【摘要】：現(xiàn)有的各個(gè)Android應(yīng)用商店大多檢查已知的靜態(tài)惡意應(yīng)用,難以檢測(cè)新穎、動(dòng)態(tài)加載的惡意應(yīng)用與行為,對(duì)此提出一種基于圖結(jié)構(gòu)與內(nèi)存足跡分析的惡意應(yīng)用檢測(cè)系統(tǒng)。首先,采集應(yīng)用的內(nèi)存信息,分析應(yīng)用的足跡與序列號(hào),檢測(cè)動(dòng)態(tài)打包的惡意代碼與新穎的惡意應(yīng)用;然后,提取應(yīng)用所請(qǐng)求的共生權(quán)限,將權(quán)限建模為圖結(jié)構(gòu),并使用圖的度量指標(biāo)分析圖的分類(lèi)模式與中心權(quán)限,根據(jù)中心權(quán)限值選擇可表示各類(lèi)的最優(yōu)圖指標(biāo);最終,計(jì)算應(yīng)用的隱私分?jǐn)?shù)與風(fēng)險(xiǎn)閾值,基于該閾值檢測(cè)各種惡意軟件或惡意行為。仿真實(shí)驗(yàn)結(jié)果表明,本算法對(duì)不同類(lèi)型的惡意應(yīng)用均具有較好的效果,對(duì)于未知的惡意應(yīng)用也具有較好的檢測(cè)率。
【圖文】：

集設(shè)為NC。第一個(gè)特征是一個(gè)給定的應(yīng)用與一個(gè)模式之間存在大量的共同權(quán)限，將該特征定義為PermCount，其相似性指數(shù)定義為simPermCount(A，patternC)=|ApermsNC|(10)計(jì)算一個(gè)應(yīng)用與一個(gè)模式之間相同權(quán)限的圖指標(biāo)，作為其他的特征。定義指標(biāo)m的相似性特征，根據(jù)應(yīng)用的權(quán)限列表與類(lèi)C中模式的歸一化相似性計(jì)算而來(lái)，計(jì)算公式為simm(A，patternC)=∑p∈{Aperms∩NC}m(p)∑p∈NCm(p)(11)其中:m∈M。為每個(gè)應(yīng)用的每個(gè)類(lèi)與每個(gè)圖指標(biāo)之間建立一個(gè)相似性特征，，圖3所示是一個(gè)指標(biāo)的特征集實(shí)例。應(yīng)用“游戲”(PID=244)類(lèi)需要三個(gè)權(quán)限:P1、P2、P3，將這個(gè)權(quán)限列表與每個(gè)類(lèi)模式的權(quán)限進(jìn)行比較，圖中顯示了游戲、社交、購(gòu)物三個(gè)類(lèi)的模式。游戲模式包含三個(gè)權(quán)限:P1、P3、P6，其中權(quán)限P1、P3與應(yīng)用(PID=244)的權(quán)限相同，社交類(lèi)模式僅包含一個(gè)共同的權(quán)限P1，其相似性等于3/10，購(gòu)物類(lèi)的相似性分?jǐn)?shù)為2/10。2.4隱私分?jǐn)?shù)與風(fēng)險(xiǎn)指數(shù)使用識(shí)別最優(yōu)的模式建立一個(gè)隱私分?jǐn)?shù)。隱私分?jǐn)?shù)基于以下三個(gè)假設(shè):a)應(yīng)用與模式越相似，隱私分?jǐn)?shù)越高;b)如果應(yīng)用請(qǐng)求模式的中心權(quán)限，其分?jǐn)?shù)應(yīng)當(dāng)較高;c)如果應(yīng)用請(qǐng)求的權(quán)限不存在模式中，其分?jǐn)?shù)應(yīng)當(dāng)較低。使用請(qǐng)求權(quán)限的數(shù)量對(duì)應(yīng)用與類(lèi)的相似性進(jìn)行加權(quán)處理，因?yàn)樯鲜霾襟E獲得了兩個(gè)代表性的模式指標(biāo)，所以將一個(gè)應(yīng)用與模式之間的相似性定義為結(jié)合兩個(gè)指標(biāo)相似性的最終相似性LN，計(jì)算方法為L(zhǎng)N(A，C)=αsimm1(A，patternC)+(1－α)simm2(A，patternC)(12)其中:(m1，m2)∈M2與α∈［0，1］是一個(gè)調(diào)節(jié)參數(shù)，用于平衡各指標(biāo)的重要性。式中m1表示圖的間接中心，m2表示加?

