安卓平臺(tái)下惡意軟件的檢測(cè).pdf

1、2007年，隨著第一臺(tái)安卓手機(jī)的問世，安卓手機(jī)系統(tǒng)就以其良好的用戶體驗(yàn)、較低的成本開銷和較高的開源性贏得了眾多手機(jī)生產(chǎn)商、軟件開發(fā)者和手機(jī)使用者的廣泛認(rèn)可，安卓系統(tǒng)所占的市場(chǎng)份額也越來越大。但是由于其相對(duì)簡(jiǎn)單的安全檢查機(jī)制，引來無數(shù)惡意攻擊者對(duì)安卓市場(chǎng)進(jìn)行攻擊。他們通過開發(fā)惡意軟件，盜取用戶信息、惡意扣除用戶電話費(fèi)、惡意消耗用戶手機(jī)流量、電量等。2011年，谷歌官方應(yīng)用市場(chǎng)累計(jì)有11000款惡意軟件，而截至到2013年，惡意程序已經(jīng)超過

2、了42000款。越來越快的惡意軟件發(fā)展速度使安卓應(yīng)用安全問題的解決顯得十分迫切。準(zhǔn)確快速的識(shí)別惡意軟件對(duì)用戶的信息安全特別重要。
　　目前安卓平臺(tái)的反病毒措施主要是基于簽名的檢測(cè)，但隨著加殼技術(shù)等的發(fā)展，這種方法已經(jīng)遠(yuǎn)遠(yuǎn)不能保證手機(jī)安全，所以當(dāng)今科學(xué)家開始從應(yīng)用程序的權(quán)限和調(diào)用圖上分析，試圖找到更準(zhǔn)確的檢測(cè)方法。應(yīng)用程序的權(quán)限分析，可以確定該應(yīng)用是否能夠訪問用戶的敏感信息，從而對(duì)可以訪問敏感信息的應(yīng)用做進(jìn)一步檢測(cè)。而惡意應(yīng)用的調(diào)用

3、圖分析法，主要針對(duì)寄生在一個(gè)安全應(yīng)用上的惡意應(yīng)用，這種惡意應(yīng)用通過篡改原安全應(yīng)用的代碼，加入一些惡意代碼段，從而實(shí)現(xiàn)惡意攻擊者的不法行為。調(diào)用圖分析法是目前最流行的檢測(cè)方法。
　　通過對(duì)大量安卓手機(jī)惡意應(yīng)用程序的分析，發(fā)現(xiàn)其與被感染的安全應(yīng)用程序在程序語義方面有很大相似性。通過分析同一家族（由同一個(gè)開發(fā)者開發(fā)的同一個(gè)軟件的不同版本共同構(gòu)成一個(gè)家族）中不同版本間的程序，發(fā)現(xiàn)同一家族的不同版本在程序語義方面也存在很大的相似性。以此為假

4、設(shè)，本文提出了一種基于程序家族關(guān)系的附加惡意應(yīng)用程序（向安全軟件注入惡意代碼的實(shí)現(xiàn)其惡意行為的程序）檢測(cè)方法。該檢測(cè)方法主要運(yùn)用對(duì)安卓應(yīng)用程序反匯編后的代碼靜態(tài)分析的方法，獲取每個(gè)安卓應(yīng)用程序的特征向量，進(jìn)而通過聚類來發(fā)現(xiàn)異常數(shù)據(jù)。該方法的研究工作主要包括以下幾個(gè)方面:從幾大安卓市場(chǎng)爬取大量安卓應(yīng)用程序作為實(shí)驗(yàn)數(shù)據(jù);將爬取下來的安卓應(yīng)用程序進(jìn)行反匯編，得到其反匯編代碼;通過對(duì)反匯編后的代碼分析得到安卓應(yīng)用程序的函數(shù)調(diào)用圖;從函數(shù)調(diào)用圖中