Un modèle de détection de logiciels malveillants pour terminaux mobiles

Un modèle de détection de logiciels malveillants pour terminaux mobiles contribue au domaine de la sécurité informatique. La cybersécurité est une problématique actuelle majeure principalement motivée par le nombre croissant de cyberattaques. En effet, les pertes de données à cause des brèches informatiques ont coûté 45 milliards de dollars canadiens en 2018. En plus, du point de vue financier, des problèmes éthiques apparaissent également si des informations personnelles de clients et utilisateurs sont divulguées. En raison de la popularité des téléphones intelligents et des tablettes, les terminaux mobiles deviennent la cible de cyberattaques. Il est donc essentiel d'étudier de nouveaux moyens de prévenir, de détecter et de contrer les cyberattaques. Dans ces mécanismes de détection, l'apprentissage machine est utilisé pour créer des classificateurs qui permettent de déterminer si une application est dangereuse ou non. L'avantage d'un réseau de neurones est qu'il permet de s'adapter à des situations inédites. Contrairement à un système de règles de sécurité fixes, nous allons utiliser cette nouvelle technologie afin de pouvoir identifier des types de comportements malveillants et de pouvoir le généraliser à des programmes malveillants futurs.L'objectif de cette recherche consiste à proposer un modèle de détection hybride de programmes malveillants sur Android basé sur deux réseaux de neurones de classification entraînés par des ensembles de caractéristiques statiques et dynamiques. Nous avons tout d'abord procédé à une revue de littérature afin de connaître les techniques de détection existantes. Cette étude n'est pas exhaustive, mais permet de cerner les principaux enjeux rencontrés ainsi que les solutions proposées par la communauté scientifique. Ces dernières peuvent se répartir en deux groupes; les méthodes statiques consistent à examiner le code de l'application mobile, tandis que les méthodes dynamiques analysent le comportement d'une application lorsque cette dernière est exécutée roule sur un terminal mobile. Notre but est d'utiliser ces deux méthodes afin de profiter de leurs avantages respectifs. Pour ce faire, nous avons choisi d'utiliser la base de données hybride Omnidroid composée de 25,999 caractéristiques statiques et de 5,932 caractéristiques dynamiques. Nous montrons lors de nos travaux que 22,636 caractéristiques statiques ainsi que 2,210 caractéristiques dynamiques de la base de données d'Omnidroid sont vides. Nous menons également un plan d'expérience composé de centaines d'entraînements afin de régler les valeurs des hyperparamètres améliorant l'apprentissage sur ce jeu de données ainsi que pour sélectionner les caractéristiques restantes les plus pertinentes.

Abstract

A malware detection model for mobile devices contributes to the field of computer security. Cybersecurity is a major current problem mainly motivated by the growing number of cyber attacks. Indeed, data loss due to computer breaches cost Canada $45 billion in 2018. In addition, ethical problems also arise if personal information of customers and users is disclosed. Due to the popularity of smartphones and tablets, mobile devices are becoming the target of cyberattacks. It is therefore essential to explore new ways to prevent, detect and counter cyberattacks. In these detection mechanisms, machine learning is used to create classifiers that determine whether an application is dangerous or not. The advantage of a neural network is that it allows you to adapt to new situations. Unlike a system of fixed security rules, we will use this new technology in order to be able to identify types of malicious behavior and to be able to generalize it to future malicious programs. The goal of this research is to propose a hybrid malware detection model on Android itself based on two classification neural networks driven by sets of static and dynamic features. We first conducted a literature review to find out about existing detection techniques. These can be divided into two groups; static methods consist of examining the code of the mobile application while dynamic methods analyze the behavior of an application when it is running on a mobile terminal. Our goal is to use these two methods to take advantage of their respective advantages. To do this, we chose to use the hybrid database “Omnidroid” composed of 25,999 static features and 5,932 dynamic features. We show that 22,636 static features as well as 2,210 dynamic features of the Omnidroid database are empty. We are also carrying out an experiment plan composed of hundreds of trainings in order to adjust the values of the hyperparameters improving the learning on this dataset as well as to select the most relevant remaining features.