數(shù)據(jù)集中的應(yīng)用，紅色圈是(β＞1，LN0=0)條件的應(yīng)用，請(qǐng)參見(jiàn)電子版。當(dāng)β=0，隱私分?jǐn)?shù)等于相似性分?jǐn)?shù)，風(fēng)險(xiǎn)閾值會(huì)固定為給定的相似性;當(dāng)β=1，則定義了一個(gè)線性分離，通過(guò)應(yīng)用權(quán)限計(jì)算的平均相似性分?jǐn)?shù)決定風(fēng)險(xiǎn)閾值;當(dāng)β＞1，風(fēng)險(xiǎn)閾值如圖4所示，該閾值使相似性低的應(yīng)用設(shè)置高風(fēng)險(xiǎn)值，即應(yīng)用的權(quán)限越多，相似性閾值則越高。圖4不同β值對(duì)應(yīng)的風(fēng)險(xiǎn)閾值3檢測(cè)模塊檢測(cè)模塊基于其行為模式?jīng)Q定目標(biāo)應(yīng)用是否是惡意應(yīng)用。檢測(cè)模塊包含以下幾個(gè)部分:a)序列號(hào)的檢查規(guī)則，將應(yīng)用的序列號(hào)與惡意軟件家族進(jìn)行比較，判斷應(yīng)用是否為惡意軟件;b)測(cè)試偽造文件的系統(tǒng)命令，檢查應(yīng)用使用的系統(tǒng)命令中是否包含了偽造的文件;c)檢測(cè)應(yīng)用是否隱藏了SMS的通知，這種惡意應(yīng)用的目標(biāo)是捕獲用戶訂閱的服務(wù)信息;d)檢測(cè)短信詐騙應(yīng)用的規(guī)則，這種惡意應(yīng)用捕獲正常的短信并修改為詐騙短信;e)檢查應(yīng)用請(qǐng)求的權(quán)限分析，使用第2章“基于圖模式的惡意應(yīng)用與行為決策”進(jìn)行權(quán)限分析，檢測(cè)出惡意的應(yīng)用。4實(shí)驗(yàn)與結(jié)果分析4.1實(shí)驗(yàn)環(huán)境本文的惡意軟件檢測(cè)系統(tǒng)包含客戶端組件與服務(wù)器組件。客戶端組件安裝在智能手機(jī)上，操作系統(tǒng)為Android4．4．2;服務(wù)器為XeonX5660處理器，8GB內(nèi)存，操作系統(tǒng)為Ubuntu12.04。使用Python3．2腳本實(shí)現(xiàn)服務(wù)器端的程序，服務(wù)器端的AndroidSDK為Android4．1．2sdkAPI16級(jí)。本文采用的惡意應(yīng)用樣本庫(kù)來(lái)自于美國(guó)北卡州立大學(xué)Zhou等人［12］提供的ADＲD、AnserverBot等49個(gè)惡意應(yīng)用家族，共1260個(gè)惡意應(yīng)用樣本。4.2實(shí)驗(yàn)結(jié)果與分析將本算法與DroidＲanger［13］、GoogleAVS［14］、PApriori［15］進(jìn)行比較，全面地評(píng)估本系統(tǒng)的性能。表1所示是四種惡意軟件檢測(cè)方案對(duì)1260個(gè)惡意應(yīng)用樣本的檢測(cè)結(jié)果，其中
【作者單位】： 廣東工業(yè)大學(xué)計(jì)算機(jī)學(xué)院;
【基金】：廣東省重大科技專項(xiàng)資助項(xiàng)目(2015B010128014,2015B010108002) 廣東省教育廳產(chǎn)學(xué)研合作項(xiàng)目(2015B090906015,2014A010103029,2014B090908010,2014B090901053) 廣州市科技計(jì)劃資助項(xiàng)目(2017010160012)
【分類(lèi)號(hào)】：TP309;TP316

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 袁萌;;Android計(jì)劃為什么要懸賞1000萬(wàn)[J];信息系統(tǒng)工程;2007年12期

2 林耕宇;;觀摩50名Google Android程序開(kāi)發(fā)競(jìng)賽作品[J];電子與電腦;2008年08期

3 樹(shù)子;;Android中文版不完全體驗(yàn)[J];互聯(lián)網(wǎng)天地;2009年04期

4 Jason Whitmire;;產(chǎn)業(yè)軟件專家如何協(xié)助解決Android的分裂困境[J];電子與電腦;2010年02期

5 蔣彬;;10款A(yù)ndroid手機(jī)必備應(yīng)用——Android操作系下的軟件評(píng)測(cè)[J];微電腦世界;2010年04期

