基于組件和行為相似性的Android惡意代碼檢測研究.pdf

1、近年來，隨著移動互聯網的飛速發(fā)展以及應用APP的興起，以智能手機為代表的智能設備給人們的生活帶來了極大的便利，同時也成為了人們日常生活中必不可少的工具。Android系統(tǒng)因為其開源的特性而受到各大廠商的喜愛，從而成為移動平臺上的主流操作系統(tǒng)。在Android系統(tǒng)市場份額不斷提高的同時，Android惡意代碼已成為危害Android系統(tǒng)用戶信息和財產安全的主要因素。根據百度手機衛(wèi)士最新發(fā)布的互聯網移動安全報告，Android平臺惡意代碼已

2、成爆發(fā)式增長，如何有效的檢測Android平臺下惡意代碼成為了移動安全領域研究和討論的重點。
　　本文主要對Android平臺惡意代碼進行檢測，在結合傳統(tǒng)檢測方法的基礎上，提出了惡意因子與組件相似性兩方面的靜態(tài)檢測以及調整余弦相似度的代碼行為數據分析的動態(tài)檢測方法，并實現了相應的檢測系統(tǒng)原型。本文主要工作包括：
　　對Android平臺下惡意代碼的檢測技術進行了研究，在此基礎上提出了本文的檢測方法。首先，本文對Android

3、系統(tǒng)的框架結構、系統(tǒng)關鍵服務進程進行了介紹，分析了Android系統(tǒng)和應用的安全機制，指出了系統(tǒng)和應用安全機制存在的缺陷，并介紹了惡意代碼的相關檢測技術。接下來本文通過各種技術手段深入分析Android系統(tǒng)上的惡意代碼，總結其所常用的各種惡意技術手段，如ELF加密技術、動態(tài)加載技術、數據竊取技術等，發(fā)現了其所常用API。最后在已知的檢測技術上，利用上述兩點研究內容，提出了基于靜態(tài)代碼惡意因子的檢測方法、基于應用代碼組件相似性的檢測方法和

4、基于調整余弦相似度的代碼行為數據分析方法。首先通過靜態(tài)代碼惡意因子的檢測方法，靜態(tài)遍歷應用的權限和組件信息，計算出應用的惡意因子，然后利用組件相似性的檢測方法，檢測應用是否為重打包的惡意樣本，最后通過動態(tài)注入技術獲得應用運行時的行為數據，利用調整余弦相似度算法計算應用同相同類型的惡意代碼行為數據的相似度。通過結合這三種檢測方法對應用進行檢測，最終給出應用的檢測報告。
　　設計、實現并測試了Android平臺下惡意代碼的檢測系統(tǒng)原型