基于文件訪問規(guī)則的Android惡意應用動態(tài)檢測方法研究.pdf

1、隨著移動網(wǎng)絡的普及以及4G時代的到來，Android終端占據(jù)了主要的市場份額，但是由于Android平臺的開發(fā)性，使其在擁有強大用戶粘度的同時，也面臨著巨大的安全問題。目前，針對Android應用的檢測方法分為靜態(tài)安全檢測與動態(tài)安全檢測。而靜態(tài)檢測方法只針對已知病毒有效，無法檢測到惡意路徑是否真正被執(zhí)行。動態(tài)安全檢測恰好彌補了這點不足，在運行待測應用的過程中檢測其是否觸發(fā)惡意行為。但目前動態(tài)檢測方法在針對so庫惡意代碼注入與.odex文

2、件修改方面還存在深度不足，檢出率較低等問題。
　　本論文從文件訪問規(guī)則的角度著手，針對Android應用動態(tài)檢測技術進行研究，通過研究內核定制技術，實現(xiàn)對待測應用文件訪問行為的監(jiān)控，提高檢測深度。同時，為實現(xiàn)待測應用的快速，高效判斷，本文從三個緯度出發(fā)定制文件訪問規(guī)則庫，提高檢出率，從而降低誤報率。
　　本論文的主要工作內容有以下幾點:
　　(1)提出一種基于文件訪問規(guī)則的Android惡意應用動態(tài)檢測方法。該方法首先

3、定制合適的Android內核，收集待測應用運行過程中的文件操作信息;接著對收集到的信息做數(shù)據(jù)清洗與數(shù)據(jù)規(guī)整，去除無關信息整理成規(guī)定格式，從而與文件規(guī)則庫比對，最終判斷是否為惡意應用。
　　(2)針對檢測深度不足的問題，本文將監(jiān)控點部署在內核層的文件操作相關的函數(shù)調用中，如打開文件，關閉文件，讀文件，寫文件，刪除文件等。在以上內核函數(shù)中設置監(jiān)控點，從而實現(xiàn)對文件系統(tǒng)的監(jiān)控。解決深層惡意代碼注入檢測不到的問題。
　　(3)針對動