6 ;看看Android漢化狂人在玩什么[J];電腦迷;2011年15期

7 鄒民;;Android 2.3系統(tǒng)豪門(mén)潮機(jī)[J];電腦知識(shí)與技術(shù)(經(jīng)驗(yàn)技巧);2011年07期

8 張浩;陳盛云;;基于Android平臺(tái)手機(jī)防盜追蹤功能的實(shí)現(xiàn)[J];江西科學(xué);2011年05期

9 ;Android 4.0不得不掌握的13點(diǎn)特征[J];硅谷;2011年21期

10 ;谷歌正式開(kāi)放Android 4.0系統(tǒng)源代碼[J];硅谷;2011年22期

相關(guān)會(huì)議論文 前10條

1 Di Jiaqi;Wang Jianhua;Zhang Long;;The Research in Mobile Learning Based on Android Smartphone Platform Application[A];2012年計(jì)算機(jī)應(yīng)用與系統(tǒng)建模國(guó)際會(huì)議論文集[C];2012年

2 Xin Li;Yumei Zhai;Xiong Li;;Research and Implementation of Face Detection System on Android Smart Phone[A];2013年中國(guó)智能自動(dòng)化學(xué)術(shù)會(huì)議論文集（第二分冊(cè)）[C];2013年

3 Cheng Chen;Li Liu;Jianguo Chen;Cheng Zhang;;Extracting Language Strings from XML Based on Android[A];Proceedings of 2011 International Conference on Computer Science and Information Technology(ICCSIT 2011)[C];2011年

4 Zhe Chen;Pei-Luen Patrick Rau;Dennis Schumacher;Osama Khan;Poom Laupattarakasem;Cherry Yu;Nam Wahrenberg;;Development of an Android Mobile Application for International Students[A];第八屆和諧人機(jī)環(huán)境聯(lián)合學(xué)術(shù)會(huì)議（HHME2012)論文集CHCI[C];2012年

5 李欣;;一種基于智能卡的Android權(quán)限管理方法研究[A];第27次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2012年

6 李靜華;慕德俊;楊鳴坤;胡偉;;Android惡意程序行為分析系統(tǒng)設(shè)計(jì)[A];2013年全國(guó)通信軟件學(xué)術(shù)會(huì)議論文集[C];2013年

7 姜林燕;劉松;;基于Android平臺(tái)的地圖服務(wù)系統(tǒng)開(kāi)發(fā)[A];第十五屆華東六省一市測(cè)繪學(xué)會(huì)學(xué)術(shù)交流會(huì)論文集（江蘇上海論文分冊(cè)）[C];2012年

8 李嵐;齊昕;林毅;唐亞平;李倩;孫麗;孫婧;;基于Android的遼寧移動(dòng)決策氣象服務(wù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[A];第31屆中國(guó)氣象學(xué)會(huì)年會(huì)S10 第四屆氣象服務(wù)發(fā)展論壇——提高水文氣象防災(zāi)減災(zāi)水平，推動(dòng)氣象服務(wù)社會(huì)化發(fā)展[C];2014年

9 李曉軍;吳金輝;吳嘯;彭龍軍;鐘凱文;;基于Android的移動(dòng)監(jiān)察GIS平臺(tái)研發(fā)與分析[A];第四屆“測(cè)繪科學(xué)前沿技術(shù)論壇”論文精選[C];2012年

10 范淵;凌霄;;Android程序安全檢測(cè)模型[A];第28次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2013年

相關(guān)重要報(bào)紙文章 前10條

1 本報(bào)記者 李敬;“安卓”Android之亂[N];計(jì)算機(jī)世界;2010年

2 韓勖;Android變身“大眾機(jī)”[N];計(jì)算機(jī)世界;2010年

3 本報(bào)記者 劉方遠(yuǎn);Android中國(guó)粉絲“傷”機(jī)[N];21世紀(jì)經(jīng)濟(jì)報(bào)道;2011年

4 ;Android 4.3更新解析[N];電腦報(bào);2013年

5 市井小生;Android將會(huì)怎樣？[N];計(jì)算機(jī)世界;2010年

6 ;Android內(nèi)核驚現(xiàn)88個(gè)高危漏洞[N];網(wǎng)絡(luò)世界;2010年

7 達(dá)涌;Android病毒和惡意搶票軟件肆虐[N];人民郵電;2013年

8 本報(bào)記者 閔杰;Android L發(fā)布，安全只邁了一小步[N];中國(guó)電子報(bào);2014年

9 中國(guó)軟件評(píng)測(cè)中心 黃準(zhǔn) 楊s

本文編號(hào)：2530110