近年來(lái),Android操作系統(tǒng)因其開(kāi)源、免費(fèi)和易用等特性得到了快速的普及和發(fā)展,市場(chǎng)份額超過(guò)了八成,為人們的生活帶來(lái)了許多的便利。但是由于Android系統(tǒng)開(kāi)源的特點(diǎn),加上第三方軟件市場(chǎng)缺乏監(jiān)管,惡意軟件隨意傳播,Android系統(tǒng)的生態(tài)環(huán)境一直沒(méi)有得到改善,為用戶的隱私信息安全帶來(lái)了嚴(yán)重的威脅。因此研究Android平臺(tái)的惡意軟件檢測(cè)技術(shù),對(duì)于保護(hù)Android平臺(tái)用戶隱私和財(cái)產(chǎn)安全顯得尤為必要。論文深入研究了Android平臺(tái)惡意軟件檢測(cè)技術(shù),主要研究工作如下:(1)提出一種基于行為的Android惡意軟件檢測(cè)方法。通過(guò)在用戶終端部署軟件API調(diào)用行為監(jiān)測(cè)框架,采用hook技術(shù),通過(guò)監(jiān)測(cè)目標(biāo)軟件的敏感API調(diào)用行為,生成軟件實(shí)時(shí)的API訪問(wèn)序列并上傳到服務(wù)端,服務(wù)端通過(guò)分析軟件的API訪問(wèn)序列構(gòu)建軟件動(dòng)態(tài)行為特征,通過(guò)軟件動(dòng)態(tài)行為模型進(jìn)行分類,實(shí)時(shí)的對(duì)軟件行為的合法性進(jìn)行判斷,并在必要時(shí)對(duì)軟件的API訪問(wèn)行為進(jìn)行阻斷;同時(shí)通知用戶,根據(jù)用戶的反饋對(duì)惡意樣本進(jìn)行處理,防止惡意軟件造成進(jìn)一步危害。(2)提出一種輕量級(jí)的Android平臺(tái)惡意軟件檢測(cè)方法,根據(jù)不同惡意軟件檢測(cè)要求,設(shè)計(jì)了兩階段的Android惡意軟件檢測(cè)機(jī)制。第一階段,利用靜態(tài)特征檢測(cè)模型快速的對(duì)軟件進(jìn)行惡意性檢測(cè):針對(duì)不同特點(diǎn)的惡意軟件,分別提取軟件數(shù)字簽名、軟件哈希值、軟件申請(qǐng)的權(quán)限信息、軟件調(diào)用的接口函數(shù)等特征,采用機(jī)器學(xué)習(xí)方法構(gòu)建分類模型;第二階段,針對(duì)軟件包進(jìn)行了代碼混淆、加殼等難以通過(guò)靜態(tài)分析進(jìn)行惡意性判斷的軟件,本文通過(guò)在Android模擬器中模擬軟件的動(dòng)態(tài)行為獲得軟件的動(dòng)態(tài)特征,建立動(dòng)態(tài)特征檢測(cè)模型。為了實(shí)現(xiàn)輕量級(jí)的特點(diǎn),本文采用特征選擇方法對(duì)特征空間進(jìn)行降維,以構(gòu)建快速高效的惡意檢測(cè)系統(tǒng)。在上述研究工作的基礎(chǔ)上,完成了面向Android平臺(tái)的軟件惡意檢測(cè)系統(tǒng)的服務(wù)器端和客戶端的模塊設(shè)計(jì),并初步實(shí)現(xiàn)了該惡意軟件檢測(cè)系統(tǒng)。設(shè)計(jì)并完成了測(cè)試實(shí)驗(yàn)。對(duì)比實(shí)驗(yàn)結(jié)果表明,本系統(tǒng)具有較高的檢測(cè)精度以及較低的誤報(bào)率。本系統(tǒng)能夠有效解決Android平臺(tái)惡意軟件檢測(cè)問(wèn)題,降低惡意軟件對(duì)用戶造成的不利影響。
【學(xué)位單位】：南京航空航天大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位年份】：2018
【中圖分類】：TP311.52;TP316
【部分圖文】：

