La vitrine de diffusion des mémoires et thèses de l'ÉTS
RECHERCHER

Anomaly detection system using system calls for android smartphone system

Amamra, Abdelfattah (2015). Anomaly detection system using system calls for android smartphone system. Thèse de doctorat électronique, Montréal, École de technologie supérieure.

[img]
Prévisualisation
PDF
Télécharger (4MB) | Prévisualisation
[img]
Prévisualisation
PDF
Télécharger (769kB) | Prévisualisation

Résumé

A smartphone is a mobile phone that provides advanced functions compared to traditional mobile phones. Smartphone systems have evolved considerably in terms of their capacity and functionality. Therefore, it is excessively used in personal and business life. Users of smartphone systems store all kinds of personal, business and confidential information on their systems, such as credit card and bank account information. In view of this popularity and storing confidential information, the cyber criminals and malware developers have set their eyes on the smartphone systems. Recent malware analysis reports show scared information about the serious threats that face smartphone systems. Thus, their protection is very important.

Smartphone malwares detection techniques have been actively studied. Broadly, the two main techniques are: the signature-based techniques and the anomaly-based techniques. Each technique has its own advantages and drawbacks. In this Thesis, we are mainly interested in anomaly detection techniques. These techniques are useful for unknown malwares and variants of known ones. However, they still need more study and investigation to improve the malware detection accuracy and to consume as less resources as possible.

This Thesis makes contributions on three levels to improve the efficiency, accuracy and adaptability of anomaly-based techniques for smartphone system based on Android operating system.

The first contribution presents a study and review of the existing malware detection techniques. This survey provides a comprehensive classification of the studied techniques according to well defined criteria.

The second contribution is based upon the dataset level and it is twofold. Firstly, we introduce dataset feature vector representation as a new factor that can improve the efficiency and the accuracy of malware detection solution. Secondly, we introduce filtering and abstraction process that refines the system call traces. The refined traces are much more compact and are closer to the main application behavior.

The third contribution of this Thesis is on the benign behavior model level and it is biflod. In the first place, we build canonical database representing generic benign behavior from limited number of representative applications. In the second place, instead of using single machine learning classifier to model the benign behavior, we use hybrid machine learning classifier.

Titre traduit

Système de détection d'anomalies en utilisant les appels système pour un téléphone intelligent basé sur la plateforme Android

Résumé traduit

Le téléphone intelligent est un téléphone mobile qui offre des fonctions avancées par rapport aux téléphones portables traditionnels. Les systèmes des téléphones intelligents ont connu une évolution énorme en termes de leurs capacités et fonctionnalités. Par conséquent, ils sont utilisés de manière excessive, dans la vie personnelle et professionnelle. Les utilisateurs des systèmes de téléphones intelligents conservent toute sorte d’informations personnelles, professionnelles et confidentielles dans leurs appareils, comme celles des cartes de crédit et des numéros bancaires. Compte tenu de cette popularité et la conservation des informations confidentielles, les cybercriminels et les développeurs des programmes malveillants ont les yeux rivés sur les systèmes de téléphone intelligent. Les récents rapports sur les programmes malveillants montrent des informations effrayantes concernant des menaces qu’affrontent les systèmes de téléphone intelligent. De ce fait, leurs protection est très importante.

Les techniques de détection des programmes malveillants affectant les téléphones intelligents ont été activement étudiées. De manière générale, les deux grandes techniques sont: les techniques basées sur la signature et celles basées sur l’anomalie. Chaque technique possède des avantages et des inconvénients. Dans la présente thèse, nous sommes essentiellement intéressés aux techniques de détection d’anomalie. Ces techniques nécessitent davantage d’études et de recherches pour améliorer l’exactitude de la détection des programmes malveillants et pour consommer le moins de ressources possible.

Cette thèse apporte des contributions sur trois niveaux en vue d’améliorer l’efficacité, l’exactitude et l’adaptabilité des techniques basées sur l’anomalie concernant le système de téléphone intelligent fondé sur le système d’exploitation Android.

La première contribution présente une étude qui examine les techniques existantes de détection de logiciels malveillants. Cette analyse offre une classification complète des techniques étudiées selon des critères bien définis. La deuxième contribution est basé sur le niveau de données qui est utilisée pour décrire le comportement d’application et son double caractère. Premièrement, nous introduisons la représentation du vecteur-caractéristique des données comme étant un nouveau facteur qui pourrait améliorer l’efficacité et l’exactitude de la solution de la détection des programmes malveillants. Deuxièmement, nous introduisons le processus de filtrage et d’abstraction qui rafine les traces d’appel système. Les traces rafinées sont bien plus compactes et refletent encore plus le comportement des applications. La troisième contribution est fondée sur le niveau du modèle de comportement normal et son double caractère. En premier lieu, nous avons établi une base de données canonique représentant un comportement normal générique à partir d’un nombre limité d’applications représentatives. En second lieu, au lieu d’utiliser un seul classificateur d’apprentissage automatique pour modéliser le comportement normal, nous avons utilisé un classificateur hybride d’apprentissage automatique.

Type de document: Mémoire ou thèse (Thèse de doctorat électronique)
Renseignements supplémentaires: "Thesis presented to École de technologie supérieure in partial fulfillment of the requirements for the degree of doctor of philosophy" Bibliographie : pages 133-142.
Mots-clés libres: Détection d'anomalies (Sécurité informatique) Logiciels malveillants Prévention. Téléphones intelligents Sécurité Mesures. Systèmes de classeurs. appel, système, filtrage et abstraction, classificateur d’apprentissage automatique, Android
Directeur de mémoire/thèse:
Directeur de mémoire/thèse
Robert, Jean-Marc
Co-directeurs de mémoire/thèse:
Co-directeurs de mémoire/thèse
Chamseddine, Talhi
Programme: Doctorat en génie > Génie
Date de dépôt: 18 août 2015 12:58
Dernière modification: 10 déc. 2016 16:47
URI: http://espace.etsmtl.ca/id/eprint/1492

Actions (Identification requise)

Dernière vérification avant le dépôt Dernière vérification avant le dépôt

Statistique

Plus de statistique...