Malware detection for the android platform using machine learning techniques

Abstract

Android mobil işletim sisteminin, rakiplerine kıyasla sahip olduğu oldukça yüksek toplam pazar payının yanında toplamda sayısal olarak çok daha fazla uygulamaya sahip olması dolayısıyla kötücül yazılımlar tarafından en sık hedef alınan mobil platform olduğu bilinmektedir. Son kullanıcının, tipik güvenlik yetersizliğine bağlı olarak, kötücül yazılımın Google Play Store veya herhangi bir resmi olmayan uygulama mağazasında yayımlanmadan önce tespit edilmesi hayati bir öneme sahiptir. Bu tezde, makine öğrenmesi teknikleri kullanarak yeni bir Android kötücül yazılım tespit metodolojisi yanında yeni bir öznitelik seçim metodolojisi ortaya konmuştur. Bu çalışmada sunulan makine öğrenmesi yaklaşımı, Android uygulamalarından (APK dosyaları) statik olarak çıkarılabilen, izinler (permissions), Uygulama Programlama Arayüzü çağrıları (API calls) ve katar (string) özelliklerini kullanmaktadır. Sunulan özellik seçim metodolojisinde literatürdeki mevcut yöntemlerden farklı olarak, belge sıklığı tabanlı (document frequency-based) bir yöntem tasarlanıp uygulanmıştır. Önerilen yöntem, Android kötücül yazılım örnekleri barındıran iki evrensel temel ölçüt veri kümesi ile test edilmiş ve bazı ikili sınıflandırma algoritmaları yanı sıra bazı topluluk (ensemble) yöntemine dayalı algoritmalar da kullanılarak literatürdeki diğer modeller ve yöntemlere göre daha başarılı sayılabilecek yüksek doğrulukta sonuçlar elde edilmiştir.

Android is the mobile operating system most frequently targeted by malware in the smartphone market with a significantly higher total market share in comparison to its competitors in addition to a much higher total number of applications. Detection of malware before it is published on the Google Play Store or any unofficial application market is very important owing to the end users' typical security inadequacy. In this Ph.D. thesis, a novel methodology of feature selection is proposed along with an Android malware detection approach that implements the proposed feature selection methodology. The machine learning approach proposed in this thesis makes use of permissions, API calls, and strings as features, which are statically extractable from the Android executables (APK files). In the proposed feature selection approach, a document frequency-based approach was designed and implemented that differs from the existing methods in the literature. The proposed methodology was tested upon two universal benchmark datasets that contain Android malware samples and promising results were obtained by using several binary classification algorithms and some ensemble learning models.