性樣本但分類為惡意樣本的數(shù)量；FP 是指將本身為惡意樣本但是分類為 表示將本身為惡意樣本并分類為惡意樣本的數(shù)量；TP 指將本身為良性樣的數(shù)量。.2.3 的特征選擇的有效性，本文實(shí)驗(yàn)了其對(duì)前面提到的已知惡意軟件的分SVM 構(gòu)建分類器。用 4.2.3 節(jié)得到的特征選擇之后的低維特征和特征選擇據(jù)實(shí)驗(yàn)結(jié)果如表 4. 2 所示：表 4. 2 惡意軟件檢測(cè)結(jié)果 TPR% FPR% 訓(xùn)練時(shí)間/s擇 90.5 2.0 16.5 92.9 1.8 3.2得，在本文使用的數(shù)據(jù)集上使用特征選擇方法對(duì)軟件特征進(jìn)行降維之后，和假陽(yáng)性率基本不變的情況下，使得系統(tǒng)的訓(xùn)練時(shí)間明顯縮減。并且特征的分類精度的同時(shí)提高了軟件的檢測(cè)效率，對(duì)樣本庫(kù)中剩下的 30%的軟件時(shí)間分布如圖 4. 3 所示：1285117300特征選擇前 特征選擇后

Android 平臺(tái)的惡意軟件檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)過(guò)軟件特征選擇降低特征空間維度可以有效的減少訓(xùn)練方法，訓(xùn)練數(shù)據(jù)集都是有標(biāo)記的，因此訓(xùn)練模比較好的檢測(cè)效果。下面我們驗(yàn)證本章靜態(tài)檢測(cè)方中選取 2000 個(gè)惡意軟件組成惡意樣本集，該數(shù)據(jù)驗(yàn)我們選取其中的 19 個(gè)惡意家族軟件和 1000 個(gè)良兩組作為輸入，訓(xùn)練惡意軟件分類器，然后對(duì)第 2第二次實(shí)驗(yàn)我們將第 20 個(gè)惡意家族的惡意軟件選對(duì)剩下一半軟件進(jìn)行檢測(cè)得到結(jié)果如圖 4. 4 所示：89.790.592.1

圖 4. 6 本文檢測(cè)結(jié)果與 VirusTotal 檢測(cè)結(jié)果對(duì)比由圖 4. 7 可以得到本文的兩階段處理的惡意軟件檢測(cè)系統(tǒng)在檢測(cè)大部分軟件時(shí)都具有很高檢測(cè)效率，只有在遇到軟件被加固的情況下需要進(jìn)行動(dòng)態(tài)分析才會(huì)延長(zhǎng)軟件的檢測(cè)時(shí)間，在態(tài)檢測(cè)階段，啟動(dòng) DroidBox 沙箱和安裝軟件并模擬運(yùn)行會(huì)消耗較多時(shí)間。平均情況下，啟動(dòng)roidBox 會(huì)消耗 3 分鐘左右，安裝并模擬軟件運(yùn)行會(huì)消耗 7~8分鐘左右。在本文所提出的兩階的惡意軟件檢測(cè)方法，既保留了靜態(tài)檢測(cè)精度高速度快的優(yōu)點(diǎn)，同時(shí)又解決了靜態(tài)方法難以析加固軟件的缺點(diǎn)，在一定程度上提高了 Android 惡意軟件的檢測(cè)精度和檢測(cè)效率，為本文惡意軟件檢測(cè)系統(tǒng)提供了服務(wù)端的支持。0%20%40%檢測(cè)引擎
【參考文獻(xiàn)】

相關(guān)期刊論文 前3條

1 董航;李祺;董楓;彭勇;徐國(guó)愛(ài);;Android運(yùn)行時(shí)惡意行為檢測(cè)模型研究[J];北京郵電大學(xué)學(xué)報(bào);2014年03期

2 楊歡;張玉清;胡予濮;劉奇旭;;基于多類特征的Android應(yīng)用惡意行為檢測(cè)系統(tǒng)[J];計(jì)算機(jī)學(xué)報(bào);2014年01期

3 楊歡;張玉清;胡予濮;劉奇旭;;基于權(quán)限頻繁模式挖掘算法的Android惡意應(yīng)用檢測(cè)方法[J];通信學(xué)報(bào);2013年S1期

本文編號(hào)：2857740