Как работает система обнаружения вредоносных приложений на мобильных устройствах?

Система обнаружения вредоносных приложений на мобильных устройствах работает на основе статического и динамического анализа. springerplus.springeropen.com swsys.ru

Статический анализ заключается в извлечении функций из исходного кода и манифеста приложения. springerplus.springeropen.com В результате работы статического анализатора получаются списки: swsys.ru

• функций Android API и библиотек ядра, которые могут быть вызваны из кода программы в процессе работы; swsys.ru
• разрешений приложения, которые запрашиваются при установке; swsys.ru
• широковещательных намерений, которые могут быть обработаны программой. swsys.ru

Динамический анализ проводится при запуске исследуемой программы на реальном или виртуальном устройстве. swsys.ru В ходе анализа отслеживаются все действия программы, выполненные ею без участия пользователя. swsys.ru

Далее каждое приложение представляется вектором признаков, который передаётся определённому методу машинного обучения. springerplus.springeropen.com Классификатор, обученный на большом наборе известных вредоносных приложений и доброкачественных программ, определяет, является ли новое приложение ненормальным или нет. springerplus.springeropen.com

Если приложение классифицируется как ненормальное, запускается механизм обнаружения сигнатур, который проводит дальнейший комплексный анализ и определяет, к какому семейству принадлежит это вредоносное ПО. springerplus.springeropen.com

Для повышения вероятности обнаружения вредоносной программы часто используют нейронные сети, которые позволяют выявлять сложные зависимости между входными и выходными данными. swsys.ru