotal.com/gui/home/upload
360 Security Lite Speed Boost_v1.2.2_apkpure.com, apk_30642831a.apk,ASKfm_v3.3_apkpure.com.apk, BBM_v2.13.1.13_apkpure.com.apk,
Blaan_v2.1.1_apkpure.com.apk,
CCleaner_vv1.14.55_apkpure.com.apk,
Chrome Browser Google_v50.0.2661.89_apkpure.com, Clean Master Boost AppLock_v5.12.1_apkpure.com, Cloud VPN Free Unlimited_v1.0.3.7_apkpure.com,
com.square_enix.android_googleplay.khuxjp_28_49578118.apk, Dropbox_v7.2.8_apkpure.com.apk,
Dubsmash_v1.17.0_apkpure.com.apk,
Facebook.apk,
Firefox Browser fast private_v46.0.1_apkpure.com, Gmail_v6.4.120760496.release_apkpure.com.apk,
Google Play Store_v6.5.08.D-all [0] 2792142_apkpure.com, ….
Mẫu chứa mã độc: Được down về dưới dạng zip từ trang web
http://contagiominidump.blogspot.com/ 00e74c118fa3902e5c85fd8e37f3d084.apk 021d55c415ff951c8e7b1ce3f94399bb.apk 0503B2F6C1349F7E1CD7E8B6BF17AC46.apk 08061663E638B5AC1D780CAACBE9FAD8_1074178_370436__Glam orousSmoke.apk 08CFFA8F55BE4BBED2704395876B618F.apk 0b8806b38b52bebfe39ff585639e2ea2.apk 0D28FA54F9C0D41801E8FB5A7B0433DD.apk 11A7767BFE4926458EC84385214B82C9.apk 13.apk 146c3f0f068813360b255b4687aaa0ae862a1daa8c44f51207007f6a42bdb b09.apk 1485F498084F963801ED76013749C9FA.apk 153626fae2eaa8ae6ef4727958104ee7.apk 157985FF7FCF1CA30F5B026D1B897F1F_AndroidLoozfon.apk 16BD4B23B55F0ADE6DF16D8C6DCF502C.apk 1BF7A3639BF81E2260547FE5E04F864C.apk 1F68ADDF38F63FE821B237BC7BAABB3D_IBanking_Chase.apk …
2. Thu thập tập tin Mainfest
Thông qua Advanced Apktool, tập tin apk được dịch ngược. Qua đó lấy được tập tin mainfest dưới dạng văn bản text.
android.permission.REAL_GET_TASKS android.permission.ACCESS_CACHE_FILESYSTEM android.permission.REMOTE_AUDIO_PLAYBACK android.permission.INTENT_FILTER_VERIFICATION_AGENT android.permission.BIND_INCALL_SERVICE com.android.gallery3d.permission.GALLERY_PROVIDER android.permission.WRITE_SETTINGS android.permission.CONTROL_KEYGUARD android.permission.CONFIGURE_WIFI_DISPLAY android.permission.ACCESS_WIMAX_STATE android.permission.SET_INPUT_CALIBRATION android.permission.RECOVERY android.permission.TEMPORARY_ENABLE_ACCESSIBILITY android.permission.SET_PROCESS_LIMIT android.permission.FRAME_STATS com.android.browser.permission.PRELOAD android.permission.BRICK android.permission.RESTART_PACKAGES android.permission.USE_CREDENTIALS android.permission.BIND_KEYGUARD_APPWIDGET android.permission.BIND_DEVICE_ADMIN android.permission.MODIFY_AUDIO_SETTINGS android.permission.ACCESS_CHECKIN_PROPERTIES android.permission.KILL_UID
…
3. Xác định “quyền”
Sau khi có file Mainfest, các quyền khai báo trong mỗi ứng dụng sẽ được tìm và đánh dấu (tích “x”) rồi lưu lại dưới dạng file csv bằng tool ReadMainfest.exe
Hình 3.2: Xác định quyền
4. Tính điểm ứng dụng
Quyền sẽ được thay đổi dấu tích “x” bằng giá trị protection- score hay risk- score của nó.
Áp dụng công thức tính điểm.
Hình 3.3: Protection- score
5. Đưa vào Weka
Sau khi có được giá trị đối chiếu đầu vào, các dữ liệu được lưu lại dưới dạng arff file để có thể đưa vào Weka đánh giá.
Weka sẽ đánh giá và cung cấp ngưỡng đánh giá. 1) Ngưỡng và quy tắc đánh giá
Thuật toán cây quyết định và thuật toán hồi quy logictics sẽ được áp dụng ngay khi dữ liệu được nhập vào Weka – một công cụ học máy phổ biến hiện giờ. Ở đầu ra, ta sẽ thu được kết quả là một ngưỡng đánh giá với giá trị của ngưỡng phụ thuộc vào risk- score và protection- score của ứng dụng. (với risk- score và protection- score được tổng từ cả hai loại mẫu lành và ác).
Hình 3.5: Ngưỡng đánh giá
2) Đánh giá hiệu suất, hiệu quả
Để có được cái nhìn chính xác nhất về ý tưởng phát hiện mẫu độc dựa trên học máy này, chúng tôi áp dụng các công thức tính tỷ lệ sai số sau:
TPR =
False Positive Rate (FPR): Tỷ lệ xác nhận sai mẫu ác tính FPR =
True Negative Rate (TNR): Tỷ lệ xác nhận chính xác mẫu lành tính TNR =
False Negative Rate (FNR): Tỷ lệ xác nhận sai mẫu lành tính FNR =
Overall Accuracy (ACC): Tỷ lệ xác nhận chính xác trên tổng số mẫu ACC =
Trong đó:
TP (True Positive): Số mẫu ác tính được phát hiện chính xác FP (False Positive): Sỗ mẫu ác tính bị phát hiện sai
TN (True Negative): Số mẫu lành tính được phát hiện chính xác FN (False Negative): Số mẫu lành tính bị phát hiện sai
3.2 Kết quả thực nghiệm
3.2.1 Kết quả