Détection de Malwares Android par les Techniques d'Apprentissage Automatique

Abstract

La plupart du temps passé sur un téléphone est passé à utiliser des applications : consulter ses emails, vérifier son fil d'actualité, lire les journaux ...etc. Avec l'avènement d'Android comme premier système d'exploitation mobile, c'est toute notre information qui est centralisée en un seul et même endroit, le smartphone. L'OS de Google n'enthousiasme pas que ses utilisateurs, les concepteurs de malwares aussi sont contents. Envoi de SMS à des numéros surtaxés et collecte de données personnelles sont parmi les moyens lucratifs utilisés par ces malfaiteurs. Android n'est pas infaillible, chaque malware qui y prolifère en est la preuve. Notre solution propose une analyse dynamique comportementale des applications susceptibles d’être une source de malignité, par simple envoi de l’application vers un serveur distant via une interface assez conviviale et simple à utiliser. L’application va être installée et exécutée, simulant ainsi une utilisation humaine. Par la suite, les appels système générés par le noyau Unix sont collectés, traités et fournis au modèle de réseau de neurones qui pourra prédire si l’application analysée est maligne ou bénigne. L'efficacité de notre méthode est due à l'utilisation de l'apprentissage automatique. Un ensemble d'applications malignes et bénignes est constitué à partir duquel un modèle discriminant est construit. Nous avons utilisé pour l’apprentissage un réseau de neurones, et plus précisément le réseau de neurones convolutionnel (Convolutional Neural Network en anglais) connu sous le pseudonyme de CNN. Se basant sur des données d’entrée matricielles et se caractérisant par son aspect à faire évoluer ses propres filtres tout seul. Notre méthode se voit novatrice du fait qu’on utilise une nouvelle représentation matricielle des appels système collectés et servant d’entrées au model CNN. Une représentation moins couteuse en espace mémoire et permettant ainsi d’accélérer le processus d’apprentissage et d’accroitre le taux d’exactitude lors de la détection.***

Most of the time spent using a smartphone is spent using applications: consulting emails, checking news feed, reading newspapers. With the accession of Android to the first place of most used mobile operating systems, all our information is centralized in one place, the smartphone. Google's OS not only enthuses its users but also makes malware developers happy. Sending SMS messages to premium line numbers and collecting data are examples of lucrative ways used by these criminals. Android is not infallible, each malware targeting it is proving that. Our solution proposes a behavioral dynamic analysis of the applications likely to be a source of malignancy. The application will be sent towards a distant server through a user-friendly and simple to use interface. It will be installed and executed with a simulation of a human use. After execution, system calls generated by the unix kernel are collected, processed, and provided to the neural network model that will be used to predict whether the analyzed applications are malware or goodware. Efficacy is due to the use of machine learning. A large dataset of benign and malignant applications is constituted. From that dataset a discriminant model is built. We used for learning a neural network, and more precisely the convolutional neural network (CNN). Based on matrix input data and characterized by its aspect of changing its own filters by itself. Our method is innovative because it uses a new matrix representation of collected system calls and input to the CNN model, a less expensive representation in memory space and therefore accelerate the process of learning and increase the accuracy rate when detecting.